{"id":231830,"date":"2020-05-19T16:21:06","date_gmt":"2020-05-19T14:21:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231830"},"modified":"2022-06-19T23:00:20","modified_gmt":"2022-06-19T21:00:20","slug":"windows-reverse-rdp-angriffe-in-dritt-software-mglich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/19\/windows-reverse-rdp-angriffe-in-dritt-software-mglich\/","title":{"rendered":"Windows: Reverse RDP-Angriffe in Dritt-Software möglich"},"content":{"rendered":"

[English<\/a>]Eine schlechte gepatchte Schwachstelle CVE-2019-0887 in Windows f\u00fchrt dazu, dass die Systeme \u00fcber RDP-Anwendungen von Drittanbietern angreifbar sind. Dabei k\u00f6nnte auch ein Client, \u00fcber den die RDP-Verbindung hergestellt wird, durch Malware auf dem Remote-Rechner angegriffen werden. <\/p>\n

<\/p>\n

RDP-Schwachstelle CVE-2019-0887 in Windows <\/h2>\n

\"\"Zum Juli 2019-Patchday wurden von Microsoft die Remote Desktop Services Remote Code Execution-Schwachstelle mit Sicherheitsupdates geschlossen. Microsoft hatte in diesem Dokument<\/a> Informationen zur Schwachstelle ver\u00f6ffentlicht. <\/p>\n

\n

In Remote-Desktop-Diensten – fr\u00fcher als Terminaldienste bekannt – besteht eine Remote Code Execution-Schwachstelle, wenn ein authentifizierter Angreifer die Umleitung der Zwischenablage missbraucht. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, k\u00f6nnte auf dem System des Opfers beliebigen Code ausf\u00fchren. Ein Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen.<\/p>\n

Um diese Schwachstelle auszunutzen, muss ein Angreifer bereits ein System kompromittiert haben, auf dem Remotedesktopdienste ausgef\u00fchrt werden, und dann warten, bis ein Opfersystem eine Verbindung zu den Remotedesktopdiensten herstellt.<\/p>\n<\/blockquote>\n

Microsoft hatte ein Update freigegeben, welches die Schwachstelle beheben sollte. Allerdings schloss der Patch die Schwachstelle nur unzureichend. Ich hatte im August 2019 den Blog-Beitrag Risiko f\u00fcr Hyper-V durch RDP-Schwachstelle<\/a> dazu ver\u00f6ffentlicht. Dort ging es darum, dass eine Schwachstelle im Remote Desktop Protocol (RDP) von Microsoft ausgenutzt werden kann, um aus Gast-VMs, die auf Hyper-V in Windows 10\/Azure laufen, auszubrechen.<\/p>\n

Neues Problem bei Drittanbieter RDP-L\u00f6sungen<\/h2>\n

The Hacker News wies bereits vor einigen Tagen darauf hin<\/a>, dass im Juli 2019 unvollst\u00e4ndig gepatchte Schwachstelle CVE-2019-088 ein Risiko darstelle. Es stellte sich heraus, dass Sicherheitsforscher den Patch umgehen konnten, indem sie einfach die r\u00fcckw\u00e4rts gerichteten Schr\u00e4gstriche in den Pfaden durch vorw\u00e4rts gerichtete Schr\u00e4gstriche ersetzten.<\/p>\n

Microsoft r\u00e4umte die unsachgem\u00e4\u00dfe Korrektur ein und hat den Fehler in seinem Sicherheitsupdate vom Februar 2020 Anfang erneut gepatcht. Die Schwachstelle wird jetzt als CVE-2020-0655 gef\u00fchrt.<\/p>\n

Sicherheitsforscher von Check-Point haben nun aufgedeckt, dass Microsoft das obige Problem durch Hinzuf\u00fcgen eines separaten Workarounds in Windows behoben hat. Allerdings lie\u00df man die eigentliche Ursache in der API-Funktion \"PathCchCanonicalize\", unver\u00e4ndert.<\/p>\n

Offenbar funktioniert die Microsoft-L\u00f6sung f\u00fcr den in Windows integrierten RDP-Client ganz gut. Aber der Patch ist nicht idiotensicher genug, um andere RDP-Clients von Drittanbietern vor demselben Angriff zu sch\u00fctzen. Sobald diese die API-Funktion einsetzen, ist das System anf\u00e4llig. <\/p>\n

Microsoft Patch l\u00e4sst sich umgehen<\/h2>\n

\"Wir haben herausgefunden, dass ein Angreifer nicht nur Microsofts Patch umgehen kann, sondern dass er auch jede \u00dcberpr\u00fcfung der Kanonisierung umgehen kann, die nach Microsofts Best Practices durchgef\u00fchrt wurde\", sagte der Check-Point-Forscher Eyal Itkin in einem Bericht, den er The Hacker News zur Verf\u00fcgung stellte.<\/p>\n

Ein 'path traversal '-Angriff ist m\u00f6glich, wenn ein Drittanbieter RDP-Programm eine Datei als Eingabe akzeptiert, und diese nicht verifiziert. Das erm\u00f6glicht es einem Angreifer die Datei an einem beliebigen Ort auf dem Zielsystem zu speichern.  und so den Inhalt von Dateien au\u00dferhalb des Stammverzeichnisses der Anwendung freizulegen. \"Ein mit Malware infizierter Remote-Rechner k\u00f6nnte jeden Client \u00fcbernehmen, der versucht, eine Verbindung zu ihm herzustellen. Wenn zum Beispiel ein IT-Mitarbeiter versucht, eine Verbindung zu einem entfernten Firmencomputer herzustellen, der mit Malware infiziert ist, k\u00f6nnte die Malware auch den Computer des IT-Mitarbeiters angreifen\", schreiben die Sicherheitsforscher.<\/p>\n

Die Sicherheitsforscher haben den Fehler gefunden, als sie versuchte, Microsofts Remote-Desktop-Client f\u00fcr Mac zu untersuchen. Dieser RDP-Client wurde in der ersten Analyse in 2019 ausgelassen. Interessanterweise ist der macOS-RDP-Client an sich nicht anf\u00e4llig f\u00fcr CVE-2019-0887. Da die Hauptschwachstelle immer noch nicht behoben ist, warnte Check Point davor, dass diesein ernstes Risiko f\u00fcr viele andere RDP-Softwareprodukte darstellen kann. <\/p>\n

\"Microsoft hat es vers\u00e4umt, die Schwachstelle in seiner offiziellen API zu beheben, so dass alle Programme, die nach Microsofts Best Practices geschrieben wurden, immer noch anf\u00e4llig f\u00fcr einen Path-Traversal-Angriff sind\", sagte Omri Herscovici von Check Point. \"Wir wollen, dass sich die Entwickler dieser Bedrohung bewusst sind, damit sie ihre Programme durchgehen und manuell einen Patch dagegen anwenden k\u00f6nnen\".<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Eine schlechte gepatchte Schwachstelle CVE-2019-0887 in Windows f\u00fchrt dazu, dass die Systeme \u00fcber RDP-Anwendungen von Drittanbietern angreifbar sind. Dabei k\u00f6nnte auch ein Client, \u00fcber den die RDP-Verbindung hergestellt wird, durch Malware auf dem Remote-Rechner angegriffen werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-231830","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231830","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231830"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231830\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231830"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231830"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231830"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}