Patch-Dienstag März 2012 – Remote Desktop Pre-Auth Ring0 Use-After-Free RCE!

Der Patch-Dienstag im März 2012 stopft eine Reihe von Sicherheitslücken in den Technologien von Microsoft. Die interessanten Korrekturen beseitigen eine bestimmte problematische Preauthentication Ring0 Use-After-Free-Schwachstelle im Remote Desktop und eine DoS-Sicherheitslücke, eine DoS-Sicherheitslücke im Microsoft DNS Server sowie verschiedene weniger kritische lokale EoP-Schwachstellen.

Mir scheint, dass Mitarbeiter oder Mitglieder von kleinen oder mittleren Organisationen ganz selbstverständlich remoten Zugriff auf das interne Netzwerk erwarten. Im Gegenzug ist der Remote Desktop-Service regelmäßig öffentlichen Netzwerken ausgesetzt, mit trägen, nicht-VPN oder begrenzten Kommunikationen in Organisationen dieser Größenordnung. Die gute RDP-Praxis sollte befolgt werden, mit strengen Authentifizierungsregeln und unterteiltem, eingeschränktem Netzwerkzugriff.

Einige Unternehmen und andere große Organisationen halten weiterhin ihre “Festung” aufrecht und lassen RDP für den Support verfügbar. Das Problem liegt darin, dass RDP-fähige Laptops und andere mobile Geräte ihren Weg in Coffee-Shops oder andere öffentliche Wifi-Netzwerke finden, wo Nutzer eine schwache Verbindungspolicy konfigurieren können, und den Laptop so einem Angriffsrisiko aussetzen. Einmal infiziert, tragen sie das Gerät zurück in die Festung und infizieren dann eine Menge anderer angeschlossener Systeme von innen heraus. Um Unternehmen zu helfen, bei denen es zu Verzögerungen bei der Installation der Patches kommen könnte, bietet Microsoft ein Reparatur-Tool, das der Verbindung Netzwerk-Layer-Authentifizierung hinzufügt und vor Ausnutzung der Sicherheitslücke schützt.

Im letzten Herbst beobachteten wir, wie der RDP-Wurm Morto öffentlich zugängliche Remote Desktop Services in Unternehmen jeder Größe mit der Brute-Force-Methode zum Passwort-Knacken attackierte. Er breitete sich in erster Linie auf Grund extrem schwacher Passwörter für administrative Accouts aus! Der Vorfall mit dem Wurm Morto lenkte die Aufmerksamkeit auf schlecht geschützte RDP-Dienste. Dementsprechend muss diese Remote Desktop-Schwachstelle umgehend gepatcht werden. Die Tatsache, dass es sich um eine Ring0 Use-After-Free-Sicherheitslücke handelt, könnte die Angelegenheit erschweren, doch das Team von Microsoft stuft sie mit “1” ein – es ist zu erwarten, dass dieses Merkmal die Entwicklung von Schadcode für diese Schwachstelle nur vorantreibt. Schieben Sie die Installation des Patches für CVE-2012-0002 also nicht auf.

Nun möchte ich schließlich den Lesern, die technisch etwas weniger bewandert sind, erklären, was es mit einer „Remote Desktop pre-auth ring0 use-after-free RCE“ auf sich hat. Remote Desktop ist ein Service, auf den entfernt zugegriffen werden kann, so dass der Anwender sich entfernt mit einem Windows-System verbinden und ein Fenster auf dem Desktop in einer Anwendung öffnen kann, als würde er direkt vor dem Computer sitzen. Normalerweise muss man sich zu diesem Zweck in das System einloggen, daher ist es recht gut geschützt. Unglücklicherweise ist dieser Fehler so beschaffen, dass ein entfernter Angreifer sich mit dem Remote Desktop Service des Systems über das Netzwerk verbinden und das System erfolgreich angreifen kann, ohne sich einzuloggen. Der Teil „Ring0“ bedeutet einfach nur, dass sich der verwundbare Code tief im Inneren des Windows-Systems, dem Kernel des Betriebssystems befindet (die meisten Anwendungen, die auf einem System laufen, laufen in „Ring3“, oder „User-Mode“). „Use-after-free“ ist der Typ von Sicherheitslücke, der eine Ausnutzung ermöglicht und diese Art von Fehler ist weiterhin extrem schwer auszurotten, wie bereits vor Jahren vorhergesagt wurde, selbst da viele der traditionelleren Low Hanging Stack- und Heap-Overflows durch automatisierte Code-Überprüfung und bessere Codierungspraxis ausgemerzt wurden. RCE schließlich bezieht sich auf den Typ von Exploit, der durch die Sicherheitslücke ermöglicht wird, oder auch „entferntes Ausführen von Code“, was bedeutet, dass ein Angreifer schädlichen Code seiner Wahl auf das System transportieren und alles stehlen kann. Da haben wir es also – „pre-auth ring0 use-after-free RCE“.

Die DNS-Server von Microsoft haben zudem immer noch DoS-Sicherheitslücken. Da der Hacktivismus in den letzten Jahren extrem zunimmt, sollten alle Unternehmen und Provider, die diese Software verwenden, umgehend ihre DNS-Server patchen. Anzeichen für eine Attacke schließen den Standard UDP Request Flood ein.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.