Branche - geschrieben von cp am Samstag, Mai 16, 2020 17:37 - noch keine Kommentare
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt
Sicherheitsforscher nutzen Windows-Fernzugriff um sensible Dateien zu modifizieren und Web-Server zu übernehmen
[datensicherheit.de, 16.05.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd. war einer bekannten – und dennoch offenen – Sicherheitslücke in Microsofts Fernzugriff für Windows-Betriebssysteme auf der Spur, als es auf eine wesentlich gefährlichere Schwachstelle stieß: Path-Traversal-Attacks.
Zugriff auf das gesamte System möglich
Den Sicherheitsforschern gelang es, die Anwendung eines Ziel-Servers auszutricksen und sich Zugriff auf das gesamte System zu verschaffen. Sie schickten eine Datei an ein beliebiges Programm, deren Name nicht verifiziert werden konnte. Statt die Datei abzulehnen, weil sie nicht in den Standard-Ordner gespeichert werden kann, gewährte das System den Angreifern nun, ihre Datei über den Explorer in einem Ordner ihrer Wahl zu speichern. So können die Cyber-Kriminellen sämtliche Ordner durchsuchen und äußerst sensible Dateien lesen oder sogar extrahieren, darunter: Informationen über Programme, Datenbanken, Passwörter, oder den Quell-Code einer Anwendung. Am schwersten aber wiegt, dass die Akteure in die Lage versetzt werden, Befehle auf dem Web-Server auszuführen, die im schlimmsten Fall den gesamten Server kompromittieren.
Schwachstelle bereits auf der Black-Hat-Conference 2019 vorgestellt
Die ursprüngliche Sicherheitslücke im RDP stellte Check Point bereits im August 2019 auf der Black-Hat-Conference vor. Microsoft veröffentlichte umgehend einen Patch (CVE-2019-0887). Jedoch fanden die Sicherheitsforscher bereits im Oktober 2019 heraus, dass der Patch selbst einige Lücken aufwies, die es ermöglichten, den installierten Patch zu umgehen und die alte Schwachstelle wieder zu öffnen. Das Ergebnis der Untersuchung war, dass Microsoft zum Schließen dieses Einfallstors die API-Funktion ‚PatchCchCanonicalize‘ nutzt, welche den Sicherheitsforschern zufolge also nicht fehlerfrei sein konnte. Im Februar 2020 schloß Micrsoft, nach dem Hinweis von Check Point, die Lücke im Fernzugriff erneut mit einem Patch (CVE 2020-0655). Damit ist zwar das RDP nun korrekt gesichert, jedoch natürlich nicht all die anderen Programme, die mit der API-Funktion ‚PatchCchCanonicalize‘ ausgestattet sind.
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies, erklärt: „Unsere Entdeckung sollte in zwei Teilen betrachtet werden. Der erste Teil besteht daraus, dass IT-Abteilungen großer Unternehmen, die Windows verwenden, dringend Microsofts ‚Februar-Patch (CVE 2020-0655)‘ installieren müssen. Es gilt sicherzustellen, dass deren RDP-Client vor dem Angriff geschützt ist, den wir auf der BlackHat USA 2019 vorgestellt haben.
Der zweite Teil richtet sich an Software-Entwickler und Sicherheitsforscher weltweit: die Schwachstelle selbst ist in der offiziellen API noch nicht behoben. Daher sind alle Software-Programme, die nach Microsofts ‚Best Practices‘ geschrieben werden, weiterhin für einen Path-Traversal-Angriff anfällig. Software-Entwickler müssen sich dieser Bedrohung bewusst sein und dafür sorgen, dass ihre eigenen Software-Programme manuell gepatcht werden.“
Weitere Informationen zum Thema:
Check Point Research
Reverse RDP – The Path Not Taken
datensicherheit.de, 06.05.2020
Tenable: Diese Schwachstellen bedrohen mobiles Arbeiten derzeit besonders stark
datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol
Aktuelles, Experten - Okt 9, 2024 19:01 - noch keine Kommentare
Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
weitere Beiträge in Experten
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren