zurück zum Artikel

Exploit für Windows-RDP-Lücke im Umlauf

Für die am vergangenen Dienstag von Microsoft gepatchte Schwachstelle im RDP-Server sämtlicher Windows-Versionen [1] ist ein Proof-of-Concept-Exploit (PoC) namens rdpclient.exe im Umlauf, mit dem man verwundbare Systeme aus der Ferne zum Absturz bringen kann. Entwickelt wurde der Exploit angeblich von Microsoft selbst, wie der Entdecker der Schwachstelle Luigi Auriemma bei Twitter behauptet [2].

Mit dem allgemein zugänglichen Exploit-Code kann jedermann ungepatchte Windows-Systeme zum Absturz bringen.

Laut Auriemma bringt der Exploit das Zielsystem nämlich exakt mit dem RDP-Paket zum Absturz, das er Microsoft vertraulich über die Zero-Day-Initiative [3] im vergangenen Jahr zukommen ließ. Microsoft habe den Exploit bereits im November vergangenen Jahres auf Basis der von Auriemma bereitgestellten Informationen entwickelt, behauptet der Sicherheitsexperte auf seiner Webseite [4].

Als Reaktion auf den Vorfall hat Auriemma nun auch sein auf den 16. Mai vergangenen Jahres datiertes Advisory der Allgemeinheit zugänglich gemacht [5] – einschließlich des PoC-Codes [6]. heise Security konnte mit Hilfe des PoC erfolgreich einen Bluescreen auf einem bislang ungepatchten Windows-7-System provozieren.

Durch welche undichte Stelle der Exploit ins Netz gelangt sein könnte, ist unklar. Microsoft soll den Exploit ausgewählten Partner, etwa Hersteller von Antiviren-Software, im Rahmen seines Active Protections Program (MAPP) [7] zur Verfügung gestellt haben.

Jetzt dürfte es nicht mehr lange dauern, bis der Exploit zu einem vollwertigen Metasploit-Modul ausgebaut wird, der die Kompromittierung des Rechners erlaubt. heise Security liegen Hinweise [8] vor, dass in der Szene bereits ein Python-Skript im Umlauf ist, das eine Remote Shell auf dem Rechner öffnet. Wer den am vergangenen Dienstag veröffentlichten Patch also noch nicht eingespielt hat, sollte umgehend handeln.

Die Schwachstelle tritt bei einem Zugriff auf ein freigegebenes Objekt im Speicher auf (use-after-free) und erfordert keine Authentifizierung. Verwundbar sind alle Windows-Versionen, bei denen der RDP-Server (aka "Remotedesktopverbindung") aktiviert wurde. Über das Internet lässt sich die Lücke nur ausnutzen, wenn der RDP-Port 3389 auch vom Router an das System weitergeleitet wird oder der Rechner direkt mit dem Internet verbunden ist. (rei [9])


URL dieses Artikels:
http://www.heise.de/-1473617

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Saemtliche-Windows-Versionen-via-Remote-Desktop-angreifbar-1471341.html
[2] https://twitter.com/#!/luigi_auriemma/status/180646548395401216
[3] http://www.zerodayinitiative.com/
[4] http://aluigi.org/
[5] http://aluigi.org/adv/termdd_1-adv.txt
[6] http://aluigi.org/poc/termdd_1.dat
[7] http://www.microsoft.com/security/msrc/collaboration/mapp/
[8] https://www.heise.de/meldung/Praemie-fuer-Windows-RDP-Exploit-1473191.html
[9] mailto:rei@heise.de