Sicherheitslücke: Microsoft unterbindet RDP-Anfragen von ungepatchten Clients

Eine kritische Sicherheitslücke in Microsofts Credential Security Support Provider versetzt Angreifer in die Lage, beliebigen Code auszuführen. Deswegen unterbindet das Unternehmen demnächst Verbindungsversuche ungepatchter Clients, Admins sollten also schnell handeln.

Artikel veröffentlicht am ,
Microsoft sichert seine Server-Betriebssysteme ab.
Microsoft sichert seine Server-Betriebssysteme ab. (Bild: Andrew Caballero-Reynolds/Getty Images)

Microsoft unterbindet bei aktuellen Versionen seiner Server-Betriebssysteme künftig RDP-Verbindungen zu ungepatchten Clients, um das Ausnutzen der Sicherheitslücke CVE-2018-0886 zu unterbinden. Das Problem im Credential Security Support Provider ermöglicht durch einen Man-In-The-Middle-Angriff, beliebige Kommandos an den Server zu senden und diese mit Adminrechten auszuführen.

Stellenmarkt
  1. (Medien-)Informatikerin / Kommunikationswissenschaftle- rin als IT-Verantwortliche (m/w/d) ... (m/w/d)
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
  2. IT Customer Support / Help-Desk Agent (m/w/d) im Frontline-Support
    Compusoft Deutschland AG, Dresden, Schmallenberg
Detailsuche

Mit dem Credential Security Support Provider kann ein lokaler Nutzer über den Server authentifiziert werden. Dazu wird sowohl Microsofts Kerberos als auch der Challenge/Response-Mechanismus Microsoft NTLM genutzt.

Die auf der Konferenz Black Hat Asia von Forschern der Sicherheitsfirma Preempt vorgestellte Sicherheitslücke ist von Microsoft im Rahmen des Patch-Tuesday behoben worden. Das Unternehmen geht den ungewöhnlichen Schritt, ungepatchte Clients bald komplett auszusperren. Konkret wird die Authentifizierung der Rechner über RDP abgebrochen.

Noch ist die Einstellung optional

Microsoft empfiehlt daher dringend, das Update auf allen Servern und Clients einzuspielen. Administratoren sollten außerdem die Gruppenrichtlinien anpassen und die Einstellungen "Force Updates Clients" und "Mitigated" sowohl auf dem Server als auch auf den Clients sobald wie möglich aktivieren, um das Netzwerk gegen unsichere Clients abzusichern.

Golem Karrierewelt
  1. Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop
    14.-18.11.2022, Virtuell
  2. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
Weitere IT-Trainings

Am 17. April 2018 soll ein weiteres Update erscheinen, das eine "verbesserte Fehlermeldung" auf dem Client ausgibt und erklärt, warum der Verbindungsaufbau fehlgeschlagen ist, wie The Register schreibt. Am 8. Mai soll die Standardeinstellung so verändert werden, dass ungepatchte Clients automatisch ausgesperrt werden.

Microsoft greift zunehmend konsequent durch, wenn Sicherheitsprobleme bestehen. Nach den Veröffentlichungen zu Meltdown und Spectre erntete das Unternehmen dafür Kritik, weil es Virenscanner von Drittherstellern verpflichtete, einen Registry-Key zu setzen, damit der Rechner weiterhin mit Updates versorgt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


FreiGeistler 29. Mär 2018

Nur um das Bild und Input zu übertragen, reichen 100¤ locker. Sogar der Rapberry Pi...

ThomasGiger 27. Mär 2018

Zitat: "A second update, tentatively to be released on May 8, 2018, will change the...

delphi 26. Mär 2018

Jein - nach dem letzten Patch Tuesday Anfang des Monats konnte Remmina (bzw. das von...



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Star Wars: Cal Kestis kämpft in Jedi Survivor weiter
    Star Wars
    Cal Kestis kämpft in Jedi Survivor weiter

    EA hat offiziell den Nachfolger zu Star Wars Jedi Fallen Order angekündigt. Hauptfigur ist erneut Cal Kestis mit seinem Roboterkumpel BD-1.

  2. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  3. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /