TechNet Sicherheit

Microsoft-Sicherheitsempfehlung (904797)

Sicherheitsanfälligkeit beim Remote Desktop Protocol (RDP) kann zu Denial-of-Service-Angriff führen

Veröffentlicht: 16.07.2005

Microsoft untersucht zurzeit neue öffentliche Meldungen über eine Sicherheitsanfälligkeit bei Remotedesktop-Diensten. Obwohl es unseres Wissens nach bisher zu keinen Angriffen unter Ausnutzung der Sicherheitsanfälligkeit oder Beeinträchtigungen der Benutzer gekommen ist, werden diese öffentlichen Meldungen eingehend untersucht.

Bei ersten Untersuchungen wurde eine Denial-of-Service-Sicherheitsanfälligkeit festgestellt, bei der ein Angreifer eine speziell gestaltete Remote-Data-Protocol-Anfrage (RDP) an ein betroffenes System senden kann. Unsere Untersuchungen haben ergeben, dass sich dies auf Denial-of-Service beschränkt und ein Angreifer aufgrund dieser Sicherheitsanfälligkeit nicht die vollständige Kontrolle über das System erhalten kann. Dienste, die auf das Remote Desktop Protocol zugreifen, sind standardmäßig nicht aktiviert. Wenn aber ein solcher Dienst aktiviert ist, kann ein Angreifer einen Neustart des Systems bewirken.
Hinweis: Remote Desktop ist unter Windows XP Media Center Edition standardmäßig aktiviert.

Nach Abschluss der Untersuchungen wird Microsoft angemessene Maßnahmen zum Schutz seiner Kunden ergreifen. Je nach Kundenanforderungen zählen dazu möglicherweise ein Sicherheitsupdate im Rahmen unserer monatlichen Veröffentlichungen oder ein außerordentliches Sicherheitsupdate.

Microsoft empfiehlt auch weiterhin die verantwortungsvolle Meldung von Sicherheitsanfälligkeiten. Unserer Meinung nach dient die allgemein anerkannte Methode der direkten Meldung von Sicherheitsanfälligkeiten an den Hersteller allen zum Vorteil, da hierdurch sichergestellt wird, dass Benutzer umfassende, qualitativ hochwertige Updates zu Sicherheitsanfälligkeiten erhalten und während der Entwicklung eines Sicherheitsupdates keinen schädlichen Angriffen ausgesetzt sind.

Schadensbegrenzende Faktoren:

Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Dienste, die auf das Remote Desktop Protocol (RDP) zugreifen, sind standardmäßig nicht aktiviert.
Hinweis: Remote Desktop ist unter Windows XP Media Center Edition standardmäßig aktiviert.

Allgemeine Informationen

Übersicht

Zweck dieser Sicherheitsempfehlung: Durch diese Sicherheitsempfehlung sollen Kunden zunächst über die öffentlich gemeldete Sicherheitsanfälligkeit in Kenntnis gesetzt werden.

Status der Empfehlung: Die Sicherheitsanfälligkeit wurde bestätigt. Ein Sicherheitsupdate ist geplant.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch.

Diese Empfehlung betrifft die folgende Software:

Betroffene Software

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1

Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003

Microsoft Windows Server 2003 für Itanium-basierte Systeme

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme

Microsoft Windows Server 2003 x64 Edition

Top of sectionTop of section

Häufig gestellte Fragen (FAQ)

Was genau umfasst diese Empfehlung?
Microsoft wurde eine neue Sicherheitsanfälligkeit gemeldet, die Terminaldienste und Remotedesktop-Dienste betrifft, eine Komponente von Microsoft Windows. Die betroffene Software ist im Abschnitt „Übersicht“ aufgelistet.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Ja.

Wodurch wird diese Bedrohung verursacht?
Ungültige Remotedesktop-Anforderungen werden vom Dienst nicht richtig verarbeitet.

Was ist das Remote Desktop Protocol (RDP)?
Mit dem Remote Desktop Protocol (RDP) können Benutzer in einer virtuellen Sitzung auf ihren Desktop-Computer zugreifen. Benutzer können damit alle auf ihrem Desktop-Computer vorhandenen Daten und Anwendungen von einem anderen Computer aus abrufen. Weitere Informationen über das Remote Desktop Protocol finden Sie auf folgender Website.

In welchen Microsoft-Produkten ist RDP implementiert?
Im Allgemeinen ist RDP das Protokoll, das Windows-Funktionen für Remotedesktop-Sitzungen zugrunde liegt. Beispiel:

Bei den Terminaldiensten unter Windows 2000 and Windows Server 2003 ist RDP implementiert. Weitere Informationen zu Terminaldiensten und RDP finden Sie auf der folgenden Website.

In der Remotedesktop-Freigabe unter Windows XP ist RDP implementiert. Weitere Informationen zur Remotedesktop-Funktion unter Windows XP finden Sie auf folgender Website.

Wie könnte ein Angreifer versuchen diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er eine speziell gestaltete Remotedesktop-Anforderung erstellt und diese dann an ein betroffenes System sendet.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Bei einem erfolgreichen Angriff kann der Empfang einer solchen ungültigen Remotedesktop-Anforderung bewirken, dass das gefährdete System so fehlschlägt, dass ein Denial-of-Service erfolgt. Unsere Untersuchungen haben ergeben, dass sich dies auf Denial-of-Service beschränkt und ein Angreifer aufgrund dieser Sicherheitsanfälligkeit nicht die vollständige Kontrolle über das System erhalten kann.

Wird Microsoft bei Verfügbarkeit weiterer Informationen Updates zu dieser Sicherheitsempfehlung veröffentlichen?
Ja. Dies ist eine erste Benachrichtigung, mit der Kunden auf das Problem hingewiesen werden sollen. Wir stellen möglicherweise im weiteren Verlauf unserer Untersuchungen zusätzliche Informationen zu dieser Sicherheitsanfälligkeit bereit.

Wurde dieses Problem öffentlich gemeldet?
Bei der ersten Meldung des Problems an Microsoft wurden Einzelheiten über die gemeldete Sicherheitsanfälligkeit öffentlich gemacht. Microsoft empfiehlt auch weiterhin die verantwortungsvolle Meldung von Sicherheitsanfälligkeiten. Unserer Meinung nach dient die allgemein anerkannte Methode der direkten Meldung von Sicherheitsanfälligkeiten an den Hersteller allen zum Vorteil, da hierdurch sichergestellt wird, dass Benutzer umfassende, qualitativ hochwertige Updates zu Sicherheitsanfälligkeiten erhalten und während der Entwicklung eines Sicherheitsupdates keinen schädlichen Angriffen ausgesetzt sind.

In Windows XP Home Edition ist die Remotedesktop-Funktion nicht enthalten. Ist es trotzdem von der Sicherheitsanfälligkeit betroffen?
Ja. Windows XP Home Edition verfügt zwar nicht über die Remotedesktop-Funktion, aber über eine Funktion namens Remoteunterstützung. Ist eine Remoteunterstützungs-Anforderung ausstehend, ist der Computer anfällig für den beschriebenen Angriff. Es bedarf zur Initiierung einer Remoteunterstützungs-Anforderung allerdings eines Benutzereingriffs.

Top of sectionTop of section

Empfohlene Maßnahmen

Lesen Sie den Microsoft Knowledge Base-Artikel zu dieser Empfehlung.

Kunden, die mehr über diese Funktion erfahren möchten, sollten den Microsoft Knowledge Base-Artikel 904797 lesen.

Kunden in den USA und Kanada, die denken, Sie könnten von dieser potenziellen Sicherheitsanfälligkeit betroffen sein, erhalten bei Microsoft Product Support Services unter 1-866-PCSAFETY technischen Support. Supportanfragen zu Sicherheitsupdates und Viren sind kostenlos. Kunden außerhalb Nordamerikas erhalten über die auf der Website Hilfe und Support – Sicherheit zu Hause beschriebenen Wege Support.

Alle Kunden sollten die von Microsoft veröffentlichten aktuellen Sicherheitsupdates installieren, um sicherzustellen, dass ihre Systeme vor Sicherheitsanfälligkeiten geschützt sind. Kunden, die die automatischen Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates erhalten Sie auf dem Microsoft-Sicherheitsportal.

Schützen Sie Ihren PC

Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Virenschutzsoftware zu installieren. Mehr über diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website „Schützen Sie Ihren PC“.

Weitere Informationen über Sicherheit im Internet finden Sie auf dem Microsoft-Sicherheitsportal.

Windows auf aktuellen Stand halten

Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computer zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie die automatischen Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Problemumgehungen

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

Blockieren Sie den TCP-Port 3389 an der Firewall.

Dieser Port wird zum Einleiten einer Verbindung mit der betroffenen Komponente verwendet. Das Blockieren dieses Ports an der Perimeterfirewall des Netzwerks schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Zusätzlich kann unter Windows XP und Windows Server 2003 die Windows-Firewall zum Schutz einzelner Computer beitragen. Die Windows-Firewall lässt Verbindungen über diesen Port standardmäßig nicht zu. Informationen zur Deaktivierung der Ausnahme für Remotedesktop in der Windows-Firewall auf diesen Plattformen finden Sie auf folgender Website.

Top of sectionTop of section
Deaktivieren Sie die Terminaldienste oder die Remotedesktop-Funktion, wenn Sie diese nicht benötigen.

Wenn diese Dienste auf einem Computer nicht mehr benötigt werden, sollten Sie sie im Rahmen der bewährten Sicherheitsverfahrensweisen deaktivieren. Die Deaktivierung nicht verwendeter oder nicht benötigter Dienste trägt zur Verminderung des Risikos durch Sicherheitsanfälligkeiten bei.

Informationen zur Deaktivierung von Remotedesktop über eine Gruppenrichtlinie finden Sie im Microsoft Knowledge Base-Artikel 306300.

Top of sectionTop of section
Sichern Sie Remotedesktopverbindungen durch die Verwendung einer IPSec-Richtlinie.

Die spezifischen Einstellungen sind von der jeweiligen Umgebung abhängig. Informationen über Internet Protocol Security (IPSec) finden Sie auf folgender Website.

Top of sectionTop of section
Sichern Sie Remotedesktopverbindungen durch den Einsatz einer VPN-Verbindung (virtuelles privates Netzwerk).

Die spezifischen Einstellungen sind von der jeweiligen Umgebung abhängig. Weitere Informationen über virtuelle private Netzwerke finden Sie auf folgender Website.

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

Ressourcen:

Sie können uns über das Formular auf folgender Website Ihr Feedback zukommen lassen.

Technischer Support ist in den USA und Kanada über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.

Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf internationale Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Verzichtserklärung:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen: 

16. Juli 2005: Empfehlung veröffentlicht.


Zum SeitenanfangZum Seitenanfang