Dejablue: Erneut Sicherheitslücken im Windows-Remote-Desktop

Microsoft warnt vor zwei Remote-Code-Execution-Bugs im Remote Desktop Service. Damit lassen sich Windows-Rechner übers Netz kapern, wenn sie die Remoteadministration aktiviert haben. Alle aktuellen Windows-Versionen sind betroffen.

Artikel veröffentlicht am ,
Dejablue wird eine Sicherheitslücke im Windows-Remote-Desktop genannt - in Anspielung auf die bekannte Lücke Bluekeep.
Dejablue wird eine Sicherheitslücke im Windows-Remote-Desktop genannt - in Anspielung auf die bekannte Lücke Bluekeep. (Bild: Microsoft)

Zum zweiten Mal innerhalb kurzer Zeit meldet Microsoft, dass im Remote Desktop Service (RDS) von Windows besonders gefährliche Sicherheitslücken gefunden worden seien. In einem Blogpost des Microsoft-Sicherheitsteams werden diese als "wormable" bezeichnet, sie könnten also für einen Schadsoftware-Wurm genutzt werden, der sich selbst über das Internet immer weiter verbreitet.

Stellenmarkt
  1. Qualifizierter Sachbearbeiter (m/w/d) Digitalisierung / Datenbanken
    Bundesarbeitsgemeinschaft für Rehabilitation e.V., Frankfurt am Main
  2. Software Consultant/IT-Projektmanager (m/w/d) Versandlogistik
    ecovium GmbH, Neustadt am Rübenberge
Detailsuche

Im Mai behob Microsoft bereits einen ähnlich gefährlichen Fehler im Remote Desktop, der als Bluekeep bekannt wurde. Bluekeep betraf aber nur alte Windows-Versionen wie Windows 7. Die jetzt gefundene Lücke, die passenderweise Dejablue genannt wird, betrifft alle Versionen von Windows 7 bis Windows 10 sowie Windows Server ab 2008 R2.

Zwei Remote-Code-Execution-Lücken

Insgesamt vier Sicherheitslücken im Remote Desktop Service wurden mit dem jüngsten Windows-Update geschlossen, zwei davon lassen sich zur Ausführung von Code ohne Authentifizierung nutzen. Alle Windows-Nutzer, die den Remote Desktop Service nutzen, sollten daher umgehend die jüngsten Sicherheitsupdates installieren. Wer den Remote Desktop aktiviert hat, ihn aber nicht nutzt, sollte die Funktion abschalten.

Microsoft schreibt zudem, dass das Aktivieren der Funktion Network Level Authentication (NLA) die Auswirkungen der Sicherheitslücken eindämme. Dabei muss sich der Anwender mit einem gültigen Benutzeraccount identifizieren, bevor er eine Remote-Desktop-Sitzung öffnen kann. Ohne NLA lässt sich eine Sitzung bereits vor dem Login aufmachen, der Nutzer verbindet sich dann mit einem Login-Screen.

Golem Akademie
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
Weitere IT-Trainings

NLA gibt es seit Windows Vista, auch unabhängig von der aktuellen Sicherheitslücke ist es sinnvoll, diese Funktion zu aktivieren. Doch Microsoft warnt auch, sich bei der aktuellen Lücke nicht auf NLA zu verlassen: Mit einem gültigen Nutzeraccount kann ein Angreifer die Sicherheitslücken weiterhin ausnutzen und damit etwa seine Rechte ausweiten.

Dejablue wurde von Microsoft selbst gefunden

Microsoft fand die Sicherheitslücken offenbar, weil nach der Bluekeep-Lücke der Remote-Desktop-Service einer genauen Analyse unterzogen wurde. Die Lücken wurden demnach nicht von externen Sicherheitsforschern entdeckt. Laut Microsoft gibt es keine Hinweise dafür, dass jemand außerhalb von Microsoft von den Lücken gewusst habe.

Bei Bluekeep wurde viel darüber spekuliert, wann ein Exploit bereitstehe, der die Lücke praktisch ausnutze. Einige Personen gaben an, Exploits entwickelt zu haben, manche Firmen verkaufen diese auch. Öffentlich verfügbar ist aber bislang kein Exploit, die Entwicklung ist vergleichsweise komplex.

Es lässt sich davon ausgehen, dass es zu massenhaften Angriffen auf mit dem Internet verbundene Windows-Systeme kommt, sobald ein entsprechender Exploit öffentlich wird. Das gilt sowohl für die ältere Bluekeep-Lücke als auch für die jetzt entdeckten Dejablue-Lücken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


nils01 16. Aug 2019

Vergebene Mühe, über sowas mag keiner berichten, da das Böse aka. Windows schon...

Astorek 14. Aug 2019

Nicht bös gemeint: Deine Ansicht zu dem Thema ist mir wurscht. Ich wollte nur eine...

Enter the Nexus 14. Aug 2019

Das betrifft dich auch im LAN, wenn sich nur ein Rechner im LAN auf andere Weise einen...



Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. Vizio: GPL-Durchsetzung darf als Verbraucherklage verhandelt werden
    Vizio
    GPL-Durchsetzung darf als Verbraucherklage verhandelt werden

    Erstmals erkennt ein US-Gericht an, dass aus der GPL auch Verbraucherrechte folgen könnten. Die Kläger bezeichnen das als "Wendepunkt".

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. App Store: Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung
    App Store
    Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung

    Wer ein Abo über eine App im App Store bucht, muss damit rechnen, dass er vor einer Preiserhöhung nicht mehr nach einer Zustimmung gefragt wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /