Microsoft verliert Informationen über kritische RDP-Lücke

Microsoft hat den Verlust von Informationen über eine kritische Lücke im Remotedesktopprotokoll bestätigt. Die Daten stammen offenbar aus dem Microsoft Active Protections Program (MAPP), das Partner des Unternehmens Details zu Schwachstellen zur Verfügung stellt, die nicht für die Öffentlichkeit bestimmt sind.

Unbekannte haben die Informationen benutzt, um Beispielcode für die Ausnutzung der Anfälligkeit zu entwickeln, für die seit vergangenem Dienstag ein Patch bereitsteht.

Der Code war zuvor in einem chinesischen Hackerforum aufgetaucht. “Die Details des Proof-of-Concept-Codes scheinen den Informationen zu entsprechen, die mit Partnern des Microsoft Active Protections Program geteilt wurden. Microsoft untersucht, wieso die Details offengelegt werden konnten und “wird die notwendigen Schritte einleiten, um Kunden zu schützen und sicherzustellen, dass von uns weitergegebene vertrauliche Informationen gemäß unseren Verträgen und den Anforderungen des Programms geschützt sind”, schreibt Yunsun Wee, Direktor von Microsofts Trustworthy Computing Group, in einem Blogeintrag.

Wee zufolge ist es mit dem Beispielcode möglich, Denial-of-Service-Angriffe gegen ungepatchte Windows-Systeme auszuführen. “Wir beobachten weiter die Gefahrenlage und uns ist noch kein Proof-of-Concept-Code bekannt, der eine Remotecodeausführung erlaubt”, ergänzte Wee. Betroffene Kunden sollten so schnell wie möglich den Patch MS12-020 installieren. Zudem stehe Kunden, die das Update noch testen müssten, ein Fix-it-Tool zur Verfügung, das die Auswirkungen eines Angriffs reduziere.

Wie die MAPP-Daten an Außenstehende gelangen konnten, teilte das Unternehmen nicht mit. Microsoft betonte, die Details würden nur mit Partnern geteilt, die ein strenges Geheimhaltungsabkommen unterzeichnet hätten. Damit bleibt unklar, ob sich die undichte Stelle bei Microsoft oder einem seiner Partner befindet. Dazu gehören unter anderem Sicherheitsanbieter wie Avira, AVG, Kaspersky, Symantec sowie Cisco, Juniper und IBM.

Laut Tipping Points Zero Day Initiative (ZDI) enthielt der in dem chinesischen Forum angebotene Code die Zeichenfolge “MSRC11678”. Dabei handele es sich um eine interne Fallnummer, die Microsoft vergeben habe, nachdem die Schwachstelle gemeldet worden sei. Diese Vermutung bestätigte auch der Sicherheitsforscher Luigi Auriemma, der die Lücke ursprünglich entdeckt und an ZDI verkauft hatte.

Darüber hinaus hat das Unternehmen Core Security sein Penetrationstest-Tool Impact um einen Exploit für die RDP-Lücke erweitert, der ebenfalls DoS-Angriffe ermöglicht. Auf der Website “istherdpexploitoutyet.com” verfolgen Sicherheitsforscher zudem die Entwicklung und Veröffentlichung von Exploits für die Schwachstelle.

Microsoft hatte das Loch im Windows-Remotedesktop am Dienstag im Rahmen seines März-Patchdays gestopft. Nach Unternehmensangaben könnte ein Angreifer speziell gestaltete RDP-Pakete an ein betroffenes System senden und anschließend Schadcode einschleusen und ausführen. Die Lücke lässt sich aber nur ausnutzen, wenn die Remoteunterstützung aktiviert ist. In der Voreinstellung ist das Feature jedoch abgeschaltet. Trotzdem warnte Redmond davor, dass es sehr wahrscheinlich sei, dass Hacker in den nächsten 30 Tagen einen Exploit für eine Remotecodeausführung entwickelten.

[mit Material von Ryan Naraine, ZDNet.com]

(Bild: Joshua Drake von Tipping Points Zero Day Initiative hat per Twitter auf eine Zeichenfolge in den durchgesickerten Daten hingewiesen, die auf das Microsoft Security Response Center verweist (Screenshot: ZDNet)).

(Bildquelle Tielbild: alphaspirit – Fotolia.com. Bildquelle Twitter-Screen: ZDNet.com)