RDS-Schwachstelle (CVE-2019-0708) finden mit kostenlosem Scanner


    Tags: , ,

    Schwachstellen-ScanMitte Mai veröffent­lichte Microsoft einen Patch für eine Schwach­stelle in den Remote Desktop Services. Sie kann ohne Benutzer­interaktion etwa von Wür­mern ausge­nutzt werden, mit möglichen Auswirkungen wie bei WannaCry. Mit rdpscan können Admins ihr Netzwerk nach PCs absuchen, die für solche Angriffe anfällig sind.

    Die Schwachstelle CVE-2019-0708 wird von Microsoft als außer­ordentlich kritisch eingeschätzt, so dass der Hersteller sogar Security Updates (KB4500331 und KB 4499180) für Windows XP, Vista und Server 2003 bereitstellte, obwohl für sie der Support schon abgelaufen ist.

    Nur ältere Versionen des OS gefährdet

    Betroffen sind alle älteren Versionen des Betriebs­systems bis hinauf zu Windows 7 und Server 2008 R2. Für jene, die noch Support erhalten, verteilt Microsoft die not­wendigen Patches als normale Security Updates sowie über die monatlichen Rollups.

    Möchte man herausfinden, ob im Netzwerk noch Rechner die RDS-Schwachstelle aufweisen, dann hilft dabei das Open-Source-Tool rdpscan. Es handelt sich dabei um ein Kommando­zeilen­programm, dem man eine einzelne IP-Adresse oder einen ganzen IP-Bereich als Parameter übergibt, also zum Beispiel

    rdpscan.exe 192.168.0.1-192.168.0.100

    Ist ein System über CVE-2019-0708 angreifbar, dann lautet das Ergebnis VULNERABLE.

    SAFE heißt nicht immer sicher

    Gibt das Tool hingegen SAFE aus, dann kann dies mehrere Gründe haben. Zum einen kommt es zu diesem Ergebnis bei neueren Versionen von Windows oder solchen PCs, bei denen der Patch eingespielt wurde. Falls ein anderer Service auf den Port 3389 hört (Standard für RDP), dann liegt natürlich auch keine Gefährdung vor.

    IP-Bereich nach RDS-Schwachstelle CVE-2019-0708 absuchen mit dem rdpscanner

    Das Ergebnis SAFE - CredSSP/NLA required hingegen bedeutet, dass auf dem Rechner die Network Level Authentication (NLA) aktiviert wurde und der Scanner deshalb nicht feststellen kann, ob die Schwachstelle geschlossen wurde.

    Das Erzwingen von NLA gilt als eine Abwehr­maßnahme, falls auf einem System aus irgend­welchen Gründen das Security-Update (noch) nicht eingespielt werden kann. Allerdings hilft dies nicht gegen interne Angreifer, die über Zugangs­daten verfügen. Sie können die Schwachstelle ausnutzen, um beliebigen Code auf dem Rechner zu installieren.

    Geräte in einem IP-Adressbereich, bei denen das Remotedesktop-Feature nicht aktiviert ist, werden von rdpscan einfach übergangen. Ruft man es jedoch mit dem Schalter -v auf, dann gibt es eine Variante der UNKNOWN-Meldung aus.

    Das Tool liegt als Open-Source-Software auf Github im Quellcode zum Download bereit. Kompilierte Versionen für Windows und macOS können von dieser Seite heruntergeladen werden.

    Keine Kommentare