Exploit für Windows-RDP-Lücke im Umlauf
Ein Proof-of-Concept-Exploit bringt ungepatchte Windows-Systeme zum Absturz. Der Entdecker der Lücke behauptet, Microsoft habe den Exploit selbst entwickelt.
- Ronald Eikenberg
Für die am vergangenen Dienstag von Microsoft gepatchte Schwachstelle im RDP-Server sämtlicher Windows-Versionen ist ein Proof-of-Concept-Exploit (PoC) namens rdpclient.exe im Umlauf, mit dem man verwundbare Systeme aus der Ferne zum Absturz bringen kann. Entwickelt wurde der Exploit angeblich von Microsoft selbst, wie der Entdecker der Schwachstelle Luigi Auriemma bei Twitter behauptet.
Laut Auriemma bringt der Exploit das Zielsystem nämlich exakt mit dem RDP-Paket zum Absturz, das er Microsoft vertraulich über die Zero-Day-Initiative im vergangenen Jahr zukommen ließ. Microsoft habe den Exploit bereits im November vergangenen Jahres auf Basis der von Auriemma bereitgestellten Informationen entwickelt, behauptet der Sicherheitsexperte auf seiner Webseite.
Als Reaktion auf den Vorfall hat Auriemma nun auch sein auf den 16. Mai vergangenen Jahres datiertes Advisory der Allgemeinheit zugänglich gemacht – einschließlich des PoC-Codes. heise Security konnte mit Hilfe des PoC erfolgreich einen Bluescreen auf einem bislang ungepatchten Windows-7-System provozieren.
Durch welche undichte Stelle der Exploit ins Netz gelangt sein könnte, ist unklar. Microsoft soll den Exploit ausgewählten Partner, etwa Hersteller von Antiviren-Software, im Rahmen seines Active Protections Program (MAPP) zur Verfügung gestellt haben.
Jetzt dürfte es nicht mehr lange dauern, bis der Exploit zu einem vollwertigen Metasploit-Modul ausgebaut wird, der die Kompromittierung des Rechners erlaubt. heise Security liegen Hinweise vor, dass in der Szene bereits ein Python-Skript im Umlauf ist, das eine Remote Shell auf dem Rechner öffnet. Wer den am vergangenen Dienstag veröffentlichten Patch also noch nicht eingespielt hat, sollte umgehend handeln.
Die Schwachstelle tritt bei einem Zugriff auf ein freigegebenes Objekt im Speicher auf (use-after-free) und erfordert keine Authentifizierung. Verwundbar sind alle Windows-Versionen, bei denen der RDP-Server (aka "Remotedesktopverbindung") aktiviert wurde. Über das Internet lässt sich die Lücke nur ausnutzen, wenn der RDP-Port 3389 auch vom Router an das System weitergeleitet wird oder der Rechner direkt mit dem Internet verbunden ist. (rei)