Microsoft schließt kritische Lücken im Windows-Remotedesktop

BetriebssystemSicherheitSicherheitsmanagementSoftwareWorkspace

Davon betroffen sind Windows XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2. Die Anfälligkeit lässt sich mit manipulierten RDP-Paketen ausnutzen. Weitere Lücken stecken im DNS-Server und in den Kernelmodus-Treibern.

Microsoft hat wie angekündigt sechs Sicherheitsupdates veröffentlicht, die insgesamt sieben Anfälligkeiten beseitigen. Darunter sind zwei Lücken im Remotedesktopprotokoll (RDP), deren Risiko das Unternehmen mit “kritisch” bewertet. Ein Angreifer könnte speziell gestaltete RDP-Pakete an ein betroffenes System senden und anschließend Schadcode einschleusen und ausführen.

Davon betroffen sind Windows XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2. Microsoft empfiehlt seinen Kunden, sich auf diesen Patch zu konzentrieren und ihn schnellstmöglich einzuspielen. Nutzern, die das Update noch prüfen müssen, steht zudem ein Fix-it-Tool zur Verfügung, das eine Authentifizierung auf Netzwerkebene aktiviert und damit die Auswirkungen eines Exploits reduziert.

(Bild. In der Voreinstellung lässt Windows keine Verbindungen mit dem Remotedesktop zu. Screenshot: ZDNet.de).

Grundsätzlich lässt sich diese Schwachstelle aber nur ausnutzen, wenn die Remoteunterstützung aktiviert ist. In der Voreinstellung ist das Feature jedoch abgeschaltet. Microsoft erwartet trotzdem, dass Hacker schon bald versuchen werden, die Schwachstelle für ihre Zwecke zu missbrauchen. “Aufgrund der Attraktivität dieser Anfälligkeit für Angreifer erwarten wir, dass in den nächsten 30 Tagen ein Exploit für eine Remotecodeausführung entwickelt wird”, so Microsoft.

Darüber hinaus stopft der Softwarekonzern ein Loch im DNS-Server unter Server 2003, 2008 und 2008 R2, das einen Denial-of-Service-Angriff erlaubt. Dasselbe Problem ergibt sich auch durch eine Anfälligkeit in DirectWrite unter Vista, Server 2008, Windows 7 und Server 2008 R2. Zudem werden Fehler in den Windows-Kernelmodustreibern, Visual Studio 2008 und 2010 sowie Expression Design 1, 2, 3 und 4 beseitigt.

[mit Material von Ryan Naraine, ZDNet.com]