{"id":218251,"date":"2019-05-21T00:03:00","date_gmt":"2019-05-20T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218251"},"modified":"2024-07-04T21:40:26","modified_gmt":"2024-07-04T19:40:26","slug":"bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/21\/bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows\/","title":{"rendered":"BlueKeep: Wie steht&rsquo;s um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/05\/21\/bluekeep-watch-the-windows-remote-desktop-services-vulnerability\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Wie steht es eigentlich um die Schwachstelle CVE-2019-0708 in den Windows Remote Desktop Diensten, f\u00fcr die Microsoft am 14. Mai 2019 Updates von Windows XP bis Windows 7 freigegeben hat? Gibt es Exploits? Gibt es Tools, um zu testen, ob eine Umgebung verletzbar ist?<\/p>\n<p><!--more--><\/p>\n<h2>Zum Hintergrund der Schwachstelle CVE-2019-0708<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/1ddd704b0f81464cb8fb32c04899df48\" alt=\"\" width=\"1\" height=\"1\" \/>In den Remote Desktop Services \u2013 fr\u00fcher bekannt als Terminal Services \u2013 besteht eine gravierende Schwachstelle mit der Bezeichnung CVE-2019-0708. Ein nicht authentifizierter Angreifer kann sich \u00fcber spezielle Anfragen \u00fcber RDP mit einem Zielsystem verbinden. Das Problem ist, dass der Angreifer sich nicht zu authentifizieren braucht, um Zugriff auf das System zu erhalten.<\/p>\n<p>Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, k\u00f6nnte beliebigen Code auf dem Zielsystem ausf\u00fchren. Dazu geh\u00f6rt auch, Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder zu l\u00f6schen sowie neue Konten mit vollen Benutzerrechten zu erstellen. Diese kritische Schwachstelle existiert in folgenden Windows-Versionen:<\/p>\n<ul>\n<li>Windows XP<\/li>\n<li>Windows Server 2003<\/li>\n<li>Windows Vista<\/li>\n<li>Windows 7<\/li>\n<li>Windows Server 2008<\/li>\n<li>Windows Server 2008 R2<\/li>\n<\/ul>\n<p>Ab Windows 8 ist die Schwachstelle im Remote Desktop-Dienst nicht mehr vorhanden. Zum 14. Mai 2019 ver\u00f6ffentlichte Microsoft ein Sicherheitsupdate f\u00fcr \u00e4ltere Windows-Versionen, von Windows XP bis Windows 7, welches die kritische Schwachstelle CVE-2019-0708 im Remote Desktop Services schlie\u00dft.<\/p>\n<p>Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/15\/sicherheitupdate-fr-windows-xp-windows-server-2003-windows-vista-und-windows-7-windows-server-2008-r2\/\">Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a> \u00fcber diese Schwachstelle berichtet. Zudem gab es eine Warnung des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI), die eine \u00e4hnliche Gefahr wie bei der Schwachstelle, die f\u00fcr den WannaCry-Ausbruch verantwortlich war, sah. Ich hatte dies im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a> thematisiert. Dort habe ich auch die ben\u00f6tigten Updates zum Patchen der Schwachstelle verlinkt \u2013 f\u00fcr nicht so erfahrene Nutzer vielleicht ganz hilfreich.<\/p>\n<h2>Wie steht es mit BlueKeep-Exploits?<\/h2>\n<p>Der Schwachstelle CVE-2019-0708 wurde inzwischen die Bezeichnung BlueKeep verpasst. Sicherheitsforscher rechneten damit, dass binnen Stunden oder Tagen funktionierende Exploits verf\u00fcgbar sein werden. Sicherheitsforscher Kevin Beaumont (<a href=\"https:\/\/twitter.com\/GossiTheDog\" target=\"_blank\" rel=\"noopener noreferrer\">@GossiTheDog<\/a>) hat sich dieses Themas angenommen und auf Twitter einige Informationen ver\u00f6ffentlicht. Bis zum Ende <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1129349690246467584\" target=\"_blank\" rel=\"noopener noreferrer\">letzter Woche<\/a> gab es keine Anzeichen, dass irgend ein RDP-Exploit praktisch f\u00fcr Angriffe ausgenutzt wurde.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Researchers at Mcafee and Zerodium both have working exploits for this. Neither have released technical details. There are no publicly available exploits at this stage, nor evidence of exploitation in wild.<\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1129995367427256320?ref_src=twsrc%5Etfw\">19. Mai 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Laut obigem Post vom letzten Sonntag haben Mc Afee und Zerodium funktionsf\u00e4hige Exploits. Aber diese sind nicht \u00f6ffentlich bekannt und es gibt auch keine Details dazu.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Kaspersky dude has blue screen of death <a href=\"https:\/\/t.co\/QQ2J2RRTQC\">https:\/\/t.co\/QQ2J2RRTQC<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1130409844337512449?ref_src=twsrc%5Etfw\">20. Mai 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bei Kaspersky hat man sich am Thema versucht, und es bisher nur geschafft, mit manipulierten RDP-Nachrichten einen BlueScreen auszul\u00f6sen, wie obiger Tweet nahelegt. Laut <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1130425920987303936\" target=\"_blank\" rel=\"noopener noreferrer\">Beaumont gibt<\/a> es bisher nur einen funktionierenden Exploit auf GitHub, der Rest ist wohl als Fake zu betrachten.<\/p>\n<h2>Ein erster Netzwerktest auf BlueKeep-Exploits<\/h2>\n<p>Interessant ist wohl, dass das Vulcan Team des chinesischen Sicherheitsanbieters Qihoo 360 ein Remote Scan-Tool entwickelt hat, mit dem sich ein Netzwerk darauf scannen l\u00e4sst, ob es \u00fcber die Schwachstelle CVE-2019-0708 \u00fcber BlueKeep-Exploits angreifbar ist.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">CVE-2019-0708 remote scan tool by 360Vulcan team. Detect the recent RDP bug via RDP packet behavior, without trigger the final bug path(no BSOD or any side effect on the target system), ask for it to scan your network by sending mail to cert at <a href=\"https:\/\/t.co\/bf3ebtruY0\">https:\/\/t.co\/bf3ebtruY0<\/a> <a href=\"https:\/\/t.co\/0roL3SGTbJ\">pic.twitter.com\/0roL3SGTbJ<\/a><\/p>\n<p>\u2014 mj0011 (@mj0011sec) <a href=\"https:\/\/twitter.com\/mj0011sec\/status\/1130387741538054144?ref_src=twsrc%5Etfw\">20. Mai 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Laut obigem Tweet kann dieses Remote Scan-Tool ein Netzwerk auf Anforderung scannen, ohne dass dies einen BlueScreen oder andere Nebenwirkungen ausl\u00f6st. Aktuell k\u00f6nnen Interessierte nur eine E-Mail an 360.cn schicken und um einen Netzwerk-Scan nachfragen. Geht aber wohl nur f\u00fcr zahlende Kunden, die des chinesischen m\u00e4chtig sind. Es scheint also, als ob Netzwerke noch einige Tage von einer BlueKeep-Angriffswelle verschont bleiben \u2013 und allgemein verf\u00fcgbare Test-Tools gibt es wohl auch noch nicht.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Ich habe gerade gesehen, dass die Kollegen bei Bleeping Computer auch<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/bluekeep-remote-desktop-exploits-are-coming-patch-now\/\" target=\"_blank\" rel=\"noopener noreferrer\"> einen Artikel<\/a> zum Thema gebracht haben. Es scheinen sich jetzt wohl Exploits anzudeuten &#8211; aber so richtig l\u00e4uft das noch nicht an. Patchen sollte man trotzdem &#8211; und das obige 360.cn-Angebot zum Netzwerkscan ist dort auch erw\u00e4hnt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Wie steht es eigentlich um die Schwachstelle CVE-2019-0708 in den Windows Remote Desktop Diensten, f\u00fcr die Microsoft am 14. Mai 2019 Updates von Windows XP bis Windows 7 freigegeben hat? Gibt es Exploits? Gibt es Tools, um zu testen, ob &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/21\/bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[7558,4328,3288],"class_list":["post-218251","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-cve-2019-0708","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218251","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218251"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218251\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218251"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218251"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218251"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}