Dejablue: Erneut Sicherheitslücken im Windows-Remote-Desktop

Zum zweiten Mal innerhalb kurzer Zeit meldet Microsoft, dass im Remote Desktop Service (RDS) von Windows besonders gefährliche Sicherheitslücken gefunden worden seien. In einem Blogpost des Microsoft-Sicherheitsteams werden diese als "wormable" bezeichnet, sie könnten also für einen Schadsoftware-Wurm genutzt werden, der sich selbst über das Internet immer weiter verbreitet.

Im Mai behob Microsoft bereits einen ähnlich gefährlichen Fehler im Remote Desktop, der als Bluekeep bekannt wurde. Bluekeep betraf aber nur alte Windows-Versionen wie Windows 7. Die jetzt gefundene Lücke, die passenderweise Dejablue genannt wird, betrifft alle Versionen von Windows 7 bis Windows 10 sowie Windows Server ab 2008 R2.

Zwei Remote-Code-Execution-Lücken

Insgesamt vier Sicherheitslücken im Remote Desktop Service wurden mit dem jüngsten Windows-Update geschlossen, zwei davon lassen sich zur Ausführung von Code ohne Authentifizierung nutzen. Alle Windows-Nutzer, die den Remote Desktop Service nutzen, sollten daher umgehend die jüngsten Sicherheitsupdates installieren. Wer den Remote Desktop aktiviert hat, ihn aber nicht nutzt, sollte die Funktion abschalten.

Microsoft schreibt zudem, dass das Aktivieren der Funktion Network Level Authentication (NLA) die Auswirkungen der Sicherheitslücken eindämme. Dabei muss sich der Anwender mit einem gültigen Benutzeraccount identifizieren, bevor er eine Remote-Desktop-Sitzung öffnen kann. Ohne NLA lässt sich eine Sitzung bereits vor dem Login aufmachen, der Nutzer verbindet sich dann mit einem Login-Screen.

NLA gibt es seit Windows Vista, auch unabhängig von der aktuellen Sicherheitslücke ist es sinnvoll, diese Funktion zu aktivieren. Doch Microsoft warnt auch, sich bei der aktuellen Lücke nicht auf NLA zu verlassen: Mit einem gültigen Nutzeraccount kann ein Angreifer die Sicherheitslücken weiterhin ausnutzen und damit etwa seine Rechte ausweiten.

Dejablue wurde von Microsoft selbst gefunden

Microsoft fand die Sicherheitslücken offenbar, weil nach der Bluekeep-Lücke der Remote-Desktop-Service einer genauen Analyse unterzogen wurde. Die Lücken wurden demnach nicht von externen Sicherheitsforschern entdeckt. Laut Microsoft gibt es keine Hinweise dafür, dass jemand außerhalb von Microsoft von den Lücken gewusst habe.

Bei Bluekeep wurde viel darüber spekuliert, wann ein Exploit bereitstehe, der die Lücke praktisch ausnutze. Einige Personen gaben an, Exploits entwickelt zu haben, manche Firmen verkaufen diese auch. Öffentlich verfügbar ist aber bislang kein Exploit, die Entwicklung ist vergleichsweise komplex.

Es lässt sich davon ausgehen, dass es zu massenhaften Angriffen auf mit dem Internet verbundene Windows-Systeme kommt, sobald ein entsprechender Exploit öffentlich wird. Das gilt sowohl für die ältere Bluekeep-Lücke als auch für die jetzt entdeckten Dejablue-Lücken.