Im Mai hatten wir bereits über eine Sicherheitslücke in Microsoft RDP berichtet (BlueKeep), welche grosses Schadenspotenzial hat. Inzwischen wurde diese Lücke ausgiebig von Security-Spezialisten studiert und es existieren sehr genaue Beschreibungen darüber. Aufgrund dieser Schwachstelle hat Microsoft offenbar den Code für RDP auditiert und dabei weitere Sicherheitslücken entdeckt (CVE-2019-1181, CVE-2019-1182), welche ähnliches Schadenspotenzial haben. Worum es sich dabei konkret handelt und welche Sofortmassnahmen Sie nun tätigen sollten, erfahren Sie in diesem Beitrag.
Zwei Worte lassen Hacker und Security-Spezialisten bei den neuen Sicherheitslücken aufhorchen: Remote Code Execution und Pre-Auth. Warum? Die Sicherheitslücken können ohne vorherige Authentifizierung ausgenutzt und ein beliebiger Code auf dem Zielsystem ausgeführt werden. Genau wie im Mai, haben diese Lücken Potenzial für einen Wurm, ähnlich wie WannaCry, NotPetya oder eben BlueKeep. Da Microsoft gestern Sicherheits-Patches für diese Lücken bereitgestellt hat, ist es wahrscheinlich nur eine Frage von Tagen oder wenigen Wochen, bis diese rekonstruiert (Reverse Engineering) werden und somit ein Exploit verfügbar ist.
Empfehlungen zum Umgang mit RDP
Aufgrund der neuen Lücken im beliebten Microsoft RDP-Dienst, haben wir für Sie einige Empfehlungen zum Umgang mit RDP zusammengestellt:
RDP deaktivieren
Lassen Sie den RDP-Dienst nur laufen, wenn Sie diesen unbedingt benötigen. Oder noch besser: Deaktivieren Sie RDP überall dort, wo es nicht zwingend zur Remote-Verwaltung von Systemen notwendig ist.
Keine RDP-Systeme am Perimeter
Sorgen Sie dafür, dass der Microsoft RDP-Dienst nicht vom Internet aus erreichbar ist. Eine Firewall Rule am Perimeter, welche den Port 3389/TCP blockiert, ist auf jeden Fall empfehlenswert. Neben den Sicherheitslücken sind nämlich schwache Passwörter auf RDP-Diensten am Perimeter häufig Grund für eine Infektion des gesamten Unternehmensnetzwerkes, beispielsweise mit der Ransomware Ryuk oder Megac0rtex.
Es gibt inzwischen grosse Botnetze, welche nur auf der Suche nach schwachen RDP-Passwörtern sind. Falls Sie Kundenservices via RDP anbieten oder Fernwartungsaufgaben über das Internet via RDP tätigen müssen, empfehlen wir ausdrücklich, die Verbindung zusätzlich mit einem VPN abzusichern.
Network Level Authentication aktivieren
Wenn Sie RDP unter keinen Umständen deaktivieren können, sollten Sie NLA (Network Level Authentication) aktivieren. Dies bietet immerhin einen teilweisen Schutz, da der Angreifer den Schadcode erst nach einer erfolgreichen Authentifizierung ausführen kann.
Patchen
Nicht bloss die Systeme am Perimeter stellen eine Gefahr dar, sondern auch alle internen Systeme, welche RDP aktiviert haben. Der Grund ist offensichtlich: Es ist absehbar, dass Viren demnächst solche Lücken ausnützen werden, um sich lateral im Netzwerk zu bewegen. Deshalb sollten Sie Ihre Systeme so schnell wie möglich mit den Patches absichern, welche Microsoft gestern zur Verfügung gestellt hat: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
Komplexe Passwörter
Wählen Sie für Systeme, auf welchen RDP aktiviert ist, komplexe Passwörter. Es gibt schon heute Botnetze, welche zum Beispiel Kombinationen aus Firmennamen, Jahreszahlen etc. automatisiert durchtesten. Somit ist es bei einem schwachen Passwort bloss eine Frage der Zeit, bis sich ein Angreifer Zugang zu den Systemen verschafft hat.
Wie bei allen Sicherheitslücken gilt also auch hier: Reagieren Sie schnell und warten Sie nicht, bis etwas passiert ist. Durch einen sicheren Umgang mit RDP können Sie Ihr Unternehmen besser schützen – sowohl vor gezielten als auch vor opportunistischen Angriffen.
Wenn’s brennt – Incident Response Retainer
Eine Cyberattacke kann jedes Unternehmen treffen. Unser Incident Response Retainer ist die optimale Lösung, wenn es darum geht, im Notfall vorbereitet, schnell, effizient und wirkungsvoll zu handeln – und das 24x7:
- Unterstützung durch unser erfahrenes Computer Security Incident Response Team (CSIRT)
- Aufspüren des Angreifers und schnellstmögliche Isolation
- Umfassende Schadensanalyse durch Sicherheitsexperten aus unserem Schweizer Cyber Defence Center
- Unterstützung bei der Wiederherstellung des ordentlichen Betriebs
- Gewährleistung der Meldepflicht bei einem Sicherheitsvorfall; gemäss GDPR innerhalb von 72h
Interessiert? Mehr zu unserem Incident Response Retainer erfahren Sie hier: