Sämtliche Windows-Versionen via Remote Desktop angreifbar
Microsoft hat an seinem März-Patchday Updates für Windows, Visual Studio und Expression Design veröffentlicht. Aufgrund einer schwerwiegenden Windows-Lücke sollte man zeitnah handeln.
- Ronald Eikenberg
Microsoft hat anlässlich seines März-Patchdays wie angekündigt sechs Bulletins veröffentlicht – eine überschaubare Zahl, jedoch hat es das Bulletin MS12-020 in sich: Der darin beschriebene Patch behebt unter anderem eine kritische Lücke im Remote-Desktop-Server, durch die ein Angreifer ein System aus der Ferne übernehmen und etwa Schadcode einschleusen kann. Betroffen sind alle derzeit unterstützten Windows-Versionen (von XP über die Server-Ausgaben bis hin zu Windows 7).
Zwar ist der Remote-Desktop-Server (alias Remotedesktopverbindung) standardmäßig nicht aktiv, die praktische Fernwartungsfunktion erfreut sich jedoch großer Beliebtheit und ist in vielen Fällen auch über das Internet erreichbar. Ein Angreifer kann sich mit dem System verbinden und die Lücke ausnutzen, ohne dass er sich authentifizieren muss. Wer kann, sollte das angebotene Update daher umgehend einspielen. Als Workaround bietet Microsoft ein Fix it an, das die Network Level Authentication (NLA) aktiviert. Das behebt zwar nicht die Ursache des Problems, erschwert aber den Angriff, da sich der Angreifer zunächst mit gültigen Zugangsdaten anmelden muss.
Die Lücke wurde vertraulich von der Zero Day Initiative (ZDI) gemeldet, weshalb der Windows-Hersteller nicht davon ausgeht, dass sie bereits aktiv ausgenutzt wird. Aufgrund der Schwere der Lücke sei jedoch innerhalb der nächsten 30 Tage mit einem Exploit zu rechnen.
Zudem behebt Microsoft eine Lücke, durch die Angreifer den RDP-Server mit speziell präparierten RDP-Paketen lahmlegen kann. Mit einem weiteren Bulletin namens MS12-018 liefert Microsoft einen Patch für eine Privilege-Escalation-Lücke in sämtlichen Windows-Versionen, durch die ein Nutzer mit eingeschränkten Rechten beliebigen Code im Kernel Mode, also mit Systemrechten, ausführen kann. Die Schwachstelle tritt in der PostMessage-Funktion des Kernel-Mode-Treibers (win32k.sys) auf. Außerdem hat Microsoft mit dem Bulletin MS12-019 eine Schwachstelle in der DirectX-API DirectWrite geschlossen: Durch die Darstellung einer bestimmten Folge von Unicode-Zeichen kann ein Angreifer eine Anwendung dazu bringen, dass sie nicht mehr reagiert. Betroffen sind die meisten Windows-Versionen ab Vista.
Admins, die einen Windows-Server betreiben, sollten darüber hinaus den Patch aus dem Bulletin MS12-017 installieren, der eine Denial-of-Service-Lücke im DNS-Server schließt. Für Entwickler hat Microsoft mit dem Bulletin MS12-021 eine Privilege-Escalation-Lücke beim Laden von Plugins geschlossen. Der Patch aus dem Bulletin MS12-022 schließlich behebt eine Lücke in Expression Design, durch die man sein System mit Schadcode infizieren kann. Laut Microsoft hängt die Schwachstelle damit zusammen, wie Expression DLLs lädt – möglicherweise eine Form von Binary Planting. (rei)