Ältere Windows-Systeme in akuter Gefahr durch Remote-Desktop-Exploit

Palo Alto Networks warnt vor "EsteemAudit"

München, (PresseBox) - Vor Kurzem veröffentlichte die Hacker-Gruppe „Shadow Brokers“ gestohlene Informationen, die mehrere Tools enthielten, um Schwachstellen in verschiedenen Windows-Versionen auszunutzen. Das berühmteste davon ist das Exploit-Tool „EternalBlue“, das angepasst wurde, um den WanaCrypt0r-Wurm beim großem Ransomware-Angriff Anfang Mai zu verbreiten. Ein weiteres Exploit-Tool, das zeitgleich veröffentlicht wurde, ist „EsteemAudit“, das Unit 42, die Forschungsabteilung von Palo Alto Networks, nun näher unter die Lupe genommen hat. EsteemAudit nutzt CVE-2017-9073 aus, eine Sicherheitslücke im Windows Remote Desktop System unter Windows XP und Windows Server 2003.

Beide betroffene Versionen des Betriebssystems werden von Microsoft nicht mehr unterstützt. Der Support für XP wurde im Jahr 2014 eingestellt und für Server 2003 im Jahr 2015, daher hat Microsoft keinen Patch für die Schwachstelle veröffentlicht. Eine Netzwerkschwachstelle wie diese kann mittels einer Wurm-Methode ausgenutzt werden, ähnlich wie die WanaCrypt0r-/WannaCry-Angriffe, die in diesem Monat globale Auswirkungen hatten.

Palo Alto Networks empfiehlt Unternehmen, die sich immer noch auf diese veralteten Betriebssysteme verlassen, sich gegen die Ausnutzung dieser Sicherheitslücke zu schützen. Anderenfalls könnte ein Angreifer im Remote-Modus die Kontrolle über das System übernehmen. Unternehmen, die ihre Systeme nicht aktualisieren können oder keine Schutzmaßnahmen verwenden, sollten insbesondere das Smartcard-Modul über Gruppenrichtlinien oder in der Registry deaktivieren.

RDP-Exploits (Remote Desktop Protocol) gib es bereits lange. Zum Glück war seit der NT4-/Win98-Ära kein Remote-Exploit für Windows RDP öffentlich verfügbar. Nachdem die Forscher von Unit 42 die Grundzüge der Architektur, Komponenten, des Protokolls und der Kommunikation von RDP verinnerlicht hatten, konnten sie sich darauf konzentrieren, was genau die ausführbare Datei EsteemAudit.exe ausnutzt: EsteemAudit.exe dient der Kommunikation mit dem RDP-Server – wie ein RDP-Client entsprechend dem RDP-Protokoll. Es emuliert einen RDP-Client mittels einer Smartcard und sendet eine Anfrage für eine Smartcard-Umleitungsauthentifizierung an den RDP-Server, um ihn zu zwingen, die von EsteemAudit gesendeten Daten und Strukturen mit dem Smartcard-Modul gpkcsp.dll zu verarbeiten, wo die Sicherheitslücke besteht. Die Angreifer führen dabei einem sogenannten Inter-Chunk Heap Overflow in der Smartcard-Komponente gpkscp.dll durch. Die Ausnutzung dieser Schwachstelle ist komplex, aber das EsteemAudit-Tool ermöglicht es auch Anfängern, dies zu tun.

RDP ist eine sehr nützliche, aber auch sehr komplexe Komponente von Windows. Basierend auf der Analyse des EsteemAudit-Exploits haben die Forscher von Unit 42 herausgefunden, dass einige Anstrengungen nötig waren, um einen erfolgreichen Exploit zu erstellen. In jedem Fall steht mit EsteemAudit nun ein zuverlässiges und leistungsstarkes RDP-Exploit-Tool für Windows XP und Windows 2003 zur Verfügung.

CVE-2017-9073 existiert nur auf Windows Server 2003 und Windows XP.  Beide Betriebssysteme werden nicht mehr von Microsoft unterstützt und somit ist kein offizieller Patch verfügbar. Unternehmen sollten daher im Optimalfall ein Upgrade auf eine neuere Windows-Version vornehmen. Da diese Sicherheitslücke jedoch das Smartcard-Modul gpkcsp betrifft, gibt es jedoch mögliche Behelfslösungen.

Palo Alto Networks empfiehlt folgende Maßnahmen:


Deaktivieren des Smartcard-Moduls über Gruppenrichtlinien oder in der Registry.
Soweit möglich, den Zugriff auf RDP aus externen Quellen deaktivieren oder beschränken.


Kunden von Palo Alto Networks sind auf folgende Weise geschützt:


Traps verhindert die Ausnutzung dieser Sicherheitsanfälligkeit auf Windows XP- und Server 2003-Hosts.
Die Bedrohungspräventions-Signatur 32533, veröffentlicht im Content Update 692, erkennt den Exploit in der Next-Generation-Firewall.

Palo Alto Networks GmbH

Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

M&A und die Frage der IT-Sicherheit

Bei ei­ner Fu­si­on wer­den recht­li­che selbst­stän­di­ge Un­ter­neh­men zu ei­ner wirt­schaft­li­chen und recht­li­chen Ein­heit ver­bun­den. In Zei­ten der Di­gi­ta­li­sie­rung drängt sich die Fra­ge auf, wie die IT-In­fra­struk­tu­ren der fu­sio­nier­ten Fir­men eben­falls ve­r­ein­heit­licht wer­den kön­nen – oh­ne dass es zu qua­li­ta­ti­ven Ein­bu­ßen und Si­cher­heits­ri­si­ken kommt.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.