Weitere gefährliche Schwachstelle im Remote Desktop Protocol
15. Mai 2020Das Check Point Research Team nahm das Remote Desktop Protocol (RDP) erneut unter die Lupe und entdeckte eine weitere, sehr gefährliche Schwachstelle in Microsofts Fernzugriffsprotokoll für Windows-Betriebssysteme. Sie ermöglicht Angriffe in Form eines „Path Traversal Attacks“.
Den Sicherheitsforschern gelang es, die Anwendung eines Ziel-Servers auszutricksen und sich Zugriff auf das gesamte System zu verschaffen. Sie schickten eine Datei an ein beliebiges Programm, deren Name nicht verifiziert werden konnte. Statt die Datei abzulehnen, weil sie nicht in den Standard-Ordner gespeichert werden kann, gewährte das System den Angreifern nun, ihre Datei über den Explorer in einem Ordner ihrer Wahl zu speichern.
So können die Cyber-Kriminellen sämtliche Ordner durchsuchen und äußerst sensible Dateien lesen oder sogar extrahieren, darunter: Informationen über Programme, Datenbanken, Passwörter, oder den Quell-Code einer Anwendung. Am schwersten aber wiegt, dass die Akteure in die Lage versetzt werden, Befehle auf dem Web-Server auszuführen, die im schlimmsten Fall den gesamten Server kompromittieren.
Die ursprüngliche Sicherheitslücke im RDP stellte Check Point bereits im August 2019 auf der Black-Hat-Conference vor. Microsoft veröffentlichte umgehend einen Patch (CVE-2019-0887). Jedoch fanden die Sicherheitsforscher bereits im Oktober 2019 heraus, dass der Patch selbst einige Lücken aufwies, die es ermöglichten, den installierten Patch zu umgehen und die alte Schwachstelle wieder zu öffnen.
Patches stehen bereit
Das Ergebnis der Untersuchung war, dass Microsoft zum Schließen dieses Einfallstors die API-Funktion ‚PatchCchCanonicalize‘ nutzt, welche den Sicherheitsforschern zufolge also nicht fehlerfrei sein konnte. Im Februar 2020 schloss Microsoft, nach dem Hinweis von Check Point, die Lücke im Fernzugriff erneut mit einem Patch (CVE 2020-0655). Damit ist zwar das RDP nun korrekt gesichert, jedoch natürlich nicht all die anderen Programme, die mit der API-Funktion ‚PatchCchCanonicalize‘ ausgestattet sind.
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies, erklärt: „Unsere Entdeckung sollte in zwei Teilen betrachtet werden. Der erste Teil besteht daraus, dass IT-Abteilungen großer Unternehmen, die Windows verwenden, dringend Microsofts „Februar-Patch (CVE 2020-0655)“ installieren müssen. Es gilt sicherzustellen, dass deren RDP-Client vor dem Angriff geschützt ist, den wir auf der BlackHat USA 2019 vorgestellt haben.
Der zweite Teil richtet sich an Software-Entwickler und Sicherheitsforscher weltweit: die Schwachstelle selbst ist in der offiziellen API noch nicht behoben. Daher sind alle Software-Programme, die nach Microsofts ‚Best Practices‘ geschrieben werden, weiterhin für einen Path-Traversal-Angriff anfällig. Software-Entwickler müssen sich dieser Bedrohung bewusst sein und dafür sorgen, dass ihre eigenen Software-Programme manuell gepatcht werden.“ (rhh)
Weitere Infos zu den Path Traversal Attacks