In einem überraschenden Schritt hat Microsoft vergangene Woche eine kritische Schwachstelle in den eigentlich nicht mehr unterstützten Betriebssystemen Windows XP und Server 2003 behoben. Die Remote Code Execution „BlueKeep“ (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Service (RDP) ist für entfernte Angreifer direkt ausnutzbar und wird als kritisch eingestuft.
Betroffen sind Windows Server 2008, Windows 7, Windows 2003 sowie Windows XP.
Während Shodan knapp 6.000 erreichbare RDP-Server (Filter auf Port 3389) verzeichnet, konnten wir mit einem Scan auf die österreichischen IP-Adressräume über 12.000 Server mit offenem RDP Port identifizieren. Unsere Erhebung zeigte außerdem, dass aus 5700 erfolgreich gescannten Servern, jeder dritte anfällig für „BlueKeep“ ist.
Die Zahlen im Detail:
- Offene RDP-Ports (3389): 12.182
- Anfällig: 1.912
- Nicht anfällig: 3.814
- Andere (Timeouts, andere Services, vermutlich auch Network Layer Authentication): 6.456
Die Erhebung zeigt nicht nur eine Schwäche beim Abschotten kritischer Services – die Erreichbarkeit von RDP sollte prinzipiell eingeschränkt sein – sondern auch massive Mängel im Patch-Management-Prozess und der Reaktion auf neu auftretende Schwachstellen.
Um die Verwundbarkeit der eigenen Services – auch intern – zu testen, kann folgendes Tool genutzt werden: https://github.com/zerosum0x0/CVE-2019-0708
Weitere Informationen zum Patch findet ihr unter https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2019-0708.
Den Überblick über neue Schwachstellen in eurer externen Infrastruktur behaltet ihr übrigens mit unserer Security-Monitoring-Lösung Offensity.