![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt inzwischen vor der in allen Windows-Versionen entdeckten und von Microsoft gepatchten Sicherheitl\u00fccke in den 'Remote Desktop Services'. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt inzwischen vor der in allen Windows-Versionen entdeckten und von Microsoft gepatchten Sicherheitl\u00fccke in den 'Remote Desktop Services'. Da es aber immer wieder Fragen und Unklarheiten gibt, fasse ich einige Informationen nochmals zusammen. <\/p>\n
<\/p>\n
Ich hatte das Thema zwar bereits im Blog-Beitrag Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a> f\u00fcr IT-Profis angesprochen. In den letzten Tagen sind mir aber immer wieder Anfragen und Kommentare unter die Augen gekommen, die mit dem Thema wenig anzufangen wussten oder nach diesem oder jenen Update fragten. <\/p>\n In \u00e4lteren Windows-Versionen existiert eine kritische Schwachstelle CVE-2019-0708 im Remote Desktop Services. Microsoft sch\u00e4tzt das Potential als so kritisch ein, dass selbst Windows XP gepatcht wird. In einem Sicherheitshinweis<\/a> geht Microsoft auf die als kritisch eingestufte Schwachstelle ein. CVE-2019-0708 ist eine schwere Remote-Code Execution-Sicherheitsl\u00fccke (RCE) in den Remote Desktop Services – fr\u00fcher bekannt als Terminal Services.<\/p>\n Schickt ein Angreifer eine speziell pr\u00e4parierte RDP-Anfrage an die Zielmaschine, kann er alle Authentifizierungen umgehen und erh\u00e4lt Zugriff auf die Remote Desktop Services dieses Systems. Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, k\u00f6nnte nun beliebigen Code auf dem Zielsystem ausf\u00fchren. Oder es besteht die M\u00f6glichkeit Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder zu l\u00f6schen. Weiterhin lassen sich neue Konten mit vollen Benutzerrechten erstellen. Der Angreifer bekommt also vollen Zugriff auf die verwundbaren Systeme und kann diese unter Kontrolle bringen. <\/p>\n Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) weist in einer Meldung<\/a> auf die in allen Microsoft Windows Betriebssystemen bestehende kritische Schwachstelle im 'Remote-Desktop-Protocol-Dienst RDP' hin (Microsoft spricht dagegen von einer Schwachstelle in den Remote Desktop Services). Aber diese Feinheit ist an dieser Stelle egal. Grund f\u00fcr die Warnung des BSI: Die Schwachstelle ist aus der Ferne und ohne Zutun des Nutzers ausnutzbar und erm\u00f6glicht daher einen Angriff mit Schadsoftware, die sich wurmartig selbstst\u00e4ndig weiterverbreitet. <\/p>\n Auch Microsoft stuft die Schwachstelle als \u00e4u\u00dferst kritisch ein, da Angreifer vollen Zugriff auf die verwundbaren Systeme erhalten und diese faktisch unter Kontrolle bringen k\u00f6nnen. Es werden WannaCry-\u00e4hnliche Angriffe wie in 2017 bef\u00fcrchtet, die vor allem in Industrieumgebungen gro\u00dfe Sch\u00e4den anrichten k\u00f6nnen. <\/p>\n Zum Hintergrund: Im Jahr 2017 wurde eine vom US-Geheimdienst NSA entdeckte Schwachstelle samt Exploits \u00f6ffentlich. Cyber-Kriminelle nutzten diese Informationen, um die Erpressungssoftware WannaCry zu erstellen. Microsoft hatte zwar zeitnah Updates f\u00fcr Windows ver\u00f6ffentlicht, die aber nicht in allen Umgebungen installiert wurden. Speziell in Produktionsnetzwerken konnten die Rechner nicht aktualisiert werden. <\/p>\n Im Fr\u00fchsommer 2017 kam es dann zu einem Ausbruch, bei dem sich die Ransomware WannaCry \u00fcber ungepatchte Sicherheitsl\u00fccken in Windows XP und Windows 7 auf Hunderttausenden von Rechnern per Netzwerk verbreiten und dort Dateien verschl\u00fcsseln konnte. Ich hatte seinerzeit im Blog-Beitrag Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a> \u00fcber die ersten Vorf\u00e4lle berichtet. Selbst in der Folgezeit kam es weltweit zu neuen Infektionen bei Daimler<\/a> oder beim taiwanesischen Chip-Hersteller TSMC<\/a>. Genau dieses Szenario wird vom BSI bef\u00fcrchtet und dort empfiehlt man allen Windows-Nutzern ein dringendes Update. BSI-Pr\u00e4sident Arne Sch\u00f6nbohm sagt dazu: <\/p>\n \"Diese kritische Schwachstelle kann zu \u00e4hnlich verheerenden Angriffen f\u00fchren, wie wir sie 2017 mit WannaCry erleben mussten. Windows-Anwender sollten daher die vorhandenen Updates umgehend installieren, bevor es zu gr\u00f6\u00dferen Sch\u00e4den kommt. Das BSI stellt derzeit eine Vielzahl an kritischen Schwachstellen fest, nicht zuletzt in aktueller Chip-Hardware. Es zeigt sich erneut, wie wichtig Software-Qualit\u00e4t ist und welche Bedeutung security-by-design und security-by-default einnehmen m\u00fcssen. Durch die zunehmende Digitalisierung wird sich unsere Welt immer st\u00e4rker vernetzen und damit werden auch die digitalen Abh\u00e4ngigkeiten zunehmen. Ein wurmartiger Angriff kann daher weltweit zu massiven wirtschaftlichen Sch\u00e4den f\u00fchren. Umso wichtiger ist es, IT-Sicherheit strukturell in Unternehmen und Organisationen umzusetzen. Die Allianz f\u00fcr Cyber-Sicherheit des BSI ist f\u00fcr Unternehmen und Organisationen jeder Gr\u00f6\u00dfe daher die richtige Anlaufstelle.\" <\/p>\n<\/blockquote>\n Das BSI stuft diese Schwachstelle als kritisch ein. Zwar ist der Dienst 'Remote Desktop Services' laut BSI in der Regel nicht als aktiv voreingestellt, f\u00fcr eine hohe Anzahl von Servern wird der Dienst aber f\u00fcr die Fernwartung verwendet – und dies teilweise \u00fcber das Internet. Dadurch ist f\u00fcr das BSI ein Szenario denkbar, das der Ausbreitung von Wannacry gleicht, bei dem sich eine entsprechend zugeschnittene Schadsoftware automatisiert \u00fcber das Internet verbreiten kann. <\/p>\n Eine aktive Ausnutzung der Schwachstelle konnte das BSI bislang nicht feststellen. Mit der Ver\u00f6ffentlichung der Schwachstelle ist aber nun davon auszugehen, dass Angreifer sehr schnell entsprechende Schadsoftware entwickeln.<\/p>\n Das BSI r\u00e4t, die von Microsoft zur Verf\u00fcgung gestellten Updates unverz\u00fcglich einzuspielen. In Produktivnetzen von Unternehmen sollten gegebenenfalls zun\u00e4chst entsprechende Tests durchgef\u00fchrt werden. Falls entgegen der Empfehlung, Betriebssysteme nicht mehr zu nutzen, die herstellerseitig nicht mehr unterst\u00fctzt werden, aus individuellen Gr\u00fcnden noch Windows-Versionen wie XP und Server 2003 eingesetzt werden, sollten die Updates manuell heruntergeladen und installiert werden.<\/p>\n Wenn kein Bedarf besteht, den RDP-Dienst zu nutzen, dann sollte dieser deaktiviert sein. Wenn RDP eingesetzt wird, sollten Verbindungen von au\u00dfen auf bestimmte Netzbereiche oder Adressen eingeschr\u00e4nkt werden. Zudem bietet sich an, RDP-Anmeldungen zu protokollieren und regelm\u00e4\u00dfig auf sicherheitsrelevante Auff\u00e4lligkeiten zu pr\u00fcfen.<\/p>\n Diese kritische Schwachstelle existiert in \u00e4lteren Windows-Versionen, wobei einige dieser Versionen l\u00e4ngst aus dem Support gefallen sind. Hier die Liste der betroffenen Windows-Versionen samt den verf\u00fcgbaren Updates:<\/p>\nWorum geht es genau?<\/h2>\n
Warum warnt das BSI?<\/h2>\n
![\"WannaCry-Meldung\"](\"https:\/\/web.archive.org\/web\/20220130150333\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/05\/Ransom.WannaCrypt2.1.png\" "\\"WannaCry-Meldung\\"")
<\/p>\n\n
Diese Windows-Versionen sind betroffen<\/h2>\n