Microsoft wird RDP-Anfragen von ungepatchten Systemen blocken

Das Sicherheitsproblem besteht in allen Windowsversionen und hier im Security Support Provider Protocol, kurz CredSSP. Das Problem wurde bereits im August 2017 an das MSRC gemeldet.

Die betroffene Windows Systeme des CredSSP Angriffes sind:

  • Microsoft Windows Server 2008 SP2,
  • Microsoft Windows Server 2008 R2 SP1,
  • Windows 7 SP1,
  • Windows 8.1,
  • Windows RT 8.1,
  • Windows Server 2012
  • Windows Server 2012 R2,
  • Windows 10 Gold,
  • Windows 10 1511,
  • Windows 10 1607,
  • Windows 10 1703,
  • Windows 10 1709,
  • Windows Server 2016

CredSSP und der Angriff

CredSSP wird verwendet um Anmeldeinformationen verschlüsselt und sicher von Drittsoftware weiter zu verarbeiten. Genutzt wird dieses Verfahren bei Remoteverbindungen (RDP) und WinRM. In diesem Protokoll besteht eine Sicherheitslücke die einen Angreifer ermöglicht, beliebigen Code auf dem Zielsystem auszuführen oder die Logindaten / Credentials zu stehlen. Weiterhin kann er von diesem gekaperten Rechner aus weitere Rechner angreifen und unter seiner Kontrolle bringen.

Das Problem ist im CVE-2018-0886 beschrieben, der auch die Liste der Produkte und Fixe nennt. Der Angriff wird im Allgemeinen als Man-in-the-Middle Angriff bezeichnet, wobei hier das Address Resolution Protocol (ARP) Poisoning verwendet wird. Wie das geht erklärt das Video der Sicherheitsfirma Preempt unten.

Microsoft reagiert – die Lösung

Auf Grund dieser Situation wird Microsoft alle Systeme die ungeschützt eine RDP Verbindung oder WinRM nutzen bald ausschließen / blockieren. Um das Problem zu lösen, hat Microsoft mit dem März 2018 Updates diese Sicherheitslücke (CVE-2018-0886) in Form des Patches KB4093492 geschlosen. Dieses schließt die Lücke im CredSSP und den Remote Desktop Clients.

Weiterhin empfiehlt Microsoft die nachfolgenden Group Policy / Registry “Credentials Delegation” entsprechend dem KB4093492 auf die Option “Force updated clients” oder “Mitigated (abgesichert)”  für Clients und Server zu konfigurieren.  !Achtung ein Reboot des Systems ist abschließend notwendig!

Microsoft Eventlog Meldung 6041

Wenn die Remoteverbindung nicht erfolgen kann, weil die Einstellungen falsch konfiguriert wurden, oder der Patch nicht installiert ist, wird das Eventlog im Abschnitt System, als Source LSA (LsaSrv) die Event-ID 6041 vom anzeigen. Der Text dazu sieht dann wie folgt aus:

A CredSSP authentication to <hostname>failed to negotiate a common protocol version. The remote host offered version <Protocol Version> which is not permitted by Encryption Oracle Remediation.

Microsoft Remote Desktop Client  – Welche Version ist installiert?

Das lässt sich recht einfach anhand der Dateiinformation der mstsc.exe herausfinden. "C:\Windows\System32\mstsc.exe"

Windows MSTSC Remote Desktop Version

Windows MSTSC Remote Desktop Version

oder per Powershell:

(Get-Item C:\Windows\System32\mstsc.exe).VersionInfo.FileVersion
10.0.15063.608 (WinBuild.160101.0800)

Microsoft CredSSP die weitere Schritte1

13. März 2018

In den März Updates wurden das CredSSP gepatcht, sowie der RDP Client aktualisiert.

17. April 2018

Ein weiteres Update wird verteilt. Der Remote Desktop Client (RDP) wird eine Fehlermeldung ausgeben, wenn die Verbindung nicht erfolgen kann, weil obiges Update nicht durchgeführt wurde. Siehe KB4093492

8. Mai 2018

Es wird ein Update geben, dass die oben genannte Einstellung von “Vulnerable (verwundbar)” auf “Mitigated (abgesichert)” einstellt. Das wird zur Folge haben, dass Clients und Server die verwundbar sind, keine Verbindung mehr aufbauen können.

Liste alle MS Security Alerst für den März 2018 findest du unter: https://support.microsoft.com/en-us/help/20180313/security-update-deployment-information-march-13-2018

Video das exploiting MS Remote Desktop Protocol erklärt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.