Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

Sicherheitsforscher nutzen Windows-Fernzugriff um sensible Dateien zu modifizieren und Web-Server zu übernehmen

[datensicherheit.de, 16.05.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd. war einer bekannten – und dennoch offenen – Sicherheitslücke in Microsofts Fernzugriff für Windows-Betriebssysteme auf der Spur, als es auf eine wesentlich gefährlichere Schwachstelle stieß: Path-Traversal-Attacks.

Zugriff auf das gesamte System möglich

Den Sicherheitsforschern gelang es, die Anwendung eines Ziel-Servers auszutricksen und sich Zugriff auf das gesamte System zu verschaffen. Sie schickten eine Datei an ein beliebiges Programm, deren Name nicht verifiziert werden konnte. Statt die Datei abzulehnen, weil sie nicht in den Standard-Ordner gespeichert werden kann, gewährte das System den Angreifern nun, ihre Datei über den Explorer in einem Ordner ihrer Wahl zu speichern. So können die Cyber-Kriminellen sämtliche Ordner durchsuchen und äußerst sensible Dateien lesen oder sogar extrahieren, darunter: Informationen über Programme, Datenbanken, Passwörter, oder den Quell-Code einer Anwendung. Am schwersten aber wiegt, dass die Akteure in die Lage versetzt werden, Befehle auf dem Web-Server auszuführen, die im schlimmsten Fall den gesamten Server kompromittieren.

Schwachstelle bereits auf der Black-Hat-Conference 2019 vorgestellt

Die ursprüngliche Sicherheitslücke im RDP stellte Check Point bereits im August 2019 auf der Black-Hat-Conference vor. Microsoft veröffentlichte umgehend einen Patch (CVE-2019-0887). Jedoch fanden die Sicherheitsforscher bereits im Oktober 2019 heraus, dass der Patch selbst einige Lücken aufwies, die es ermöglichten, den installierten Patch zu umgehen und die alte Schwachstelle wieder zu öffnen. Das Ergebnis der Untersuchung war, dass Microsoft zum Schließen dieses Einfallstors die API-Funktion ‚PatchCchCanonicalize‘ nutzt, welche den Sicherheitsforschern zufolge also nicht fehlerfrei sein konnte. Im Februar 2020 schloß Micrsoft, nach dem Hinweis von Check Point, die Lücke im Fernzugriff erneut mit einem Patch (CVE 2020-0655). Damit ist zwar das RDP nun korrekt gesichert, jedoch natürlich nicht all die anderen Programme, die mit der API-Funktion ‚PatchCchCanonicalize‘ ausgestattet sind.

Christine Schönig, Check Point Software, Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies, erklärt: „Unsere Entdeckung sollte in zwei Teilen betrachtet werden. Der erste Teil besteht daraus, dass IT-Abteilungen großer Unternehmen, die Windows verwenden, dringend Microsofts ‚Februar-Patch (CVE 2020-0655)‘ installieren müssen. Es gilt sicherzustellen, dass deren RDP-Client vor dem Angriff geschützt ist, den wir auf der BlackHat USA 2019 vorgestellt haben.

Der zweite Teil richtet sich an Software-Entwickler und Sicherheitsforscher weltweit: die Schwachstelle selbst ist in der offiziellen API noch nicht behoben. Daher sind alle Software-Programme, die nach Microsofts ‚Best Practices‘ geschrieben werden, weiterhin für einen Path-Traversal-Angriff anfällig. Software-Entwickler müssen sich dieser Bedrohung bewusst sein und dafür sorgen, dass ihre eigenen Software-Programme manuell gepatcht werden.“

Weitere Informationen zum Thema:

Check Point Research
Reverse RDP – The Path Not Taken

datensicherheit.de, 06.05.2020
Tenable: Diese Schwachstellen bedrohen mobiles Arbeiten derzeit besonders stark

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol