Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

Bonn, 15. Mai 2019. Für das Microsoft-Betriebssystem Windows besteht eine
kritische Schwachstelle im Remote-Desktop-Protocol-Dienst (RDP). Die
Schwachstelle ist aus der Ferne und ohne Zutun des Nutzers ausnutzbar und
ermöglicht daher einen Angriff mit Schadsoftware, die sich wurmartig
selbstständig weiterverbreitet. Dies hat Microsoft mitgeteilt
[https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/].

Sicherheitsupdates für unterschiedliche Windows-Versionen stehen bereits zur
Verfügung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät
Anwenderinnen und Anwendern, den jeweiligen Patch
[https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708]
möglichst umgehend einzuspielen. Betroffen sind alle Windows- und
Windows-Server-Versionen bis einschließlich Windows 7 und Windows-Server
2008. Microsoft hat auch für Windows-Versionen, die grundsätzlich nicht mehr
unterstützt werden, Patches zur Verfügung gestellt, so etwa für Windows XP.
Windows 10 ist Microsoft zufolge nicht betroffen. Das BSI hat eine
Cyber-Sicherheitswarnung mit detaillierten Handlungsempfehlungen an Betreiber
Kritischer Infrastrukturen und die Teilnehmer der Allianz für
Cyber-Sicherheit [www.allianz-für-cybersicherheit.de] ausgesprochen.

„Diese kritische Schwachstelle kann zu ähnlich verheerenden Angriffen führen,
wie wir sie 2017 mit WannaCry erleben mussten. Windows-Anwender sollten daher
die vorhandenen Updates umgehend installieren, bevor es zu größeren Schäden
kommt. Das BSI stellt derzeit eine Vielzahl an kritischen Schwachstellen
fest, nicht zuletzt in aktueller Chip-Hardware. Es zeigt sich erneut, wie
wichtig Software-Qualität ist und welche Bedeutung security-by-design und
security-by-default einnehmen müssen. Durch die zunehmende Digitalisierung
wird sich unsere Welt immer stärker vernetzen und damit werden auch die
digitalen Abhängigkeiten zunehmen. Ein wurmartiger Angriff kann daher
weltweit zu massiven wirtschaftlichen Schäden führen. Umso wichtiger ist es,
IT-Sicherheit strukturell in Unternehmen und Organisationen umzusetzen. Die
Allianz für Cyber-Sicherheit des BSI ist für Unternehmen und Organisationen
jeder Größe daher die richtige Anlaufstelle“, so BSI-Präsident Arne
Schönbohm.

BSI stuft Schwachstelle als kritisch ein

Die Schwachstelle ist als kritisch anzusehen. Zwar ist der RDP-Dienst in der
Regel nicht als aktiv voreingestellt, für eine hohe Anzahl von Servern wird
der Dienst aber für die Fernwartung verwendet - und dies teilweise über das
Internet. Dadurch ist ein Szenario denkbar, das der Ausbreitung von Wannacry
gleicht, bei dem sich eine entsprechend zugeschnittene Schadsoftware
automatisiert über das Internet verbreiten kann. Eine aktive Ausnutzung der
Schwachstelle konnte das BSI bislang nicht feststellen. Mit der
Veröffentlichung der Schwachstelle ist aber nun davon auszugehen, dass
Angreifer sehr schnell entsprechende Schadsoftware entwickeln.

BSI-Empfehlungen

Die von Microsoft zur Verfügung gestellten Updates sollten unverzüglich
eingespielt werden. In Produktivnetzen von Unternehmen sollten ggfs. zunächst
entsprechende Tests durchgeführt werden.
Falls entgegen der Empfehlung, Betriebssysteme nicht mehr zu nutzen, die
herstellerseitig nicht mehr unterstützt werden,aus individuellen Gründen noch
Windows-Versionen wie XP und Server 2003 eingesetzt werden, sollten die
Updates manuell heruntergeladen und installiert werden.

Wenn kein Bedarf besteht, den RDP-Dienst zu nutzen, dann sollte dieser
deaktiviert sein. Wenn RDP eingesetzt wird, sollten Verbindungen von außen
auf bestimmte Netzbereiche oder Adressen eingeschränkt werden. Zudem bietet
sich an, RDP-Anmeldungen zu protokollieren und regelmäßig auf
sicherheitsrelevante Auffälligkeiten zu prüfen.

Unabhängig von der konkreten Schwachstelle benachrichtigt das CERT-Bund des
BSI seit einigen Wochen Betreiber von offen aus dem Internet erreichbaren
RDP-Diensten. Empfänger dieser Benachrichtigungen sollten kritisch prüfen, ob
der RDP-Dienst tatsächlich von beliebigen Adressen aus dem Internet
erreichbar sein sollte.