Remote-Desktop-Schwachstelle „BlueKeep“ sollte dringend gepatcht werden (CVE-2019-0708)

Am 14. Mai 2019 veröffentlichte Microsoft Security-Updates für eine kritische Sicherheitslücke in Bezug auf Remotecode-Ausführung unter dem Label CVE-2019-0708 für die Windows-Systeme XP, Vista, 7, Windows 2003, 2008, 2008 R2. Die Lücke mit dem Spitznamen „BlueKeep“ betrifft vor allem ältere Systeme, wie F-Secure bereits in einem ersten News-Blog berichtete. Unternehmen, die ausschließlich Windows-8- und 10-Maschinen einsetzen, sind von der Sicherheitslücke nicht betroffen.

Mit der als CVE-2019-0708 definierten Sicherheitslücke kann ein Angreifer Remotecode auf einem anfälligen Computer ausführen, auf dem das Remote Desktop Protocol (RDP) ausgeführt wird.

Die Sicherheitsanfälligkeit ist sehr ernst, da sie, wie von Spezialisten genannt, „wurmbar“ ist. Dies bedeutet, dass ein Angreifer die Lücke über das Netzwerk ausnutzen kann, ohne dass das Opfer etwas unternehmen muss. Dadurch könnte sich eine Malware (Exploit) in kürzester Zeit extrem schnell ausbreiten und Millionen von Systemen auf der ganzen Welt gefährden.

Glücklicherweise scheint es wohl nicht so einfach zu sein, einen entsprechenden Exploit zu entwickeln der die Schwachstelle ausnutzt. Denn bisher ist noch kein entsprechender Exploit-Code im Internet aufgetaucht, der die Systeme und das Sicherheitsloch attackiert. Die Schreiber von Schad-Software sind aber mit Sicherheit aktiv und entwickeln bereits passende Exploit-Varianten. F-Secure-Experten rechnen eigentlich jederzeit mit den ersten Attacken. Damit Unternehmen auf der sicheren Seite sind, empfehlt F-Secure allen Administratoren die Lücke mit den vorhandenen Microsoft-Patches so schnell wie möglich zu schließen.

Inwiefern unterscheidet sich CVE-2019-0708 von anderen Sicherheitslücken?

BlueKeep sollte wesentlich ernster genommen werden, als eine durchschnittliche Sicherheitslücke. Bereits die Aktionen von Microsofts belegen dies: die vor kurzem veröffentlichten Sicherheit-Updates sind nicht nur für noch unterstützte Systeme wie Windows 7, Windows Server 2008 R2 oder Windows Server. Microsoft bietet in diesem brisanten Fall auch Updates für eigentlich nicht mehr unterstützte Systeme an, wie Windows XP, Vista und Windows Server 2003-Systeme. Wie bereits oben erwähnt sind die Systeme Windows 8 und 10 nicht von der Sicherheitslücke betroffen.

In einer Stellungnahme verweist Microsoft auf die berüchtigten Angriffe WannaCry und NotPetya, die im Jahr 2017 stattfanden. Beide nutzten eine ähnliche Sicherheitslücke in einem weit verbreiteten Protokoll (SMB) aus. Schätzungsweise 200.000 Systeme in rund 150 Ländern wurden befallen. Der finanzielle Schaden ging dabei in die hunderte Millionen Dollar.

Hier ein Überblick über den aktuellen Experten-Stand, welcher von dem Infosec-Experten Kevin Beaumont mit organisiert wurde, der den Begriff „BlueKeep“ geprägt hat:

• Mehrere Sicherheitsfirmen haben teilweise funktionierende Exploits erstellt, aber (natürlich) keine technischen Details veröffentlicht
• Der Code und die Informationen, die erforderlich sind, um den Auslöser des Fehlers (jedoch nicht die Ausnutzung) zu erreichen, sind online verfügbar
• Einige Betrüger verkaufen bereits gefälschte Exploits
• IDS- / IPS-Anbieter haben Regeln veröffentlicht, die die Ausnutzung erkennen können

Das sollten Sie nun unternehmen im Fall CVE-2019-0708

1. Behalten Sie Ruhe und beginnen Sie mit dem Patchen – aber schnell!

Konzentrieren Sie sich zunächst auf das Patchen von externen RDP-Servern und wechseln Sie dann zu weiteren wichtigen Servern wie Domänen-Controller und Verwaltungs-Servern. Zum Schluss können Sie die nicht kritischen Server, für die RDP aktiviert ist, sowie den Rest des Desktop-Standorts patchen. Weitere Informationen zum Anwenden des Patches finden Sie auf den Support-Seiten von Microsoft.

F-Secure Radar-Benutzer können anfällige Hosts mithilfe eines authentifizierten Scans identifizieren. Unser Tipp für eine schnellere Scan-Auflösung:

• Begrenzen Sie die Anzahl der zu scannenden Ports auf diejenigen, die zur Authentifizierung beim Host erforderlich sind: TCP 445 (SMB / CIFS), TCP 135 (RPC) und TCP 5986 (WinRM).
• Wählen Sie nur das Plug-In 1013880 aus, um Plug-Ins für die Windows-Authentifizierung zu aktivieren

2. Schnelle Sicherheitsaktionen die zusätzliche Patch-Zeit organisieren

• Aktivieren Sie die Authentifizierung auf Netzwerkebene
  Um die Sicherheitsanfälligkeit teilweise zu beheben, können Sie die Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) verwenden. Wenn Sie NLA aktivieren, müssen Angreifer über gültige Anmeldeinformationen verfügen, um RCE ausführen zu können. F-Secure Radar-Benutzer können Hosts mit dem Plugin 100612 (Authentifizierung auf Netzwerkebene für RDP ist nicht erzwungen – Network Level Authentication for RDP is not Enforced) scannen, um Hosts ohne aktivierte NLA zu erkennen. Verwenden Sie für eine schnellere Scanauflösung nur dieses Plugin, um die betroffenen Hosts zu lokalisieren.

• Blockieren Sie den TCP-Port 3389 an der Unternehmens-Firewall
  Über den TCP-Port 3389 wird eine Verbindung zum betroffenen System hergestellt. Das Blockieren dieses Ports mit einer Firewall, vorzugsweise auf Netzwerk-Perimeter-Ebene, trägt zum Schutz von Systemen innerhalb des gesicherten Netzwerks bei. Benutzer von F-Secure Radar können mit einem Netzwerkscan nach betroffenen Hosts mit offenem TCP-Port 3389 suchen. Um eine schnellere Scan-Auflösung zu erzielen, scannen Sie nur nach diesem Port, um die betroffenen Hosts zu lokalisieren.

• Deaktivieren Sie nicht benötigte Remotedesktopdienste
  Wenn Sie diese Dienste in Ihrer Umgebung nicht benötigen, sollten Sie sie deaktivieren. Das Deaktivieren nicht verwendeter und nicht benötigter Dienste verringert das Risiko durch Sicherheitslücken und ist eine bewährte Methode zur Erhöhung der Sicherheit.