Sicherheitslücke im Authentifizierungsprotokoll ermöglicht Remote Code Execution auf Servern bei Verwendung von RDP

Aufgrund einer Sicherheitslücke (CVE-2018-0886 [1]) im CredSSP-Protokoll (Credential Security Support Provider) werden ungepatchte Clients ab Mai daran gehindert, RDP-Verbindungen (Remote Desktop Protocol) zu Windows Servern aufzubauen. RDP ist das Protokoll, das für Remote Desktop Verbindungen verwendet wird, wobei CredSSP die Authentifizierung des Clients vornimmt.

Die Sicherheitslücke ermöglicht es einem Man-In-The-Middle-Angreifer, die Authentifikationsinformationen einer CredSSP-Session zu stehlen. Mithilfe diesen ist es möglich, Kommandos an den Server zu schicken.

Microsoft hat die Lücke im Sicherheitsupdate am 13. März bereits behoben und empfiehlt, dieses auf Servern und Clients umgehend einzuspielen [2].

Anschließend sollen Administratoren schon jetzt auf Clients und Servern per GPO das Verwenden von unsicheren CredSSP-Versionen unterbinden. Die Policy hierfür wurde mit dem Sicherheitsupdate ausgeliefert und befindet sich unter Computer Configuration -> Administrative Templates -> System -> Credentials Delegation. Sie trägt den Titel Encryption Oracle Remediation und sollte entweder auf Force Updated Clients oder Mitigated gesetzt werden. Force Updated Clients bewirkt, dass sowohl Clients, als auch Server nur gepatchte CredSSP-Versionen verwenden. Etwas schwächer ist die Einstellung Mitigated, die es nur Clients verbietet, Anfragen für unsichere CredSSP-Verbindungen zu senden. Sollte jedoch ein Server eine ungepatchte CredSSP-Version verwenden, so wird diese auch beim Client zur Authentifikation verwendet.

Am 17.April wird Microsoft den Remote Desktop Client aktualisieren und die Fehlermeldung verbessern, die auftritt, wenn ein gepatchter Client sich nicht mit einem ungepatchten Server verbinden kann.

Am 8.Mai veröffentlicht Microsoft dann das Update, welches die GPO Encryption Oracle Remediation auf Mitigated setzt und somit ungepatchten Clients das Verbinden auf gepatchte Server verbietet.

[1] https://nvd.nist.gov/vuln/detail/CVE-2018-0886

[2] https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018