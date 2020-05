Sicherheitslücke in Windows-Fernzugriff

Experten bei Checkpoint waren einer bekannten – und dennoch offenen – Sicherheitslücke in Microsofts RDP auf der Spur, als sie auf eine wesentlich gefährlichere Schwachstelle stießen: Path-Traversal-Attacks. Den Sicherheitsforschern gelang es, die Anwendung eines Zielservers auszutricksen und sich Zugriff auf das gesamte System zu verschaffen.

Check Point Researcher haben eine Schwachstelle in Microsofts RDP aufgedeckt.

Das Check Point Research Team [1] nahm vor kurzem das Microsoft RDP (Remote Desktop Protocol) erneut unter die Lupe und entdeckte eine weitere, sehr gefährliche Schwachstelle [2]. Sie schickten eine Datei an ein beliebiges Programm, deren Name nicht verifiziert werden konnte. Statt die Datei abzulehnen, weil sie sich nicht in den Standardordner speichern lässt, gewährte das System den Angreifern nun, ihre Datei über den Explorer in einem Ordner ihrer Wahl zu speichern.



Laut den Forschern seien Cyberkriminelle somit in der Lage sämtliche Ordner zu durchsuchen und äußerst sensible Dateien zu lesen oder sogar zu extrahieren, darunter Informationen über Programme, Datenbanken, Passwörter, oder den Quellcode einer Anwendung. Am schwersten wiege aber, dass die Akteure Befehle auf dem Webserver ausführen können, die im schlimmsten Fall den gesamten Server kompromittieren.



Die ursprüngliche Sicherheitslücke wurde bereits im August 2019 bekannt. Microsoft nutzte zum Schließen dieses Einfallstors die API-Funktion "PatchCchCanonicalize". Jedoch fanden die Check Point Sicherheitsforscher bereits im Oktober 2019 heraus, dass der Patch selbst einige Lücken aufwies, die es ermöglichten, den installierten Patch zu umgehen und die alte Schwachstelle wieder zu öffnen.



Im Februar 2020 schloß Microsoft die Lücke im Fernzugriff erneut mit einem weiteren Patch (CVE 2020-0655). Damit ist laut dem Research Team zwar das RDP nun korrekt gesichert, jedoch noch nicht die anderen Programme, die mit der API-Funktion PatchCchCanonicalize ausgestattet sind. Daher seien alle Anwendungen, die nach Microsofts "Best Practices" geschrieben werden, weiterhin für einen Path-Traversal-Angriff anfällig.