Tags: RDP, RDS, Sicherheit
Mitte Mai veröffentlichte Microsoft einen Patch für eine Schwachstelle in den Remote Desktop Services. Sie kann ohne Benutzerinteraktion etwa von Würmern ausgenutzt werden, mit möglichen Auswirkungen wie bei WannaCry. Mit rdpscan können Admins ihr Netzwerk nach PCs absuchen, die für solche Angriffe anfällig sind.
Die Schwachstelle CVE-2019-0708 wird von Microsoft als außerordentlich kritisch eingeschätzt, so dass der Hersteller sogar Security Updates (KB4500331 und KB 4499180) für Windows XP, Vista und Server 2003 bereitstellte, obwohl für sie der Support schon abgelaufen ist.
Nur ältere Versionen des OS gefährdet
Betroffen sind alle älteren Versionen des Betriebssystems bis hinauf zu Windows 7 und Server 2008 R2. Für jene, die noch Support erhalten, verteilt Microsoft die notwendigen Patches als normale Security Updates sowie über die monatlichen Rollups.
Möchte man herausfinden, ob im Netzwerk noch Rechner die RDS-Schwachstelle aufweisen, dann hilft dabei das Open-Source-Tool rdpscan. Es handelt sich dabei um ein Kommandozeilenprogramm, dem man eine einzelne IP-Adresse oder einen ganzen IP-Bereich als Parameter übergibt, also zum Beispiel
rdpscan.exe 192.168.0.1-192.168.0.100
Ist ein System über CVE-2019-0708 angreifbar, dann lautet das Ergebnis VULNERABLE.
SAFE heißt nicht immer sicher
Gibt das Tool hingegen SAFE aus, dann kann dies mehrere Gründe haben. Zum einen kommt es zu diesem Ergebnis bei neueren Versionen von Windows oder solchen PCs, bei denen der Patch eingespielt wurde. Falls ein anderer Service auf den Port 3389 hört (Standard für RDP), dann liegt natürlich auch keine Gefährdung vor.
Das Ergebnis SAFE - CredSSP/NLA required hingegen bedeutet, dass auf dem Rechner die Network Level Authentication (NLA) aktiviert wurde und der Scanner deshalb nicht feststellen kann, ob die Schwachstelle geschlossen wurde.
Das Erzwingen von NLA gilt als eine Abwehrmaßnahme, falls auf einem System aus irgendwelchen Gründen das Security-Update (noch) nicht eingespielt werden kann. Allerdings hilft dies nicht gegen interne Angreifer, die über Zugangsdaten verfügen. Sie können die Schwachstelle ausnutzen, um beliebigen Code auf dem Rechner zu installieren.
Geräte in einem IP-Adressbereich, bei denen das Remotedesktop-Feature nicht aktiviert ist, werden von rdpscan einfach übergangen. Ruft man es jedoch mit dem Schalter -v auf, dann gibt es eine Variante der UNKNOWN-Meldung aus.
Das Tool liegt als Open-Source-Software auf Github im Quellcode zum Download bereit. Kompilierte Versionen für Windows und macOS können von dieser Seite heruntergeladen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- RDP-Dateien mit einem Zertifikat signieren
- iPhone oder iPad mit Remote Desktop auf Windows-PCs verbinden
- Azure Virtual Desktop und Windows 365 unterstützen nun Multimedia Redirection
- Remotedesktop in Windows 11 und Server 2022 aktivieren (GUI, WAC, WMI, GPO)
- Rangee Browser Redirection: Web-Seiten aus dem Remotedesktop auf lokalen Browser umleiten
Weitere Links