Microsoft sagte heute, dass es zwei neue große Sicherheitsmängel im Windows Desktop Services-Paket behoben hat. Diese beiden Schwachstellen ähneln der als BlueKeep (CVE-2019-0708) bekannten Schwachstelle. Microsoft hat BlueKeep im Mai gepatcht und gewarnt, dass Angreifer es missbrauchen könnten, um „entwurmbare“ Angriffe zu erstellen, die sich ohne Benutzerinteraktion von einem Computer zum anderen ausbreiten.
Heute sagte Microsoft, dass es zwei weitere BlueKeep-ähnliche Sicherheitsmängel behoben hat, nämlich CVE-2019-1181 und CVE-2019-1182. Genau wie BlueKeep sind diese beiden neuen Fehler entwurmbar und befinden sich auch im Paket Windows Remote Desktop Services (RDS). Im Gegensatz zu BlueKeep können diese beiden nicht über das Remote Desktop Protocol (RDP) genutzt werden, das normalerweise Teil des größeren RDS-Pakets ist.
„Die betroffenen Versionen von Windows sind Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 und alle unterstützten Versionen von Windows 10, einschließlich Serverversionen“, sagte Simon Pope, Director of Incident Response am Microsoft Security Response Center (MSRC).
„Windows XP, Windows Server 2003 und Windows Server 2008 sind nicht betroffen“, sagte er. Pope sagte, dass Microsoft diese Schwachstellen intern gefunden habe, während es versuchte, den Sicherheitszustand des RDS-Pakets zu verhärten und zu verbessern.
Remote Desktop Services (RDS) ist die Windows-Komponente, die es einem Benutzer ermöglicht, die Kontrolle über einen Remotecomputer oder eine virtuelle Maschine über eine Netzwerkverbindung zu übernehmen. In einigen früheren Windows-Versionen war RDS als Terminaldienste bekannt.
Wie beim BlueKeep-Fehler empfiehlt Pope Anwendern und Unternehmen, ihre Systeme so schnell wie möglich zu patchen, um eine Ausnutzung zu verhindern. Obwohl BlueKeep vor drei Monaten veröffentlicht wurde, wurden zum Zeitpunkt des Schreibens noch keine Angriffe entdeckt, obwohl BlueKeep-Exploits erstellt und verbreitet wurden.
Dennoch ist es besser, sicher zu sein als zu bedauern, deshalb sollten Patches für CVE-2019-1181 und CVE-2019-1182 diese Woche und diesen Patch-Dienstag ganz oben auf der Liste jedes Systemadministrators stehen.
„Es gibt eine teilweise Reduzierung der betroffenen Systeme, die eine Authentifizierung auf Netzwerkebene (NLA) aktiviert haben“, sagte Pope. „Die betroffenen Systeme werden gegen „entwurmbare“ Malware oder fortgeschrittene Malware-Bedrohungen, die die Schwachstelle ausnutzen könnten, abgewehrt, da die NLA eine Authentifizierung erfordert, bevor die Schwachstelle ausgelöst werden kann.
„Die betroffenen Systeme sind jedoch immer noch anfällig für die Ausnutzung durch Remote Code Execution (RCE), wenn der Angreifer über gültige Anmeldeinformationen verfügt, die zur erfolgreichen Authentifizierung verwendet werden können“, sagte Pope.