Posted by o.sommer
Der am letzten Patchday erschienene Fix für das Problem bei bestimmten RDP Konfigurationen ist deshalb extrem kritisch, da es sich um eine Lücke handelt deren Voraussetzungen zur Ausnutzung sehr wahrscheinlich der Konfiguration der meisten im Betrieb befindlichen Server entspricht.
Sollte der Server via Port 3389/TCP erreichbar sein und “Authentifizierung auf Netzwerkebene” (network level authentication (NLA)) nicht aktiviert sein, dann lässt sich diese Lücke (bisher theoretisch) ausnutzen.
Dabei ist es nicht unbedingt sicher, wenn der Server nicht über den RDP Port 3389 zum Internet veröffentlicht wurde, sondern nur intern erreichbar ist, da sehr einfach Malware vorstellbar ist, die über einen internen Client Angriffe auf RDP Server durchführt!
Mit diesen Einstellungen ist ein Server potenziell gefährdet:
Ein Ausschluss der Gefahr ist (zumindest für Versionen ab 2008) denkbar einfach und sollte zusätzlich zum Patch konfiguriert werden:
ACHTUNG:
Damit werden Windows Versionen XP/2003 oder älter vom RDP Zugriff auf diesen Server ausgeschlossen, aber das ist zumindest bei den meisten unserer Kunden kein Problem mehr, da XP Rechner idR nicht mehr in relevanter Anzahl vorhanden sind, und wenn dann keinen RDP Zugriff benötigen.
Unter SBS kann eine vorhandene Gruppenrichtlinie angepasst werden, um die notwendigen Einstellungen für alle SBS Client Computer zentral durchzuführen:
Pfad für Einstellungen:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit
Der Wert ist auf “Aktiviert” zu setzen um die Sicherheitslücke auszuschließen.
Sicherheitsupdate für Windows Server 2008 x64 Edition (KB2647170)
Updatetyp: Wichtig
Es wurde eine Sicherheitslücke entdeckt, durch die ein nicht authentifizierter Remoteangreifer verursachen kann, dass ein System nicht mehr reagiert. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen. Nach der Installation dieses Updates müssen Sie das System gegebenenfalls neu starten.
Weitere Informationen:
http://go.microsoft.com/fwlink/?LinkId=235401
Einige Links zum Thema und das Statement von Yunsun Wee:
“Proof-of-Concept Code available for MS12-020 - MSRC - Site Home -
On March 15, we became aware of public proof-of-concept code that
results in denial of service for the issue addressed by MS12-020
We continue to watch the threat landscape and we are not aware of public
proof-of-concept code that results in remote code execution.
We recommend customers deploy MS12-020 as soon as possible, as this
security update protects against attempts to exploit CVE-2012-0002.
Additionally we have offered a one-click Fix It
to help mitigate risk for those customers who need time to test the
update before deploying it.
The details of the proof-of-concept code appear to match the
vulnerability information shared with Microsoft Active Protections
Program (MAPP) partners. Microsoft is actively investigating the
disclosure of these details and will take the necessary actions to
protect customers and ensure that confidential information we share is
protected pursuant to our contracts and program requirements.
Customers who have deployed MS12-020 are protected from attempts to
Consistent with the charter of the MAPP program, we released details
related to the vulnerabilities addressed in MS12-020 to MAPP partners
under a strict Non-Disclosure Agreement in advance of releasing the
security bulletin. Security software partners use this type of
information to build enhanced customer protections that, in many cases,
provide customers with more time to make optimal deployment decisions
for their environments. More information about the MAPP program can be
Director, Trustworthy Computing”