RUS-CERT Ticker

Phishing-Angriffe mittels gefälschter UniMail-Login-Seiten / phishing attacks using fake UniMail login pages

2020-09-14T12:30:02.145163Z

Meldung Nr: RUS-CERT-1767

[Phishing] Phishing-Mails im Namen des TIK
(2020-09-14 12:30:02.145163+00) Druckversion

Quelle: https://www.tik.uni-stuttgart.de/das-tik/aktuelles/#id-6e8e04d0

Aktuell werden Phishing-Mails an Mitarbeiterinnen und Mitarbeiter der Uni Stuttgart im Namen des TIK verschickt. Bitte auf keinen Fall dem Link folgen und keine Login-Daten auf der täuschend echt aussehenden Phishing-Seite eingeben!

Beschreibung

Aktuell werden Mails, die angeblich von einer E-Mail-Adresse der Uni Stuttgart stammen an Mitarbeiterinnen und Mitarbeiter verschickt. Diese Nachrichten sehen in etwa so aus:

From: Universität Stuttgart <****@****.uni-stuttgart.de>
Date: 14. September 2020 at 08:47:28 CEST
To: "****, ******" <****.****@***.uni-stuttgart.de>
Subject: Überprüfen Sie Ihr E-Mail-Konto.... So vermeiden Sie geschlossen

sehr geehrter ****@****.uni-stuttgart.de ,

Damit sollen alle Mitarbeiter und Studierenden der Universität Stuttgart darüber informiert werden, dass wir aktive Konten validieren.

Bitte bestätigen Sie, dass Ihr Konto noch verwendet wird, indem Sie auf den unten stehenden Validierungslink klicken: 

E-Mail-Konto validieren 

Aufrichtig,

TIK-Helpdesk
Technische Informations- und Kommunikationsdienste
Universität Stuttgart.

Klickt man auf "E-Mail-Konto validieren", landet man auf einer Phishing-Seite, die genau wie die UniMail Login-Seite aussieht:

Trägt man dort seine Zugangsdaten ein, wird man automatisch auf die echte UniMail-Seite weitergeleitet, so dass man leicht übersehen kann, einem Phishing zum Opfer gefallen zu sein.

Gegenmaßnahmen

Sollten Sie bereits dem Link aus einer solchen Phishing-Mail gefolgt sein und Ihre Login-Daten im Anmeldeformular eingegeben haben, ändern Sie bitte umgehend Ihr Passwort im SIAM Self-Service des TIK.

Das TIK informiert in einer Betriebsmeldung über die Phishing-Mails.

Die Stabsstelle Informationssicherheit (RUS-CERT) hat bereits folgende Gegenmaßnahmen unternommen:

Sperrung der IPs der Phishingseite an der Border-Firewall, so dass die Seite aus dem Uni-Netz nicht mehr erreichbar ist
Eintrag der Phishingseite bei Google Safebrowsing
Entfernen der Seiten bei den jeweiligen Hostern beantragt

Bei Fragen oder Problemen wenden Sie sich gerne telefonisch oder per E-Mail an uns.

(vw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

[Microsoft/Windows DNS-Server] Kritische Schwachstelle im Windows DNS-Server

2020-07-15T11:30:02.831798Z

Meldung Nr: RUS-CERT-1766

[Microsoft/Windows DNS-Server] Kritische Schwachstelle im Windows DNS-Server
(2020-07-15 11:30:02.831798+00) Druckversion

Quelle: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

Alle Versionen des Windows DNS-Servers sind von einer kritischen Schwachstelle betroffen, die die Ausführung von beliebigem Code ermöglicht. Microsoft stellt für unterstützte Versionen Patches zur Verfügung, die umgehend installiert werden sollten.

Inhalt

Zusammenfassung
Beschreibung
Gegenmaßnahmen
Workaround
Weitere Information zu diesem Thema

Zusammenfassung

CVE-2020-1350:

Betroffen:	Alle Versionen von Microsoft Windows DNS-Server
Plattform:	Microsoft Windows Server
Einfallstor:	Microsoft DNS-Server
Angriffsvoraussetzung:	über TCP erreichbarer DNS-Server
Angriffsvektorklasse:	remote, ohne Nutzerinteraktion
Auswirkung:	Ausführung von beliebigem Code mit Rechten des lokalen System-Nutzers
Typ:	Heap-basierter Buffer Overflow
Gefahrenpotential:	sehr hoch (CVSS 10.0)
Gegenmaßnahmen:	Patch installieren
Workaround:	ja
Vulnerability ID:	CVE-2020-1350

Beschreibung

Wie gestern bekannt wurde, sind alle Versionen des Windows DNS-Servers von einer kritischen Schwachstelle betroffen, die die Ausführung von beliebigem Code ermöglicht. Dazu muss nur eine geeignete Anfrage via TCP an den DNS-Server geschickt werden. Für die Ausnutzung der Schwachstelle ist daher keine Nutzer-Interaktion notwendig. Insbesondere auf Domain-Controllern stellt diese Schwachstelle eine erhebliche Sicherheitslücke dar.

Gegenmaßnahmen

Microsoft stellt für alle unterstützten Versionen von Windows Server Patches zum Beheben dieser Schwachstelle bereit. Diese sollten umgehend installiert werden.
Offizielles Microsoft-Advisory

Workaround

Falls kein Patch installiert werden kann, sollte der von Microsoft empfohlene Workaroung mit einem entsprechenden Registry-Eintrag umgesetzt werden. Achtung: Anschließend muss der DNS-Service neugestartet werden!
Offizielles Microsoft-Advisory

Weitere Information zu diesem Thema

Ausführliche Analyse der Schwachstelle von Check Point Research

(vw)

[Apple/iOS Mail] UPDATE: Schwachstelle in Apple Mail - Patch verfügbar

2020-05-27T21:45:58.039549Z

Meldung Nr: RUS-CERT-1764

[Apple/iOS Mail] UPDATE: Schwachstelle in Apple Mail - Patch verfügbar
(2020-05-27 21:45:58.039549+00) Druckversion

Quelle: https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

Es existieren zwei unabhängige Schwachstellen im Standard-Mailprogramm von Apple iOS, die einem entfernten Angreifer erlauben, beliebigen Programmcode auf dem Gerät auszuführen. Dabei ist aktuell unklar, ob dieser Code nur im Rahmen des Programmkontextes von MobileMail/maild oder mit Systemrechten ausgeführt werden kann.
Update: Es sind nun neue Versionen der betroffenen Betriebsysteme verfügbar, die die Schwachstellen beheben und unverzüglich installiert werden sollten.

Inhalt

Zusammenfassung
Betroffene Systeme
Angriffsvoraussetzung
Gefahrenpotential
Beschreibung
Workaround
Gegenmaßnahmen
Vulnerability ID
Exploit Status
Weitere Information zu diesem Thema
Revisionen dieser Meldung

Zusammenfassung

Betroffen:	Apple-Mail (Standard-Mailprogramm auf iOS)
Plattform:	Apple iOS Versionen 6-13
Angriffsvoraussetzung:	Versenden einer speziell präparierten Mail
Angriffsvektorklasse:	remote
Auswirkung:	Ausführung von beliebigem Programmcode
Typ:	RCE
Gefahrenpotential:	unklar
Workaround:	Nutzung eines anderen Mailclients
Gegenmaßnahmen:	neue Betriebsystemversion installieren
Vulnerability ID:	CVE-2020-9818, CVE-2020-9819
Revision dieser Meldung:	V 2.0

Betroffene Systeme

Standard-Mailprogramm AppleMail auf iOS in den Betriebssystemversionen iOS 6-13

Nicht betroffene Systeme

MacOS

Angriffsvoraussetzung

Für einen erfolgreichen Angriff muss eine entsprechend präparierte Mail heruntergeladen (iOS 13) oder geöffnet (iOS 12) werden.

Gefahrenpotential

unklar

Beschreibung

Der Angreifer kann dadurch auf jeden Fall E-Mails lesen, ändern und löschen. Ob hierfür eine Nutzerinteraktion nötig ist, hängt von der Version des installierten Betriebssystems ab.

Laut den Entdeckern der Sicherheitslücke wurde diese bereits aktiv ausgenutzt; Apple bestreitet die aktive Ausnutzung, jedoch nicht die Existenz der Schwachstelle.

Bisher existiert noch kein offizieller Patch. Bis zum Erscheinen des Patches empfehlen wir daher, auf iOS-Geräten einen anderen Mail-Client zu nutzen.
UPDATE: Apple stellt am 2020-05-26 neue Versionen der betroffenen Betriebssystemversionen bereit, die die Schwachstelle beheben.

Workaround

Solange kein Patch existiert, empfehlen wir allen iOS-Nutzer, den Standard-Mailclient von iOS zu deaktiveren und Mails mit einem anderen Programm oder über den Webbrowser zu lesen.

Gegenmaßnahmen

Apple stellt neue Versionen der betroffenen Betriebsysteme bereit, die die Schwachstellen beheben.

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

Unklar: Laut den Entdeckern der Schwachstelle von Zecops gibt es eine aktive Ausnutzung der Schwachstelle von professionellen Angreifern, Apple bestreitet dies jedoch.

Revisionen dieser Meldung

V 1.0 (2020-04-24)
V 2.0 (2020-05-27)
- Beschreibung aktualisiert
- Gegenmaßnahmen aktualisiert
- CVE-Nummern hinzugefügt

(vw)

[CEO Fraud] Gefälschte E-Mails von Vorgesetzten mit Aufforderung, Geld auszugeben

2020-05-19T20:32:16.769119Z

Meldung Nr: RUS-CERT-1765

[CEO Fraud] Gefälschte E-Mails von Vorgesetzten mit Aufforderung, Geld auszugeben
(2020-05-19 20:32:16.769119+00) Druckversion

Derzeit erhalten Angehörige der Uni Stuttgart E-Mail, die angeblich von einem Vorgesetzen stammt. Wenn auf sie geantwortet wird, entsteht eine kurze Konversation an deren Schluss der Empfänger aufgefordert wird, Geschenkgutscheine zu erwerben und an den Sender zu schicken. Es wird versprochen, die Auslagen zu erstatten, "wenn ich im Büro bin". Diese Konversationen erfolgen wahlweise auf Englisch oder Deutsch. ACHTUNG! Es handelt sich um einen Betrugsversuch (sog. CEO Fraud). Befolgen Sie die Bitten keinesfalls sondern fragen Sie bei der betreffenden Person nach oder melden Sie den Vorgang dem RUS-CERT!

Inhalt

Zusammenfassung
Beschreibung
Beispiel eines Korrespondenzverlaufs auf Deutsch
Beispiel eines Korrespondenzverlaufs auf Englisch
Gegenmaßnahmen

Melden Sie Ihren Verdachtsfall der Stabsstelle Informationssicherheit (RUS-CERT)

Weitere Information zu diesem Thema

Zusammenfassung

Einfallstor:	E-Mail
Auswirkung:	Möglicher finanzieller Verlust
Typ:	CEO Fraud
Was tun?	Meldung an das RUS-CERT

Beschreibung

Zur Zeit werden E-Mails von Betrügern an Angehörige der Universität Stuttgart verschickt, die den Anschein erwecken sollen, dass sie von einem Vorgesetzten stammen. Die Mailings sind gut recherchiert und vorbereitet, so dass korrekte Namen und Positionen der Vorgesetzten vorgetäuscht werden: etwa dem zur angegriffenen Person passenden Abteilungsleiter oder die Professorin ihres Instituts.

Die Konversationen verlaufen offenbar immer nach demselben Schema mit vorgefertigten Textbausteinen und beginnen auf Deutsch. Wenn von der angegriffenen Person auf Englisch geantwortet wird, wird auf Englisch umgeschaltet, wobei die englischen Texte offenbar als Vorlage für die deutschen Texte gedient haben. Das Deutsch liest sich ein Wenig holperig (siehe die Beispiele weiter unten).

Zunächst wird behauptet, dass die vorgeblich vorgesetzte Person in einer Sitzung unbekannter Länge säße und sich daher ein Telefonat verböte. Dann wird darum gebeten, ganz diekret eine dringende Aufgabe für den Vorgesetzten zu erledigen, die dieser nicht selbst erledigen kann, weil er/sie in der Sitzung sitze. Der Angegriffene soll Geschenkgutscheine kaufen und per Mail an den Angreifer schicken, der sie "dringend" und unverzüglich an einen Kollegen weiterschicken muss. Es wird versprochen, die Auslagen zu erstatten "wenn ich im Büro bin".

Geschenkgutscheine sind bares Geld wert und stellen daher einen realen Gegenwert dar.

Bei dieser Masche handelt es sich um einen Betrugsversuch, bei dem der Angegriffene um reales Geld gebracht werden soll. Falls die angegriffene Person tatsächlich Geschenkgutscheine kauft und deren Codes an den Angreifer weiterschickt, ist ihr Geld verloren, denn natürlich weiß der reale Vorgesetzte nichts von dieser Aktion und wird dem Mitarbeiter nicht seine Auslagen erstatten.

Beispiel eines Korrespondenzverlaufs auf Deutsch

Hier wird unter Verwendung fiktiver Namen aber real in Angriffen verwendeter Texte ein Beispiel angegeben, wie diese Konversation auf Deutsch abläuft:

Mitarbeiter: Hans Mustermann, Institut für Weinbau
Vorgesetzter: Professor Heinz Schenk, Institut für Weinbau, Dekan der Fakultät für Agrarwissenschaften

Kontaktaufnahme:
```


Von: Heinz Schenk <mailto:heinz.schenk.iweb.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 11:20 AM
An:  hans.mustermann@iweb.uni-stuttgart.de <mailto:hans.mustermann@iweb.uni-stuttgart.de>
Betreff: DRINGEND

Hallo Hans!  Bist du verfügbar ?

Heinz Schenk
Professor und Dekan
Fakultät für Agrarwissenschaften
Zimmer 13.302
Pfaffenwaldring 55
Universität Stuttgart
70569 Stuttgart
Deutschland

```
Man beachte dabei, dass die persönlichen Daten von Prof. Schenk alle einschließlich der Büroadresse stimmen. Diese Person existiert wirklich, ist Professor und Dekan und Hans ist auch tatsächlich Mitarbeiter an seinem Institut. Diese Daten sind leicht aus den Instituts- oder Fakultätswebseiten ermittelbar, was in diesem Fall zur Vorbereitung auch gemacht wurde.
Hier kann man sehen, dass diese Nachricht von einer Adresse kommt, die nicht zur Uni gehört. Dies ist ersichtlich am Adressteil nach dem @-Zeichen, hier @my.com.

Herr Mustermann antwortet, was er schreibt ist dabei offenbar nicht wirklich von Belang, es ist offenbar lediglich wichtig, ob er auf Deutsch oder Englisch antwortet.



Von "Hans Mustermann"<mailto:hans.mustermann@iweb.uni-stuttgart.de>
Gesendet: Wednesday, 20 May 2020 11:30 AM
An: Heinz Schenk <mailto:heinz.schenk.iweb.uni-stut@my.com>
Betreff: AW: DRINGEND

Hallo Herr Prof. Schenk,

ja, ich bin erreichbar, was kann ich für Sie tun?

Mit freundlichen Grüßen
-- 
Hans Mustermann			
Wissenschaftlicher Mitarbeiter		
Institut für Weinbau
Universität Stuttgart

Die zweite Mail des falschen Herrn Schenk ist offenbar ebenfalls ein Standardtext.



Von: Heinz Schenk <mailto:heinz.schenk.iweb.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 11:20 AM
An:  hans.mustermann@iweb.uni-stuttgart.de <mailto:hans.mustermann@iweb.uni-stuttgart.de>
Betreff: Re: AW: DRINGEND

Sie müssen eine Aufgabe für mich diskret erledigen.  Ich bin jetzt in
einer Besprechung. Anrufe sind verboten, daher kann ich Sie nur per
E-Mail kontaktieren. Ich habe keine Ahnung, wann wir die Dinge hier
erledigen werden. Ich brauche jedoch wirklich Ihre Hilfe bei etwas, das
meine dringende Aufmerksamkeit erfordert.

Heinz Schenk
Professor und Dekan
Fakultät für Agrarwissenschaften
Zimmer 13.302
Pfaffenwaldring 55
Universität Stuttgart
70569 Stuttgart
Deutschland

Ob nun geantwortet wird oder nicht, ist offenbar egal. Es folgt eine weitere Nachricht, die den eigentlichen Betrugsversuch enthält:



Von: Heinz Schenk <mailto:heinz.schenk.iweb.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 11:25 AM
An:  hans.mustermann@iweb.uni-stuttgart.de <mailto:hans.mustermann@iweb.uni-stuttgart.de>
Betreff: Re: AW: DRINGEND

Sie müssem mir helfen. Geschenkkarten aus jedem Geschäft zu bekommen.
Ich werde Sie erstatten, wenn ich im Büro bin.  Ich muss es an einen
Kollegen senden und es ist sehr wichtig, weil ich noch bei der
Besprechung bin und es so schnell wie möglich erhalten muss.  Kannst du
das bitte für mich tun?

Heinz Schenk
Professor und Dekan
Fakultät für Agrarwissenschaften
Zimmer 13.302
Pfaffenwaldring 55
Universität Stuttgart
70569 Stuttgart
Deutschland

Wenn nun Herr Mustermann Gutscheine im Internet kauft (etwa bei Amazon) und die Einlösecodes an den vermeintlichen Chef schickt, ist er sein Geld los.

Beispiel eines Korrespondenzverlaufs auf Englisch

Hier ein Beispiel mit neuen fiktiven Personen, wie die Korrespondez auf Englisch abläuft. Man erkennt, dass die hier verwendeten Texte offenbar die Vorlage für die relativ gute, im Detail jedoch holperigen deutschen Texte ist. Bemerkenswert ist, dass die Kontaktaufnahme auf Deutsch beginnt.

Mitarbeiter: Oliver Hardy, Institut für Schwarz-Weiß-Film
Vorgesetzte: Professorin Martina Hill, Institut für Schwarz-Weiß-Film, Prodekanin der Fakultät für Filmwissenschaften

Auch hier sind die persönlichen Daten der Vorgesetzten wohl recherchiert und stimmen bis auf Details im Vokabular.

Kontaktaufnahme (in Deutsch):



Von: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 10:12 AM
An:  oliver.hardy@iswf.uni-stuttgart.de <mailto:oliver.hardy@iswf.uni-stuttgart.de>
Betreff: DRINGEND

Hallo Oliver!  Bist du verfügbar ?

Martina Hill
Professor und Vizedekan
Fakultät für Filmwissenschaften
Zimmer 17.08
Keplerstraße 11
Universität Stuttgart
70174 Stuttgart
Deutschland

Herr Hardy antwortet auf Englisch, was dazu führt, dass die falsche Frau Hill auf Englisch umschaltet. Der Inhalt Herrn Hardys Nachricht scheint wieder eher unwichtig zu sein.



Von "Oliver Hardy"<mailto:oliver.hardy@iswf.uni-stuttgart.de>
Gesendet: Wednesday, 20 May 2020 10:22 AM
An: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Betreff: AW: DRINGEND

Hello Prof. Hill,

I apologize as I was in the cutting room, working on our newest project.
Now I am available, how may I help?

Best regards 
-- 
Oliver Hardy		
Institut fuer Schwarz-Weiss-Film
Universitaet Stuttgart

Die zweite Mail der angeblichen Frau Hill ist offenbar nun ein Standardtext in Englisch.



Von: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 10:23 AM
An:  oliver.hardy@iswf.uni-stuttgart.de <mailto:oliver.hardy@iswf.uni-stuttgart.de>
Betreff: Re: AW: DRINGEND

Okay, I need you to complete a task for me discreetly. I am in a meeting
now. Calls are prohibited, hence, I can only contact you via mail, I
have no idea when we will finish things here, however, I really need
your help with something that requires my urgent attention remotely.

Martina Hill
Professor und Vizedekan
Fakultät für Filmwissenschaften
Zimmer 17.08
Keplerstraße 11
Universität Stuttgart
70174 Stuttgart
Deutschland

Hier wird geantwortet.



Von "Oliver Hardy"<mailto:oliver.hardy@iswf.uni-stuttgart.de>
Gesendet: Wednesday, 20 May 2020 10:23 AM
An: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Betreff: AW: Re: AW: DRINGEND

Ok, I will try my very best.

Best regards
Ollie
-- 
Oliver Hardy		
Institut fuer Schwarz-Weiss-Film
Universitaet Stuttgart

Dies ruft aber nur die im Inhalt selbe Antwort wie oben hervor, nun aber auf Englisch. Auch diese Nachricht enthält den eigentlichen Betrugsversuch.



Von: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 10:23 AM
An:  oliver.hardy@iswf.uni-stuttgart.de <mailto:oliver.hardy@iswf.uni-stuttgart.de>
Betreff: Re: AW: Re: AW: DRINGEND

I need you to help me get  gift cards from any store, i will reimburse
you when i get to the office. I need to send it to a colleague and it is
very important cause i'm still at the meeting and i need to get it sent
Asap. Can you do that for me please ?

Martina Hill
Professor und Vizedekan
Fakultät für Filmwissenschaften
Zimmer 17.08
Keplerstraße 11
Universität Stuttgart
70174 Stuttgart
Deutschland

Diese Texte der Angreifer kamen in dieser oder nur leicht abgewandelter Form in allen bisher an uns gemeldeten Vorfällen vor.

Gegenmaßnahmen

Technisch gibt es so gut wie keine Gegenmaßnahmen gegen diese Art von Angriffen. Es gibt nur organisatorische Maßnahmen und die gute Informiertheit der Benutzer, die sie in die Lage versetzt, solche Angriffe rasch zu erkennen und abzuwehren. Da der Angriff nicht auf IT-Technik und ihren Schwachstellen sondern ausschließlich auf Verfahren des Social Engineering beruht, reicht das Erkennen der Absicht und Ignorieren der Nachrichten dafür aus. Dafür sollten folgende Regeln befolgt werden:

Seien Sie als Empfänger solcher Nachrichten wachsam! Sobald Sie auch nur den kleinsten Verdacht an der Plausibilität haben, werden Sie misstrauisch! Zweifeln sie lieber einmal zu oft als zu selten solche ungewöhnlichen Anliegen an.
Ein Punkt, der in vorliegendem Fall sofort stutzig machen sollte, ist die Absenderadresse, die nicht zur Uni Stuttgart gehört. Die Mail kommt aus der Domain my.com, ersichtlich an dem Adressteil nach dem @-Zeichen, hier @my.com. Hier würde man erwarten, dass die Adresse den Domain-Teil @uni-stuttgart.de haben würde. Jedoch ist eine in diesem Sinne unverdächtige Absenderadresse kein starkes Kriterium für die Echtheit einer Mail, da solche Adressen leicht gefälscht werden können. Näheres zu E-Mail-Adressen und der Analyse von E-Mail-Headers finden sie auf unserer Seite E-Mail-Header richtig lesen.
Sobald es um Geld geht, insbesondere Ihr Privatgeld, sollten bei Ihnen alle Alarmglocken läuten. Verifizeren Sie auf anderen Wegen, ob es sich um eine legitime Angelegenheit handelt. Insbesondere größere Beträge müssen Sie dazu bewegen, die Sache zu stoppen. Dasselbe gilt für Information, die geheim ist, insbesondere Zugangsdaten zu Systemen und Prozessen. Diese sollten niemals per E-Mail weitergegeben werden.
Fragen Sie die Person, mit der Sie gerade (angeblich) kommunizieren über einen anderen Kanal, z.B. Telefon (auch wenn das gerade angeblich "verboten" ist). Ziehen Sie Kollegen zu Rate. Wenn es ein legitimes Anliegen ist, wird Ihr Kommunikationspartner nichts gegen eine Verifikation haben.
Als Vorgesetzter: Sorgen Sie in Ihrem Zuständigkeitsbereich für eine Atmosphäre, in der sich Mitarbeiter trauen dürfen, bei Anweisungen oder Bitten von Ihnen nachzufragen. Nichts spielt CEO Fraud mehr in die Hände als eine Arbeitsatmosphäre, die verhindert, dass Mitarbeiter Ihre Anweisungen verifizieren, wenn Sie Zweifel an deren Plausibilität haben.
Melden Sie Ihren Verdachtsfall der Stabsstelle Informationssicherheit (RUS-CERT). Melden Sie lieber einmal zu oft, als einmal zu wenig. Schicken Sie dabei alle Mails, die Sie zu einem Fall erhalten haben mit und stellen Sie sicher, dass sie dabei alle Headers dieser Nachrichten mitschicken. Nur so sind wir in der Lage, die Herkunft einer Nachricht zu ermitteln und ggf. den Betreiber des sendenden Mailservers über die Aktivitäten zu informieren.

Weitere Information zu diesem Thema

Wikipedia: CEO Fraud
Wikipedia: Social Engineering
RUS-CERT: Wie komme ich an die Header einer Nachricht?
RUS-CERT: E-Mail-Header richtig lesen
RUS-CERT: SPAM und die Folgen
RUS-CERT: Viren, Würmer, trojanische Pferde

(og)

[Microsoft/Windows] Schwachstelle in Microsoft Windows Server Message Block (SMB)

2020-03-13T17:12:44.592525Z

Meldung Nr: RUS-CERT-1763

[Microsoft/Windows] Schwachstelle in Microsoft Windows Server Message Block (SMB)
(2020-03-13 17:12:44.592525+00) Druckversion

Quelle: https://support.microsoft.com/de-de/help/4551762/windows-10-update-kb4551762

Eine Schwachstelle in den Routinen für den Server Message Block 3.1.1 (SMBv3) der aktuellen Microsoft Windows-10-Versionen kann von einen Angreifer durch das Senden eines entsprechend formulierten SMB-Paketes an ein verwundbares System dazu ausgenutzt werden, das System zu kompromittieren. Microsoft stellt Patches zur Behebung dieser Schwachstelle bereit, die umgehend installiert werden sollten.

Inhalt

Zusammenfassung
Betroffene Systeme
Angriffsvoraussetzung
Gefahrenpotential
Beschreibung
Workaround
Gegenmaßnahmen
Vulnerability ID
Exploit Status
Weitere Information zu diesem Thema

Zusammenfassung

CVE-2020-0796:

Betroffen:	SMBv3 auf Windows 10 SAC (Semi-Annual Channel) der Versionen 1903 und 1909 (32/64bit und ARM64), Windows Server SAC der Versionen 1903 und 1909
Plattform:	Microsoft Windows 10
Einfallstor:	SMB, Port 445/tcp
Angriffsvoraussetzung:	Zugriff auf ein Netzwerk,über das SMB-Pakete an einen verwundbaren Server geschickt werden können, bzw. über das verwundbare Clients SMB-Pakete erhalten können (network)
Angriffsvektorklasse:	remote
Auswirkung:	Kompromittierung des beherbergenden Systems (system compromise)
Typ:	unbekannt
Gefahrenpotential:	sehr hoch
Workaround:	teilweise
Gegenmaßnahmen:	Installation eines Patches
Vulnerability ID:	CVE-2020-0796

Betroffene Systeme

Server Message Block 3.1.1 (SMBv3) auf den folgenden Betriebssystemen:

Windows 10 Version 1903 für 32-bit Systeme
Windows 10 Version 1903 für ARM64-basierte Systeme
Windows 10 Version 1903 für x64-basierte Systeme
Windows 10 Version 1909 für 32-bit Systeme
Windows 10 Version 1909 für ARM64-basierte Systeme
Windows 10 Version 1909 für x64-basierte Systeme
Windows Server, version 1903 (Server Core Installation)
Windows Server, version 1909 (Server Core Installation)

Es ist jeweils der SMB-Server als auch der SMB-Client verwundbar!

Angriffsvoraussetzung

Für einen Angriff auf einen verwundbaren Server ist es erforderlich, dass der Angreifer ein entsprechend formuliertes SMB-Paket an den Server schicken kann.
(network)
Für einen Angriff auf einen SMB-Client ist Benutzerinteraktion erforderlich: der Angreifer muss einen Benutzer dazu bringen auf einen entsprechend präparierten SMB-Server zuzugreifen (user interaction)

Gefahrenpotential

sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Server Message Block ist das Netzwerkprotokoll, das Microsoft-Betriebssysteme verwenden, um Netzlaufwerke, Drucker und weitere Netzwerkdienste anzusprechen. Es ist damit eines der essentiellen Protokolle für das Active Directory.

Eine Schwachstelle in der Implementierung des SMB-Protokolls der Version 3.1.1 in den aktuellen Microsoft-Windows-10-Betriebssystemvarianten, erlaubt es einem Angreifer, durch das Senden eines entsprechend formulierten SMB-Pakeses beliebigen Programmcode auf einem verwundbaren Server auszuführen. Um einen verwundbaren SMB-Client zu kompromittieren, muss der Angreifer einen Benutzer des beherbergenden Systems dazu bringen, auf einen entsprechend präparierten Server per SMB zuzugreifen, etwa ein von diesem angebotenes Netzlaufwerk einzubinden oder einen Drucker zu installieren.

Die Perimeterfirewall der Universität Stuttgart schützt Systeme innerhalb der Netze der Uni vor direkten SMB-Zugriffsversuchen von außerhalb der Uni-Netze, da sie SMB-Verkehr über die Uni-Netzgrenzen hinweg blockiert. Sie kann jedoch nicht vor Zugriffen von innerhalb der Uni-Netze schützen. Infizierte Systeme innerhalb der Uni-Netze könnten diese Schwachstelle ausnutzen, sofern sie entsprechenden Exploit-Code verwenden. Aktuelle Malware, wie etwa Emotet oder andere Bots könnten solchen Code nachladen und verwundbare Systeme innerhalb der Uni-Netze angreifen. Aus diesem Grund wird die unverzügliche Installation der bereitgestellten Patches dringend empfohlen!

Workaround

Um zu verhindern, dass unauthentifizierte Angreifer die Schwachstelle ausnutzen können, kann man die SMBv3-Kompression abgeschaltet werden. Dies kann durch folgende Power-Shell-Kommandosequenz erfolgen:


Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Achtung! Diese Maßnahme kann nicht verhindern, dass infizierte Systeme innerhalb der Uni-Netze die für sie vorgesehenen Server erfolgreich angreifen! Sie kann außerdem verwundbare SMB-Clients nicht schützen. Innerhalb der Netze der Universität Stuttgart ist sie daher nur von begrenztem Nutzen.

Die Kompression kann nach Installation der bereitgestellten Patches mit folgender Power-Shell-Kommandosequenz wieder abgeschaltet werden:


Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Gegenmaßnahmen

Installation bereitgestellter Updates:

Vulnerability ID

CVE-2020-0796

Weitere Information zu diesem Thema

Microsoft Article 455176: March 12, 2020—KB4551762 (OS Builds 18362.720 and 18363.720)

Exploit Status

Bislang ist lediglich die prizipielle Ausutzbarkeit der Schwachstelle, jedoch kein in Malware einsetzbarer Code zur Ausnutzung bekannt.
(proof of concept)

(og)

[Microsoft/IE] Kritische Schwachstelle im Internet Explorer

2020-01-20T16:58:00.462042Z

Meldung Nr: RUS-CERT-1762

[Microsoft/IE] Kritische Schwachstelle im Internet Explorer
(2020-01-20 16:58:00.462042+00) Druckversion

Quelle: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001

Eine z.T. als kritisch eingestufte Schwachstelle in den Routinen zur Verarbeitung aktiver Inhalte des Internet Exporers kann von einem Angreifer dazu ausgenutzt werden, beliebigen JavaScript-Code im Benutzerkontext des browsenden Benutzers auszuführen. Sofern der Benutzer administrative Privilegien besitzt, kann dies zur unmittelbaren Kompromittierung des beherbergenden Systems führen. Es ist bislang kein Patch verfügbar, der das Problem behebt. Aus diesem Grund wird Benutzern, insbesondere Benutzern mit administrativen Privilegien dringend von der Nutzung des Internet Explorers abgeraten.

Inhalt

Zusammenfassung
Betroffene Systeme
Plattform
Workaround
Gegenmaßnahmen
Vulnerability ID

Zusammenfassung

CVE-2020-0674:

Betroffen:	Internet Explorer 9, 10, 11
Plattform:	Microsoft Windows: Server 2012, 10, Server 2016, 7, 8.1, RT 8.1, Server 2008, Server 2012
Einfallstor:	JavaScript
Angriffsvoraussetzung:	Benutzerinteraktion: Betrachten einer entsprechenden Seite im IE
Angriffsvektorklasse:	remote
Auswirkung:	Benutzer- bzw. Systemkomopromittierung
Typ:	Speicherverletzung
Gefahrenpotential:	hoch bis sehr hoch
Workaround:	ja
Gegenmaßnahmen:	bislang nicht
Vulnerability ID:	CVE-2020-0674

Betroffene Systeme

Plattform

Windows 10 Version 1803 für 32-bit Systeme
Windows 10 Version 1803 für x64-basierte Systeme
Windows 10 Version 1803 für ARM64-basierte Systeme
Windows 10 Version 1809 für 32-bit Systeme
Windows 10 Version 1809 für x64-basierte Systeme
Windows 10 Version 1809 für ARM64-basierte Systeme
Windows 10 Version 1909 für 32-bit Systeme
Windows 10 Version 1909 für x64-basierte Systeme
Windows 10 Version 1909 für ARM64-basierte Systeme
Windows 10 Version 1709 für 32-bit Systeme
Windows 10 Version 1709 für x64-basierte Systeme
Windows 10 Version 1709 für ARM64-basierte Systeme
Windows 10 Version 1903 für 32-bit Systeme
Windows 10 Version 1903 für x64-basierte Systeme
Windows 10 Version 1903 für ARM64-basierte Systeme
Windows 10 für 32-bit Systeme
Windows 10 für x64-basierte Systeme
Windows 10 Version 1607 für 32-bit Systeme
Windows 10 Version 1607 für x64-basierte Systeme
Windows 8.1 für 32-bit systems
Windows 8.1 für x64-basierte systems
Windows RT 8.1
Windows 7 für 32-bit Systeme Service Pack 1
Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2019
Windows Server 2016
Windows Server 2012
Windows Server 2012 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
Windows Server 2008 für 32-bit Systeme Service Pack 2
Windows Server 2008 für x64-basierte Systeme Service Pack 2

Workaround

Umstieg auf einen anderen Browser
Um die Ausnutzung der Schwachstelle zu verhindern, kann die Scripting Engine abgeschaltet werden. Information zu den dazu notwendigen Schritten findet sich hier:
- Für deutsche Windows-Versionen lesen sie bitte den Abschnitt "Workaround: die Scripting-Engine deaktiveren" des Artikels Internet Explorer: Zero-Day-Schwachstelle in JScript Scripting Engine auf heise-Online.
- Für anglophone Windows-Versionen lesen Sie bitte den Abschnitt "Workarounds" des Microsoft-Advisories ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability.

Gegenmaßnahmen

Installation eines Patches, sobald dieser verfügbar ist

Vulnerability ID

CVE-2020-0674

Weitere Information zu diesem Thema

heise-Online: Internet Explorer: Zero-Day-Schwachstelle in JScript Scripting Engine
Microsoft: ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability

(og)

[Ransomware] Vorgebliche Fax-Benachrichtigung enthält URL zu Verschlüsselungssoftware

2019-09-24T13:19:01.206751Z

Meldung Nr: RUS-CERT-1761

[Ransomware] Vorgebliche Fax-Benachrichtigung enthält URL zu Verschlüsselungssoftware
(2019-09-24 13:19:01.206751+00) Druckversion

Derzeit erhalten Benutzer per E-Mail Benachrichtigungen zu einem vorgeblich für sie unter einem in der Nachricht enthaltenen URL hinterlegten Fax und die Aufforderung, dieses herunterzuladen und zu betrachten. Das Herunterladen und Betrachten der hinterlegten Datei führt jedoch zur Installation von Ransomware, die unmittelbar beginnt, die Daten, auf die vom betroffenen Rechnersystem zugegriffen werden kann, zu verschlüsseln.

Inhalt

Zusammenfassung
Beschreibung
Gegenmaßnahmen
Weitere Information zu diesem Thema

Zusammenfassung

Einfallstor:	E-Mail
Auswirkung:	Verschlüsselung von Daten auf dem betroffenen Rechnersystem
Typ:	Ransomware
Gefahrenpotential:	hoch

Beschreibung

Die Nachrichten tragen den Absender der Form "eFax-Dienst <Vorname.Nachname@efaxclient.xyz>" (wobei jeweils verschiedene Vornamen und Nachnamen eingesetzt sind) und sehen wie folgt oder ähnlich aus:


Faxnachricht fur pc-support@tik.uni-stuttgart.de

Sie haben am Donnerstag, 23.09.2019, ein einseitiges Fax erhalten.

* die Referenznummer fur dieses Fax ist an efax-59541875233-4671-30253.

Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn.

Bitte besuchen Sie www.efax.eu/faq, wenn Sie Fragen zu dieser Nachricht habenoder Ihre Dienstleistung
	efax-59541875233-4671-30253.doc

Da die E-Mail-Nachrichten selbst keine Malware enthalten, warnen installierte Malwarefilter u.U. nicht. Auch der am zentralen Mailrelay installierte Filter für Office-Anhänge mit Makros kann die Zustellung dieser Nachrichten nicht verhindern.

Gegenmaßnahmen

Sofern Sie eine solche Nachricht erhalten,laden Sie auf keinen Fall die vermeintliche Fax-Nachricht, klicken Sie auf keine enthaltenen URLs!
Die wirksamste Gegenmaßnahme ist nach wie vor das gesunde Misstrauen des Benutzers und die Vorsicht beim Umgang mit Links auf fremde Seiten!
Die Stabsstelle Informationssicherheit (RUS-CERT) sperrt die IP-Adressen der Server, auf denen bekanntermaßen die nachzuladende Malware vorgehalten wird, so dass diese nicht mehr auf Rechner im Uni-Netz nachgeladen werden können. Diese Maßnahme ist jedoch nur ein Notbehelf, der einen Teil der Gefahr bannt.

Weitere Information zu diesem Thema

Beachten Sie die Hinweise der Stabsstelle Informationssicherheit (RUS-CERT) zu Malware.
Siehe auch: Betriebsmeldung des TIK zu diesem Thema.

(og)

Weitere Artikel zu diesem Thema:

Maßnahmen gegen E-Mails mit Schadsoftware (u.a. Emotet/Trickbot) (2018-12-07)
Um die seit einiger Zeit stark vermehrt auftretende Malware, die Makros in Microsoft Office Dokumenten nutzt (u.A. Emotet), effektiver zu bekämpfen, wurde Anfang Dezember 2018 auf den zentralen Mailservern der Universität Stuttgart eine Maßnahme ergriffen, die die Last der E-Mails mit infektiösen Anhängen drastisch senken konnte. Die Maßnahme verhindert die Annahme von Nachrichten, die von einem Server außerhalb der Universität gesendet wurden und eine Microsoft-Office-Datei mit Makros als Anhang besitzen. Dies führt dazu, dass Mails mit Makro-basierter Malware im Anhang ausgefiltert werden, verhindert jedoch auch, dass legitime E-Mails mit einem solchen Anhang, die über die zentralen Mailrelays gesendet werden, angenommen und an den vorgesehenen Empfänger an der Uni ausgeliefert werden. Für diese Fälle wird empfohlen, entweder Anhänge ohne Makros zu versenden oder die Dokumente in anderen Formaten (etwa PDF) anzuhängen.

[Microsoft/Windows] Wartung für Windows 7 läuft am 14. Januar 2020 aus

2019-09-16T21:13:08.524881Z

Meldung Nr: RUS-CERT-1759

[Microsoft/Windows] Wartung für Windows 7 läuft am 14. Januar 2020 aus
(2019-09-16 21:13:08.524881+00) Druckversion

Quelle: https://support.microsoft.com/de-de/help/4057281/windows-7-support-will-end-on-january-14-2020

Am 14.1.2020, endet die Unterstützung für das Betriebssystem Windows 7 von Microsoft. Das bedeutet, dass ab diesem Zeitpunkt keine Aktualisierungen und vor allem keine Patches für Sicherheitslücken mehr veröffentlicht werden. Der Betrieb von Rechnersystemen unter Windows 7 muss daher ab nächstem Jahr als zunehmend unsicher angesehen werden. Betreiber solcher Rechnersysteme wird dringend empfohlen, diese Systeme bis spätestens zum 14. Januar 2020 auf ein gewartetes Betriebssystem zu migrieren.

Inhalt

Zusammenfassung
Betroffene Systeme
Typ
Gefahrenpotential
Beschreibung
Gegenmaßnahmen
Workaround
Weitere Information zu diesem Thema

Zusammenfassung

Betroffen: Microsoft Windows 7, alle Versionen

Typ: Ende der Wartung (end of life)

Gefahrenpotential: ab 14.1.2020: hoch und steigend

Gegenmaßnahmen: Umstieg auf ein gewartetes Betriebssystem

Workaround: nur in besonders begründeten Fällen

Betroffene Systeme

Alle Versionen des Betriebssystems Microsoft Windows 7

Typ

Ende der Wartung
(end of life)

Gefahrenpotential

Spätestens ab 14.1.2020:
hoch mit der Tendez zu steigen.

Beschreibung

Am 14. Januar 2020 endet die Wartung des Betriebssystems Microsoft Windows 7. Ab diesem Zeitpunkt werden durch den Hersteller Microsoft keine Aktualisierungen (Updates) für Windows 7 im normalen Produktzyklus mehr bereitgestellt.

Da für Rechnersysteme unter einem Betriebssystem, für die keine sicherheitsrelevanten Aktualisierungen mehr verfügbar sind, erkannte Sicherheitslücken nicht mehr behoben werden, sind die Systeme als trivial kompromittierbar anzusehen. Da sich zudem erfahrungsgemäß die Sicherheitslücken für solche Systeme akkumulieren, steigt das Risiko für Kompromittierungen dieser Systeme über die Zeit.

Es wird daher dringend empfohlen, Windows-7-Installationen zum Ende der Wartung am 14.1.2020 abzuschalten oder auf ein gewartetes Betriebssystem zu migrieren.

Gegenmaßnahmen

Außerbetriebsetzung betroffener Systeme
Migration auf ein gewartetes Betriebssystem

Microsoft Windows 10
Ein anderes Betriebssystem

Workaround

Sollte eine Umstellung auf ein anderes Betriebssystem nicht möglich sein (z.B. bei kostspieligen Laborgeräte, die aus technischen Gründen nicht migriert werden können, aber dennoch weiterbetrieben werden müssen) oder eine geplante Migration bis zum 14.1.2020 nicht abgeschlossen sein, kann ein Weiterbetrieb erfolgen, gibt es folgende Behelfslösungen:

Windows 7 Extended Security Updates: Microsoft stellt für Inhaber von Volumenlizenzen für Windows 7 Professional und Windows 7 Enterprise bis 2023 gegen eine jährliche steigende Gebühr noch Sicherheitspatches für von Microsoft als kritisch eingestufte Sicherheitslücken zur Verfügung. Durch die zeitliche Begrenzung und die pro System anfallende Gebühr stellt dies jedoch bestenfalls eine Übergangslösung dar.
Herstellung der Kommunikationskontrolle durch
- Betrieb der Systeme ohne Netzwerkanschluss (keinerlei Konnektivität, auch keinerlei Funknetze), oder
- Platzierung der Systeme in einem abgeschotteten Netz, das keinerlei direkte Kommunikation mit anderen Netzen ermöglicht.

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

[Microsoft/Windows] Wartung für Windows 7 läuft im Januar 2020 aus (2019-02-28)
Am 14.1.2020 endet die Unterstützung von Microsoft für Windows 7. Das bedeutet, dass ab dann keine Aktualisierungen und vor allem keine Patches für Sicherheitslücken mehr veröffentlicht werden. Der Betrieb von Rechnersystemen unter Windows 7 muss ab diesem Zeitpunkt als unsicher angesehen werden. Betreibern von Rechnersystemen unter Windows 7 wird daher geraten, diese Systeme bis spätestens zum o.g. Zeitpunkt auf ein neueres Windows- oder anderes, gewartetes Betriebssystem zu migrieren.

[Universität Stuttgart/ISL] Leitlinie zur Informationssicherheit bekannt gemacht

2019-09-09T15:11:11.364547Z

Meldung Nr: RUS-CERT-1760

[Universität Stuttgart/ISL] Leitlinie zur Informationssicherheit bekannt gemacht
(2019-09-09 15:11:11.364547+00) Druckversion

Quelle: https://www.verwaltung.uni-stuttgart.de/rundschreiben/2019/rs2019-34.html?__locale=

Die Leitlinie zur Informationssicherheit der Universität Stuttgart (ISL), die am 22. Januar 2019 durch das Rektorat beschlossen und in Kraft gesetzt worden war, ist bekannt gemacht worden und wurde damit hochschulrechtlich verbindlich. Die Leitlinie legt Ziele und Strategie der Informationssicherheit fest und bildet die Grundlage für ihre Umsetzung an der Universität Stuttgart.

(og)

[Windows/RDP] Gravierende Sicherheitslücke DejaBlue im Windows-RDP-Dienst

2019-08-15T09:34:35.526831Z

Meldung Nr: RUS-CERT-1758

[Windows/RDP] Gravierende Sicherheitslücke DejaBlue im Windows-RDP-Dienst
(2019-08-15 09:34:35.526831+00) Druckversion

Quelle: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

Eine kritische Sicherheitslücke in allen aktuellen Windows Client- und Server-Versionen ermöglicht es, mithilfe des RDP-Dienstes beliebigen Code auf einem verwundbaren Windows-System auszuführen. Die Ausnutzung der Schwachstelle ist automatisierbar. Microsoft stellt Patches für alle betroffenen Betriebssystemversionen bereit. Es wird dringend empfohlen, betroffene Systeme umgehend zu aktualisieren.

Inhalt

Zusammenfassung
Beschreibung
Workaround
Gegenmaßnahmen
Exploit Status

Zusammenfassung

Betroffen:	Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019
Nicht betroffen:	Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1, falls weder RDP 8.0 noch RDP 8.1 installiert ist
Plattform:	Microsoft Windows
Einfallstor:	Remote Desktop Protokoll
Angriffsvoraussetzung:	Zugriff auf das Netzwerk (network)
Angriffsvektorklasse:	remote
Auswirkung:	Ausführung beliebigen Programmcodes, beliebiger Zugriff auf den beherbergenden Rechner und die dort gespeicherten Daten (system compromise)
Typ:	fehlerhafte Eingabeüberprüfung
Gefahrenpotential:	sehr hoch (CVSS 9.8)
Workaround:	ja
Gegenmaßnahmen:	Patch
Vulnerability ID:	CVE-2019-1181 CVE-2019-1182 CVE-2019-1222 CVE-2019-1226
Exploit Status:	unbekannt

Beschreibung

Microsoft warnt vor einer kritischen Sicherheitslücke in aktuellen Windows Client- und Server-Versionen, die es ermöglicht, mithilfe des RDP-Dienstes beliebigen Code auf einem verwundbaren Windows-System auszuführen. Da für die Ausführung des Codes keinerlei Nutzerinteraktion notwendig ist, besteht die Gefahr, dass die Sicherheitslücke zur Verbreitung von Computerwürmern ausgenutzt wird, wie es 2017 bei der Verbreitung von WannaCry über die Schwachstelle EternalBlue im SMB-Protokoll geschehen ist.

Daher stellt Microsoft für alle betroffenen Versionen Patches bereit, die umgehend installiert werden sollten. Grundsätzlich wird empfohlen, RDP nur zu aktivieren, wenn der Dienst wirklich benötigt wird und ihn anderenfalls zu deaktivieren.

Workaround

Deaktivierung von RDP, wenn nicht benötigt
Aktivierung der Network Level Authentication (NLA)

Gegenmaßnahmen

Umgehende Aktualisierung (Update) betroffener Systeme

Exploit Status

Die Sicherheitslücke wurde von Microsoft selbst entdeckt; es ist unklar, ob bereits ein Exploit existiert.

(vw)

Betroffen:	Microsoft Windows 7, alle Versionen
Typ:	Ende der Wartung (end of life)
Gefahrenpotential:	ab 14.1.2020: hoch und steigend
Gegenmaßnahmen:	Umstieg auf ein gewartetes Betriebssystem
Workaround:	nur in besonders begründeten Fällen