Ältere Windows-Systeme in akuter Gefahr durch Remote-Desktop-Exploit »EsteemAudit«

Vor Kurzem veröffentlichte die Hacker-Gruppe »Shadow Brokers« gestohlene Informationen, die mehrere Tools enthielten, um Schwachstellen in verschiedenen Windows-Versionen auszunutzen. Das berühmteste davon ist das Exploit-Tool »EternalBlue«, das angepasst wurde, um den WanaCrypt0r-Wurm beim großem Ransomware-Angriff Anfang Mai zu verbreiten. Ein weiteres Exploit-Tool, das zeitgleich veröffentlicht wurde, ist »EsteemAudit«, das Unit 42, die Forschungsabteilung von Palo Alto Networks, nun näher unter die Lupe genommen hat. EsteemAudit nutzt CVE-2017-9073 aus, eine Sicherheitslücke im Windows Remote Desktop System unter Windows XP und Windows Server 2003.

 

Beide betroffene Versionen des Betriebssystems werden von Microsoft nicht mehr unterstützt. Der Support für XP wurde im Jahr 2014 eingestellt und für Server 2003 im Jahr 2015, daher hat Microsoft keinen Patch für die Schwachstelle veröffentlicht. Eine Netzwerkschwachstelle wie diese kann mittels einer Wurm-Methode ausgenutzt werden, ähnlich wie die WanaCrypt0r-/WannaCry-Angriffe, die globale Auswirkungen hatten.

Palo Alto Networks empfiehlt Unternehmen, die sich immer noch auf diese veralteten Betriebssysteme verlassen, sich gegen die Ausnutzung dieser Sicherheitslücke zu schützen. Anderenfalls könnte ein Angreifer im Remote-Modus die Kontrolle über das System übernehmen. Unternehmen, die ihre Systeme nicht aktualisieren können oder keine Schutzmaßnahmen verwenden, sollten insbesondere das Smartcard-Modul über Gruppenrichtlinien oder in der Registry deaktivieren.

RDP-Exploits (Remote Desktop Protocol) gib es bereits lange. Zum Glück war seit der NT4-/Win98-Ära kein Remote-Exploit für Windows RDP öffentlich verfügbar. Nachdem die Forscher von Unit 42 die Grundzüge der Architektur, Komponenten, des Protokolls und der Kommunikation von RDP verinnerlicht hatten, konnten sie sich darauf konzentrieren, was genau die ausführbare Datei EsteemAudit.exe ausnutzt: EsteemAudit.exe dient der Kommunikation mit dem RDP-Server – wie ein RDP-Client entsprechend dem RDP-Protokoll. Es emuliert einen RDP-Client mittels einer Smartcard und sendet eine Anfrage für eine Smartcard-Umleitungsauthentifizierung an den RDP-Server, um ihn zu zwingen, die von EsteemAudit gesendeten Daten und Strukturen mit dem Smartcard-Modul gpkcsp.dll zu verarbeiten, wo die Sicherheitslücke besteht. Die Angreifer führen dabei einem sogenannten Inter-Chunk Heap Overflow in der Smartcard-Komponente gpkscp.dll durch. Die Ausnutzung dieser Schwachstelle ist komplex, aber das EsteemAudit-Tool ermöglicht es auch Anfängern, dies zu tun.

RDP ist eine sehr nützliche, aber auch sehr komplexe Komponente von Windows. Basierend auf der Analyse des EsteemAudit-Exploits haben die Forscher von Unit 42 herausgefunden, dass einige Anstrengungen nötig waren, um einen erfolgreichen Exploit zu erstellen. In jedem Fall steht mit EsteemAudit nun ein zuverlässiges und leistungsstarkes RDP-Exploit-Tool für Windows XP und Windows 2003 zur Verfügung.

CVE-2017-9073 existiert nur auf Windows Server 2003 und Windows XP. Beide Betriebssysteme werden nicht mehr von Microsoft unterstützt und somit ist kein offizieller Patch verfügbar. Unternehmen sollten daher im Optimalfall ein Upgrade auf eine neuere Windows-Version vornehmen. Da diese Sicherheitslücke jedoch das Smartcard-Modul gpkcsp betrifft, gibt es jedoch mögliche Behelfslösungen.

Es empfehlen sich folgende Maßnahmen:

  • Deaktivieren des Smartcard-Moduls über Gruppenrichtlinien oder in der Registry.
  • Soweit möglich, den Zugriff auf RDP aus externen Quellen deaktivieren oder beschränken.

Kunden von Palo Alto Networks sind auf folgende Weise geschützt:

  • Traps verhindert die Ausnutzung dieser Sicherheitsanfälligkeit auf Windows XP- und Server 2003-Hosts.
  • Die Bedrohungspräventions-Signatur 32533, veröffentlicht im Content Update 692, erkennt den Exploit in der Next-Generation-Firewall.

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Waffen der Wahl für automatisierte IT-Angriffe in großem Stil – Untersuchung zu Exploit-Kits

Experten warnen vor weiteren Ransomware-Attacken ähnlich WannaCry

WannaCry-Attacke: kein Grund zum Heulen

Banking-Malware: KRBanker nimmt Angriffsziele mittels Adware und Exploit-Kits ins Visier

Veraltete oder nicht gepatchte Software bietet Cyberkriminellen weiterhin Gelegenheit für Exploit-Aktivitäten

Fünf Gründe, warum Exploit Kits gefährlicher sind als gedacht

Adobe Flash Player: APT-Gruppierungen nutzten Zero-Day-Exploit schnell aus

Hacker nutzen Exploit für Angriff auf US Investigations Services

Die 7 am häufigsten ausgenutzten Exploits

Sicherheitshinweise zu Ransomware-Angriffen durch »WannaCrypt«