News

Patch-Dienstag März 2012 – Remote Desktop Pre-Auth Ring0 Use-After-Free RCE!

Der Patch-Dienstag im März 2012 stopft eine Reihe von Sicherheitslücken in den Technologien von Microsoft. Die interessanten Korrekturen beseitigen eine bestimmte problematische Preauthentication Ring0 Use-After-Free-Schwachstelle im Remote Desktop und eine DoS-Sicherheitslücke, eine DoS-Sicherheitslücke im Microsoft DNS Server sowie verschiedene weniger kritische lokale EoP-Schwachstellen.

Mir scheint, dass Mitarbeiter oder Mitglieder von kleinen oder mittleren Organisationen ganz selbstverständlich remoten Zugriff auf das interne Netzwerk erwarten. Im Gegenzug ist der Remote Desktop-Service regelmäßig öffentlichen Netzwerken ausgesetzt, mit trägen, nicht-VPN oder begrenzten Kommunikationen in Organisationen dieser Größenordnung. Die gute RDP-Praxis sollte befolgt werden, mit strengen Authentifizierungsregeln und unterteiltem, eingeschränktem Netzwerkzugriff.

Einige Unternehmen und andere große Organisationen halten weiterhin ihre “Festung” aufrecht und lassen RDP für den Support verfügbar. Das Problem liegt darin, dass RDP-fähige Laptops und andere mobile Geräte ihren Weg in Coffee-Shops oder andere öffentliche Wifi-Netzwerke finden, wo Nutzer eine schwache Verbindungspolicy konfigurieren können, und den Laptop so einem Angriffsrisiko aussetzen. Einmal infiziert, tragen sie das Gerät zurück in die Festung und infizieren dann eine Menge anderer angeschlossener Systeme von innen heraus. Um Unternehmen zu helfen, bei denen es zu Verzögerungen bei der Installation der Patches kommen könnte, bietet Microsoft ein Reparatur-Tool, das der Verbindung Netzwerk-Layer-Authentifizierung hinzufügt und vor Ausnutzung der Sicherheitslücke schützt.

Im letzten Herbst beobachteten wir, wie der RDP-Wurm Morto öffentlich zugängliche Remote Desktop Services in Unternehmen jeder Größe mit der Brute-Force-Methode zum Passwort-Knacken attackierte. Er breitete sich in erster Linie auf Grund extrem schwacher Passwörter für administrative Accouts aus! Der Vorfall mit dem Wurm Morto lenkte die Aufmerksamkeit auf schlecht geschützte RDP-Dienste. Dementsprechend muss diese Remote Desktop-Schwachstelle umgehend gepatcht werden. Die Tatsache, dass es sich um eine Ring0 Use-After-Free-Sicherheitslücke handelt, könnte die Angelegenheit erschweren, doch das Team von Microsoft stuft sie mit “1” ein – es ist zu erwarten, dass dieses Merkmal die Entwicklung von Schadcode für diese Schwachstelle nur vorantreibt. Schieben Sie die Installation des Patches für CVE-2012-0002 also nicht auf.

Nun möchte ich schließlich den Lesern, die technisch etwas weniger bewandert sind, erklären, was es mit einer „Remote Desktop pre-auth ring0 use-after-free RCE“ auf sich hat. Remote Desktop ist ein Service, auf den entfernt zugegriffen werden kann, so dass der Anwender sich entfernt mit einem Windows-System verbinden und ein Fenster auf dem Desktop in einer Anwendung öffnen kann, als würde er direkt vor dem Computer sitzen. Normalerweise muss man sich zu diesem Zweck in das System einloggen, daher ist es recht gut geschützt. Unglücklicherweise ist dieser Fehler so beschaffen, dass ein entfernter Angreifer sich mit dem Remote Desktop Service des Systems über das Netzwerk verbinden und das System erfolgreich angreifen kann, ohne sich einzuloggen. Der Teil „Ring0“ bedeutet einfach nur, dass sich der verwundbare Code tief im Inneren des Windows-Systems, dem Kernel des Betriebssystems befindet (die meisten Anwendungen, die auf einem System laufen, laufen in „Ring3“, oder „User-Mode“). „Use-after-free“ ist der Typ von Sicherheitslücke, der eine Ausnutzung ermöglicht und diese Art von Fehler ist weiterhin extrem schwer auszurotten, wie bereits vor Jahren vorhergesagt wurde, selbst da viele der traditionelleren Low Hanging Stack- und Heap-Overflows durch automatisierte Code-Überprüfung und bessere Codierungspraxis ausgemerzt wurden. RCE schließlich bezieht sich auf den Typ von Exploit, der durch die Sicherheitslücke ermöglicht wird, oder auch „entferntes Ausführen von Code“, was bedeutet, dass ein Angreifer schädlichen Code seiner Wahl auf das System transportieren und alles stehlen kann. Da haben wir es also – „pre-auth ring0 use-after-free RCE“.

Die DNS-Server von Microsoft haben zudem immer noch DoS-Sicherheitslücken. Da der Hacktivismus in den letzten Jahren extrem zunimmt, sollten alle Unternehmen und Provider, die diese Software verwenden, umgehend ihre DNS-Server patchen. Anzeichen für eine Attacke schließen den Standard UDP Request Flood ein.

Patch-Dienstag März 2012 – Remote Desktop Pre-Auth Ring0 Use-After-Free RCE!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach