Mitte Mai hat Microsoft vor der als Bluekeep bekannten Sicherheitslücke gewarnt und Sicherheitspatches für alle Windows-Systeme (auch noch für Windows XP) zur Verfügung gestellt. Sowohl Microsoft als auch das BSI schätzen die Gefahr als sehr hoch ein, obwohl wohl noch keine Exploits in freier Wildbahn gesichtet wurden. Viele Sicherheitsexperten erwarten jedoch, dass dies bald geschieht. Windows 8 und Windows 10 sind nicht betroffen. Auch alle Windows-Home-Versionen, bei denen die Remote-Desktop-Unterstützung fehlt, sind auf der sicheren Seite.
Ein Test des Sicherheitsexperten Robert Graham hat zirka 1 Mio. Rechner gefunden, die bisher noch nicht gepatcht sind. Dazu hat er das gesamte Internet nach offenen 3389-Ports gescannt, über den Rechner üblicherweise für eine RDP-Verbindung angesprochen werden.
Wie der Angriff funktioniert
Ist ein Windows-Rechner nicht gepatcht und im Internet über den RDP-Port 3389 erreichbar, kann ein darauf spezialisierter Exploit direkt Code auf diesem Rechner ausführen und die Kontrolle über den PC übernehmen. Für den Angriff ist es nicht nötig, sich mit Login und Passwort anzumelden. Es reicht, wenn RDP auf dem System aktiv ist und der Rechner auf Anfragen über das RDP-Protokoll am Port 3389 reagiert.
Ausgenommen sind hiervon lediglich Systeme, die eine Network Level Authentication (NLA) verlangen. Das Einspielen von Malware gelingt dann erst mit einer aktiven Session, für die man Anmeldedaten benötigt.
Wie man sich schützt
Um sich zu schützen, gibt es gleich mehrere Methoden:
1 Alle Systeme mit den notwendigen Microsoft-Updates auf den aktuellen Stand bringen. Microsoft hat eine eigene Seite dafür eingerichtet, auf der man die Patches für XP, Vista und Server 2003 auch manuell herunterladen kann (https://bit.ly/2WR047H). Alle moderneren Systeme sollten sich über die Windows-Update-Funktion im Mai selbst gepatcht haben.
2 Mit einem Tool wie rdpscan von Robert Graham (https://bit.ly/2R9fUbp) das lokale Netz nach offenen Rechner scannen lassen. Mehr Infos gibt es dazu auf Github unter https://bit.ly/31s5kBh. Das Tool kann in der Kommandozeile mit einem Aufruf wie rdpscan 192.168.1.1-192.168.1.255 gestartet werden. Die gefährdeten Systeme lassen sich dann offline nehmen und RDP ausschalten (siehe nächster Punkt). Für Entwickler: Auf Github gibt es auch den Source-Code, um ihn für andere Zwecke anzupassen.
3 Auf den betroffenen Systemen RDP in den Systemeigenschaften, Tab Remote deaktivieren (siehe Abbildung links unten). Dazu mit der rechten Maustaste auf das Arbeitsplatzsymbol klicken und Eigenschaften auswählen.
Generell ist es mutig, RDP-Ports öffentlich zugänglich zu machen. Diese sollten von außen nur über eine VPN-Verbindung erreichbar sein, die man vorher aufbauen muss.
Was ist: RDP?
■ Remote Desktop ist ein sehr effizientes Verfahren, um aus der Ferne auf einen Windows-Rechner zuzugreifen.
Dabei werden nicht – wie bei VNC und Teamviewer – Bildschirminhalte wie in einem Video permanent übers Internet verschickt, sondern die Grafikfunktionen des Remote-Systems auf das eigene umgeleitet. RDP arbeitet daher sehr effizient und funktioniert auch auf langsamen Leitungen sehr gut. Unter Windows 10 ist RDP erst in der Pro-Version verfügbar.
