Check Point hat eine gefährliche Schwachstelle in der Windows-Remotedesktopverbindungs-App entdeckt, die es Hackern ermöglicht, Ihren PC zu übernehmen. Wie man sich verteidigt
Microsofts Remote Desktop Protocol (RDP) ist immer noch nicht sicher, obwohl Microsoft letztes Jahr einen Patch veröffentlicht hat, um eine große Schwachstelle (CVE-2019-0887) zu beheben, die von der Cybersecurity-Firma Check Point Technologies gemeldet wurde.
Und Check Point ist wieder dabei, weil es entdeckt hat, dass ein Großteil des Problems ignoriert wurde, anstatt es in dem von Microsoft veröffentlichten Patch zu beheben. Check Point wandte sich daher erneut an Microsoft, das keine andere Wahl hatte, als die neue Sicherheitslücke (die weitgehend mit der vorherigen identisch ist) zuzulassen und ihr den Code CVE-2020-0655 zuzuweisen. Das war im Februar, aber der Patch für diese zweite Sicherheitslücke wurde nicht einmal in den jüngsten Sicherheitsupdates vom Mai veröffentlicht. Sehr zur Überraschung von Check Point selbst, das nun Microsoft aufhorchen lässt.
Was ist das Microsoft Remote Desktop Protocol
Remote Desktop Protocol ist ein proprietäres Microsoft-Protokoll, das die Fernverbindung zwischen Computern über eine komfortable grafische Oberfläche ermöglicht. Es wird über Clients implementiert, die für Windows, Linux, macOS, Android und iOS verfügbar sind. In der Praxis ist es das Protokoll, das benötigt wird, um das Dienstprogramm Windows-Remotedesktopverbindung zu verwenden, das sowohl im Unternehmensumfeld als auch für die Fernreparatur von Windows-Computern sehr beliebt ist.
Warum das Remotedesktopprotokoll gefährlich ist
Im vergangenen Jahr entdeckte Check Point, dass es möglich ist, über RDP-Clients für verschiedene Betriebssysteme einen "umgekehrten RDP-Angriff" zu starten, d.h. die Ausführung von Code aus der Ferne ohne die Erlaubnis des Benutzers. Check Point testete sowohl den offiziellen Client von Microsoft (d.h. den eigenen Remote Desktop) als auch andere Open-Source-Clients wie rdesktop und FreeRDP. Offiziell hatte Microsoft diese Schwachstelle (die protokoll- und nicht clientabhängig ist) behoben, aber das ist nicht wirklich der Fall, denn Check Point hat einen anderen Weg gefunden, den Patch zu umgehen und gefährlichen Code über RDP-Clients auszuführen.
Was man nicht tun sollte
Da das Problem immer noch besteht, lässt Check Point die Gelegenheit nicht ungenutzt, um darauf hinzuweisen, dass "es ein Rätsel ist, dass eine so einfache Umgehung so viele Jahre lang im Prozess der Bereinigung von Microsofts Kern unbemerkt blieb". Das Sicherheitsunternehmen rät, den Patch von Microsoft zu installieren, um mindestens eine der Sicherheitslücken zu schließen. Check Point fordert auch einzelne Client-Entwickler auf, Maßnahmen für ihre Software zu ergreifen, bis Microsoft sich entschließt, die Schwachstelle auf Protokollebene tatsächlich zu schließen.