Sicherheitslücke: Microsoft unterbindet RDP-Anfragen von ungepatchten Clients

Microsoft unterbindet bei aktuellen Versionen seiner Server-Betriebssysteme künftig RDP-Verbindungen zu ungepatchten Clients, um das Ausnutzen der Sicherheitslücke CVE-2018-0886 zu unterbinden. Das Problem im Credential Security Support Provider ermöglicht durch einen Man-In-The-Middle-Angriff, beliebige Kommandos an den Server zu senden und diese mit Adminrechten auszuführen.

Mit dem Credential Security Support Provider kann ein lokaler Nutzer über den Server authentifiziert werden. Dazu wird sowohl Microsofts Kerberos als auch der Challenge/Response-Mechanismus Microsoft NTLM genutzt.

Die auf der Konferenz Black Hat Asia von Forschern der Sicherheitsfirma Preempt vorgestellte Sicherheitslücke ist von Microsoft im Rahmen des Patch-Tuesday behoben worden. Das Unternehmen geht den ungewöhnlichen Schritt, ungepatchte Clients bald komplett auszusperren. Konkret wird die Authentifizierung der Rechner über RDP abgebrochen.

Noch ist die Einstellung optional

Microsoft empfiehlt daher dringend, das Update auf allen Servern und Clients einzuspielen. Administratoren sollten außerdem die Gruppenrichtlinien anpassen und die Einstellungen "Force Updates Clients" und "Mitigated" sowohl auf dem Server als auch auf den Clients sobald wie möglich aktivieren, um das Netzwerk gegen unsichere Clients abzusichern.

Am 17. April 2018 soll ein weiteres Update erscheinen, das eine "verbesserte Fehlermeldung" auf dem Client ausgibt und erklärt, warum der Verbindungsaufbau fehlgeschlagen ist, wie The Register schreibt. Am 8. Mai soll die Standardeinstellung so verändert werden, dass ungepatchte Clients automatisch ausgesperrt werden.

Microsoft greift zunehmend konsequent durch, wenn Sicherheitsprobleme bestehen. Nach den Veröffentlichungen zu Meltdown und Spectre erntete das Unternehmen dafür Kritik, weil es Virenscanner von Drittherstellern verpflichtete, einen Registry-Key zu setzen, damit der Rechner weiterhin mit Updates versorgt wird.