Branche - geschrieben von cp am Samstag, Mai 16, 2020 17:37 - noch keine Kommentare
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt
Sicherheitsforscher nutzen Windows-Fernzugriff um sensible Dateien zu modifizieren und Web-Server zu übernehmen
[datensicherheit.de, 16.05.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd. war einer bekannten – und dennoch offenen – Sicherheitslücke in Microsofts Fernzugriff für Windows-Betriebssysteme auf der Spur, als es auf eine wesentlich gefährlichere Schwachstelle stieß: Path-Traversal-Attacks.
Zugriff auf das gesamte System möglich
Den Sicherheitsforschern gelang es, die Anwendung eines Ziel-Servers auszutricksen und sich Zugriff auf das gesamte System zu verschaffen. Sie schickten eine Datei an ein beliebiges Programm, deren Name nicht verifiziert werden konnte. Statt die Datei abzulehnen, weil sie nicht in den Standard-Ordner gespeichert werden kann, gewährte das System den Angreifern nun, ihre Datei über den Explorer in einem Ordner ihrer Wahl zu speichern. So können die Cyber-Kriminellen sämtliche Ordner durchsuchen und äußerst sensible Dateien lesen oder sogar extrahieren, darunter: Informationen über Programme, Datenbanken, Passwörter, oder den Quell-Code einer Anwendung. Am schwersten aber wiegt, dass die Akteure in die Lage versetzt werden, Befehle auf dem Web-Server auszuführen, die im schlimmsten Fall den gesamten Server kompromittieren.
Schwachstelle bereits auf der Black-Hat-Conference 2019 vorgestellt
Die ursprüngliche Sicherheitslücke im RDP stellte Check Point bereits im August 2019 auf der Black-Hat-Conference vor. Microsoft veröffentlichte umgehend einen Patch (CVE-2019-0887). Jedoch fanden die Sicherheitsforscher bereits im Oktober 2019 heraus, dass der Patch selbst einige Lücken aufwies, die es ermöglichten, den installierten Patch zu umgehen und die alte Schwachstelle wieder zu öffnen. Das Ergebnis der Untersuchung war, dass Microsoft zum Schließen dieses Einfallstors die API-Funktion ‚PatchCchCanonicalize‘ nutzt, welche den Sicherheitsforschern zufolge also nicht fehlerfrei sein konnte. Im Februar 2020 schloß Micrsoft, nach dem Hinweis von Check Point, die Lücke im Fernzugriff erneut mit einem Patch (CVE 2020-0655). Damit ist zwar das RDP nun korrekt gesichert, jedoch natürlich nicht all die anderen Programme, die mit der API-Funktion ‚PatchCchCanonicalize‘ ausgestattet sind.
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies, erklärt: „Unsere Entdeckung sollte in zwei Teilen betrachtet werden. Der erste Teil besteht daraus, dass IT-Abteilungen großer Unternehmen, die Windows verwenden, dringend Microsofts ‚Februar-Patch (CVE 2020-0655)‘ installieren müssen. Es gilt sicherzustellen, dass deren RDP-Client vor dem Angriff geschützt ist, den wir auf der BlackHat USA 2019 vorgestellt haben.
Der zweite Teil richtet sich an Software-Entwickler und Sicherheitsforscher weltweit: die Schwachstelle selbst ist in der offiziellen API noch nicht behoben. Daher sind alle Software-Programme, die nach Microsofts ‚Best Practices‘ geschrieben werden, weiterhin für einen Path-Traversal-Angriff anfällig. Software-Entwickler müssen sich dieser Bedrohung bewusst sein und dafür sorgen, dass ihre eigenen Software-Programme manuell gepatcht werden.“
Weitere Informationen zum Thema:
Check Point Research
Reverse RDP – The Path Not Taken
datensicherheit.de, 06.05.2020
Tenable: Diese Schwachstellen bedrohen mobiles Arbeiten derzeit besonders stark
datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren