Microsoft verliert Informationen über kritische RDP-Lücke

Microsoft bestätigt, dass es Informationen über eine kritische Lücke im Remotedesktopprotokoll verloren hat. Die Daten stammen offenbar aus dem Microsoft Active Protections Program (MAPP), das Partner des Unternehmens Details zu Schwachstellen zur Verfügung stellt, die nicht für die Öffentlichkeit bestimmt sind. Unbekannte haben die Informationen benutzt, um Beispielcode für die Anfälligkeit zu entwickeln, für die seit vergangenem Dienstag ein Patch bereitsteht

Der Code war zuvor in einem chinesischen Hackerforum aufgetaucht. „Die Details des Proof-of-Concept-Codes scheinen den Informationen zu entsprechen, die mit Partnern des Microsoft Active Protections Program geteilt wurden. Microsoft untersucht die Enthüllung der Details und wird die notwendigen Schritte einleiten, um Kunden zu schützen und sicherzustellen, dass von uns weitergegebene vertrauliche Informationen gemäß unseren Verträgen und den Anforderungen des Programms geschützt sind“, schreibt Yunsun Wee, Direktor von Microsofts Trustworthy Computing Group, in einem Blogeintrag.

Wee zufolge ist es mit dem Beispielcode möglich, Denial-of-Service-Angriffe gegen ungepatchte Windows-Systeme auszuführen. „Wir beobachten weiter die Gefahrenlage und uns ist noch kein Proof-of-Concept-Code bekannt, der eine Remotecodeausführung erlaubt.“ Betroffene Kunden sollten so schnell wie möglich den Patch MS12-020 installieren. Zudem stehe Kunden, die das Update noch testen müssten, ein Fix-it-Tool zur Verfügung, das die Auswirkungen eines Angriffs reduziere.

Wie die MAPP-Daten an Außenstehende gelangen konnten, teilte das Unternehmen nicht mit. Microsoft betonte, die Details würden nur Partnern zur Verfügung gestellt, die ein strenges Geheimhaltungsabkommen unterzeichnet hätten. Damit bleibt unklar, ob sich die undichte Stelle bei Microsoft oder einem seiner Partner befindet. Dazu gehören unter anderem Sicherheitsanbieter wie Avira, AVG, Kaspersky und Symantec und auch Cisco, Juniper und IBM.

Laut Tipping Points Zero Day Initiative (ZDI) enthält der in dem chinesischen Forum angebotene Code die Zeichenfolge „MSRC11678“. Dabei handle es sich um eine interne Fallnummer, die Microsoft vergeben habe, nachdem die Schwachstelle gemeldet worden sei, heißt es. Diese Vermutung bestätigt der Sicherheitsforscher Luigi Auriemma, der die Lücke ursprünglich entdeckt und an ZDI verkauft hatte.

Joshua Drake von Tipping Points Zero Day Initiative hat per Twitter auf eine Zeichenfolge in den durchgesickerten Daten hingewiesen, die auf das Microsoft Security Response Center verweist (Screenshot: ZDNet).

Darüber hinaus hat das Unternehmen Core Security sein Penetrationstest-Tool Impact um einen Exploit für die RDP-Lücke erweitert, der ebenfalls DoS-Angriffe ermöglicht. Auf der Website „istherdpexploitoutyet.com“ verfolgen Sicherheitsforscher zudem die Entwicklung und Veröffentlichung von Exploits für die Schwachstelle.

Microsoft hatte das Loch im Windows-Remotedesktop am Dienstag im Rahmen seines März-Patchdays gestopft. Nach Unternehmensangaben könnte ein Angreifer speziell gestaltete RDP-Pakete an ein betroffenes System senden und anschließend Schadcode einschleusen und ausführen. Die Lücke lässt sich aber nur ausnutzen, wenn die Remote-Unterstützung aktiviert ist. In der Voreinstellung ist das Feature jedoch abgeschaltet. Trotzdem warnte Redmond davor, dass es sehr wahrscheinlich sei, dass Hacker in den nächsten 30 Tagen einen Exploit für eine Remotecodeausführung entwickelten.

[mit Material von Ryan Naraine, ZDNet.com]