CVE-2018-0886 ist die Kennung eines kritischen gefunden Fehler in Credential Security Support Provider (CredSSP). Die Sicherheitslücke betrifft alle Versionen von Windows und ermöglicht böswilligen Hackern den Zugriff auf Remote-RDP ausnutzen (Remote Desktop Protocol) und WinRM (Windows Remote Management).
CVE-2018-0886 – Technische Daten
Nach dem erfolgreichen Exploit, Hacker könnte bösartigen Code ausführen und sensible Daten von kompromittierten Systemen stehlen. Der Fehler wurde von Forschern an Preempt Sicherheit bekannt.
"Die eine Remotecodeausführung ermöglicht und in dem Credential Security Support Provider-Protokoll (CredSSP). Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die Benutzeranmeldeinformationen Relais und nutzen sie, Code auf dem Zielsystem auszuführen", Microsoft erklärt.
Es sollte beachtet werden, dass CredSSP ein Authentifizierungs-Provider, die für andere Anwendungen Authentifizierungsanforderungen verarbeitet. Dies hinterlässt jede Anwendung auf der CredSSP zur Authentifizierung abhängig anfällig für einen solchen Angriff.
Wie von Microsoft sagt dass:
Als ein Beispiel dafür, wie ein Angreifer diese Sicherheitsanfälligkeit gegen Remote Desktop Protocol ausnutzen würde, Der Angreifer müsste eine speziell gestaltete Anwendung und führen Sie einen Man-in-the-Middle-Angriff auf eine Remote Desktop Protocol-Sitzung auszuführen. Ein Angreifer könnte dann Programme installieren; Blick, Veränderung, oder Löschen von Daten; oder neue Konten mit sämtlichen Benutzerrechten.
Genauer, wenn ein Client und Server über RDP und WinRM Protokolle authentifizieren, ein Mann-in-the-Middle-Angriff kann eingeleitet werden. Ein solcher Angreifer Befehle remote auszuführen, wäre in der Lage und damit ganze Netzwerke gefährden. Der Exploit dieser Sicherheitsanfälligkeit kann sehr schwerwiegend sein, abhängig von den Unternehmensnetzwerken in Angriffe gezielt.
“Ein Angreifer, der eine Sitzung von einem Benutzer mit ausreichend Rechten gestohlen haben könnte verschiedene Befehle mit lokal Admin-Rechten ausgeführt. Dies ist besonders kritisch bei Domänencontrollern, wo die meisten Remote Procedure Calls (DCE / RPC) sind standardmäßig aktiviert,” erklärt Yare, Blei Sicherheitsforscher bei Preempt, die Sicherheitsfirma, die über CVE-2018-0886 kam.
Update, das die Sicherheitslücke behebt, ist verfügbar
Zum Glück, ein Sicherheits-Patch den Fehler veröffentlicht Adressierung bereits. Das Update korrigiert, wie CredSSP validiert Anfragen während des Authentifizierungsprozesses.
Was sollten die Nutzer tun, um sich für diesen Angriff zu schützen? Sie sollten Gruppenrichtlinieneinstellungen auf ihren Systemen ermöglichen und aktualisieren ihre Remote Desktop Clients so schnell wie möglich. Beachten Sie, dass Gruppenrichtlinieneinstellungen standardmäßig deaktiviert sind Verbindungsprobleme zu verhindern. Um zu erfahren, wie sie aktivieren, Benutzer sollten folgen Sie den Anweisungen vorgestellt hier.
Das Update wurde am März 2018 von gezeichneten “Patchday”, das Update allgemeine Sicherheit insgesamt festen 75 Fragen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: