16.03.2012 15:21

RDP und VPNs

Aktuell beschäftigen uns zwei interessante Bugs:

RDP:

Microsoft hat mit dem März Patchday einen Bug im RDP (Remote Desktop Protocol) Server gefixt, der ohne gültige Credentials für Remote Code Execution nutzbar ist.

Sowas ist böse, weil sich diese Klasse von Bugs zum Schreiben von Würmern eignet. Wie schon Conficker vor drei Jahren gezeigt hat, kann das schnell zu einem ernsten Problem werden.

Positiv ist hier, dass das RDP-Service nicht standardmäßig aktiviert ist, und Microsoft davon ausgeht, dass ein funktionierender Exploit nicht einfach zu schreiben ist. Inzwischen kursieren schon erste PoC (Proof of Concept) Codefragmente im Netz, es ist also zu befürchten, dass das schneller geht als gehofft.

Wo wird RDP eingesetzt? Primär innerhalb von Firmen zur a) Fernwartung von Servern, b) zum zentralisieren von Applikationen (statt lokal das Programm zu installieren, wird eine RDP-Session zu einem Server aufgebaut) und in machen Fällen als VPN-Ersatz.

Ersters ist innerhalb des Firmennetzes weniger kritisch, da diese Netze (hoffentlich) abgesichert sind. Problematisch wird es, wenn die Server nicht im eigenen Haus stehen, sondern in Rechenzentren. So etwa ist RDP bei Amazons EC2 Windows-Servern die Standardlösung. Das wird bei vielen anderen Rechenzentren / Cloud-Services nicht anders sein.

Letzteres macht mir am meisten Sorgen: wenn eine RDP-Session die Lösung für Teleworking ist, und keine weiteren Sicherheitsmaßnahmen existieren, dann ist ein sofortiges Patchen extrem wichtig für die Firma.

Deutlich besser ist, wenn der RDP-Server nur innerhalb eines VPNs erreichbar ist. Und hier kommen wir zu Punkt zwei:

VPN:

Cisco hat diese Woche mitgeteilt, dass es mehrere Problem mit ihren VPN-Lösungen gibt. Serverseitig klingt das noch relativ harmlos (da primär "nur" Denial-of-Service), ein Punkt ist aber erwähnungswürdig:

Das "Cisco Clientless VPN" nutzt den Browser als VPN-Client und falls dieser ein Internet Explorer ist, wird ein ActiveX - Control für manche Features installiert. Dieses hat sich jetzt als verwundbar herausgestellt, und damit schlagen die Design-Problem von ActiveX voll zu:

Jede andere Webseite, die mit dem IE besucht wird, kann das ActiveX-Control aktivieren und ausnützen. Ein simples Patchen des VPN-Gateways reicht also nicht, um das Problem zu lösen. Man muss von allen Clients, die das Gateway jemals benutzt haben, das fehlerhafte Active-X-Control entfernen.

Da sowas nicht zum ersten mal passiert, gibt es wenigstens Mechanismen, wie das halbwegs effizient machbar ist: Kill-bits und Group-Policies.

Autor: Otmar Lendl