{"id":202723,"date":"2018-03-29T00:22:00","date_gmt":"2018-03-28T22:22:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=202723"},"modified":"2019-11-27T17:24:53","modified_gmt":"2019-11-27T16:24:53","slug":"microsoft-blockt-bald-rdp-anfragen-in-clients","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/03\/29\/microsoft-blockt-bald-rdp-anfragen-in-clients\/","title":{"rendered":"Microsoft blockt bald RDP-Anfragen von Clients"},"content":{"rendered":"

[English<\/a>]Wegen einer kritischen Sicherheitsl\u00fccke in Microsofts Credential Security Support Provider will das Unternehmen k\u00fcnftig RDP-Verbindungen zu ungepatchten Clients blockieren. Administratoren m\u00fcssen also reagieren.<\/p>\n

<\/p>\n

Um was geht es?<\/h2>\n

\"\"In allen Windows-Versionen gibt es eine kritische Sicherheitsl\u00fccke im Credential Security Support Provider (CredSSP). Konkret steckt die kritische Sicherheitsl\u00fccke im Credential Security Support Provider-Protokoll (CredSSP), das in allen bisherigen Versionen von Windows verwendet wird. Denn das CredSSP-Protokoll wurde f\u00fcr die Verwendung durch RDP (Remote Desktop Protocol) und Windows Remote Management (WinRM) entwickelt. Das Protokoll \u00fcbernimmt die sichere Weiterleitung der vom Windows-Client verschl\u00fcsselten Anmeldeinformationen an die Zielserver zur Remote-Authentifizierung.<\/p>\n

\"CredSS-Angriff\"
\n(Quelle<\/a>)<\/p>\n

Die Sicherheitsl\u00fccke CVE-2018-0886<\/a> erm\u00f6glicht nun Remote-Angreifern, RDP- und WinRM-Verbindungen zum Stehlen von Daten oder zum Ausf\u00fchren von Malware zu nutzen. Ich hatte auf dieses Thema k\u00fcrzlich im Blog-Beitrag CredSSP-Sicherheitsl\u00fccke in RDP unter Windows<\/a> hingewiesen. Dort lassen sich auch Informationen \u00fcber die Sicherheitsl\u00fccke abrufen.<\/p>\n

Die Sicherheitsl\u00fccke wurde im August 2017 an das MSRC gemeldet. Microsoft hat mit dem M\u00e4rz 2018-Update diese Sicherheitsl\u00fccke (CVE-2018-0886) in der CredSSP-Implementierung geschlossen.<\/p>\n

Microsoft-Empfehlungen<\/h2>\n

Im Microsoft KB-Artikel 4093492<\/a> findet sich nicht nur die Erkl\u00e4rung zur Sicherheitsl\u00fccke im Credential Security Support Provider Protocol (CredSSP). Microsoft empfiehlt Administratoren dringend, das Update auf Servern und Clients durchg\u00e4ngig zu installieren. Weiterhin sind die Gruppenrichtlinien so anzupassen, dass die Einstellungen \"Force Updates Clients\" und \"Mitigated\" sowohl auf dem Server als auch auf den Clients sobald wie m\u00f6glich aktiviert werden. Dies soll die Server gegen unsichere (ungepatchte) Clients absichern.<\/p>\n

Verbindungen von ungepatchten Clients werden geblockt<\/h2>\n

The Register schreibt in diesem Artikel<\/a>, dass Microsoft demn\u00e4chst verhindern wird, dass Windows Server RDP-Clients, die nicht gegen die Sicherheitsl\u00fccke gepatcht wurden, von den Servern authentifiziert werden. Dies soll verhindern, dass Angreife RDP-Verbindungen missbrauchen, um Systeme zu \u00fcbernehmen und sich in einem Netzwerk zu bewegen. Microsoft gibt im KB-Artikel 4093492<\/a> auch detailliert an, wie Microsoft mit Updates und Blockaden die Ausnutzung der Sicherheitsl\u00fccke verhindern wird.<\/p>\n

13. M\u00e4rz 2018<\/h3>\n

Das erste Update-Release von diesem Datum aktualisierte das CredSSP-Authentifizierungsprotokoll und die Remote Desktop Clients f\u00fcr alle betroffenen Plattformen. Die Mitigation besteht darin, das Update auf allen berechtigten Client- und Server-Betriebssystemen zu installieren und dann die enthaltenen Gruppenrichtlinien-Einstellungen oder registrierungsbasierte \u00c4quivalente zu verwenden, um die Einstellungsoptionen auf den Client- und Server-Computern zu verwalten.<\/p>\n

Microsoft empfiehlt Administratoren, die Richtlinie so schnell wie m\u00f6glich anzuwenden und sie auf \"Aktualisierte Clients erzwingen\" oder \"Mitigated\" auf Client- und Server-Computern zu setzen.\u00a0 Diese \u00c4nderungen erfordern einen Neustart der betroffenen Systeme.<\/p>\n

Tipp: Achten Sie besonders auf Gruppenrichtlinien- oder Registry-Einstellungspaare, die in der Kompatibilit\u00e4tstabelle dieses KB-Artikels<\/a> weiter unten in diesem Artikel zu \"Blockierten\" Interaktionen zwischen Clients und Servern f\u00fchren.<\/p><\/blockquote>\n

17. April 2018 (vorl\u00e4ufig)<\/h3>\n

Zu diesem Datum wird ein weiteres RDP-Update (f\u00fcr den Remote Desktop Client) ausgerollt. Dieses verbessert die angezeigte Fehlermeldung, wenn ein aktualisierter Client keine Verbindung zu einem Server herstellen kann, weil dieser nicht aktualisiert wurde.<\/p>\n

8. Mai 2018 (vorl\u00e4ufig)<\/h3>\n

Es wird ein Update ausgerollt, um die Standardeinstellung von Vulnerable (verwundbar) auf Mitigated (abgesichert) zu \u00e4ndern. Im Umfeld der Black Hat Asia-Konferenz hat The Register erfahren, dass der Mai-Patche dazu f\u00fchren wird, dass ungepatchte RDP-Clients von gepatchten Windows Servern abgelehnt werden. Damit wird verhindert, dass die Sicherheitsl\u00fccke ausgenutzt werden kann.<\/p>\n

Achtung bei Linux-RDP-Verbindungen<\/h2>\n

Kleine Erg\u00e4nzung f\u00fcr Leute, die hier zuf\u00e4llig noch mitlesen. Wer von Linux eine RDP-Verbindung zu einem Windows Server herstellt, l\u00e4uft u.U. in Probleme. Ich habe das Thema im Blog-Beitrag\u00a0Achtung bei Linux-RDP-Verbindungen und CredSSP-Updates<\/a>\u00a0angesprochen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nCredSSP-Sicherheitsl\u00fccke in RDP unter Windows<\/a>
\nMicrosoft blockt bald RDP-Anfragen von Clients<\/a>
\nWindows-Remoteunterst\u00fctzung als Risiko<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Wegen einer kritischen Sicherheitsl\u00fccke in Microsofts Credential Security Support Provider will das Unternehmen k\u00fcnftig RDP-Verbindungen zu ungepatchten Clients blockieren. Administratoren m\u00fcssen also reagieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-202723","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202723","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=202723"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202723\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=202723"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=202723"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=202723"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}