Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Maßnahme gegen Einbrüche auf Windows-Systemen
0 views
Skip to first unread message
ZEDAT Support
Mar 21, 2012, 7:03:08 AM3/21/12
to
Maßnahme gegen Einbrüche auf Windows-Systemen
=============================================
Sicherheitsprobleme beim Remote Desktop Protokoll (RDP)
-------------------------------------------------------
In ihrem Technet Blog[1] hat die Firma Microsoft eine gefährliche
Sicherheitslücke im Remote Desktop Protokoll beschrieben, die es einem
entfernten Angreifer gestattet, die Kontrolle über einen Windows-Rechner
mit gestartetem Remote Desktop-Dienst zu übernehmen. Diese Lücke besteht
in allen Windows-Versionen und muss von den zuständigen Administratoren
umgehend mit dem Security Update MS12-020[2] geschlossen werden.
Erfolgreiche Angriffe führen in der Regel dazu, dass die betroffenen
Rechner von den Angreifern zu weiteren Formen des Missbrauches benutzt
werden. Dies führt zu folgenden Problemen:
* mögliche Ausspähung oder Zerstörung von Daten
* erhebliche Belastung der betroffenen Rechner
* zusätzlicher Datenverkehr im Campusnetz und ins Internet
* Angriffe auf fremde Rechner aus dem FU-Netz heraus
* zahlreiche Beschwerden aus aller Welt
* Mehraufwand für Rechner- und Netz-Administratoren
* möglicher Konnektivitätsverlust (Sperrung von FU-Netzen durch Opfer)
* Imageverlust der Freien Universität Berlin.
Leider zeigt die Erfahrung, dass nicht alle Rechner im Campusnetz mit
der Sorgfalt und Schnelligkeit gepflegt werden (z.B. durch Einspielen
entsprechender Patches), wie dies für einen sicheren Betrieb im Internet
erforderlich wäre.
Maßnahme gegen das RDP-Problem
------------------------------
Wegen des akuten schwerwiegenden RDP-Problems sperrt daher die ZEDAT mit
sofortiger Wirkung den missbrauchsgefährdeten Port 3389/tcp für alle von
außen eingehenden Verbindungen, sofern das Zielsystem (im Campusnetz der
FU) nicht als sicheres System bei der ZEDAT angemeldet und die
Notwendigkeit einer Freischaltung begründet dargelegt wurde. Die ZEDAT
wird also in der Firewall am zentralen Eingangsrouter der Freien
Universität für alle Zielrechner in den Netzen 160.45.*.*, 130.133.*.*
und 87.77.*.* eingehende Verbindungen zu diesem Port abweisen. Der
FU-interne RDP-Verkehr wird dadurch nicht beeinträchtigt, ist also
weiterhin ohne Einschränkung möglich. Für Zugriffe von Systemen
außerhalb des Campusnetzes sollte die VPN-Lösung der ZEDAT genutzt
werden.
Anmeldung sicherer Windows-Systeme mit RDP-Dienst
-------------------------------------------------
Systeme im Campus-Netz der FU, die den RDP-Dienst trotz aller Probleme
zwingend nach außen anbieten müssen und für die VPN als Zugangsmethode
nicht in Frage kommt, müssen der ZEDAT gemeldet werden. Für solch ein
gemeldetes System kann der RDP-Port in Einzelfällen wieder
freigeschaltet werden, wenn die Notwendigkeit einer Freischaltung
begründet und VPN nicht eingesetzt werden kann. Meldungen von sicheren,
freizuschaltenden Rechnern mit entsprechender Begründung richten Sie
bitte per E-Mail an die Adresse
Fire...@ZEDAT.FU-Berlin.DE
Wegen der Dringlichkeit der Maßnahme verzichtet die ZEDAT zunächst auf
eine schriftliche Anmeldung.
Links:
[1] http://blogs.technet.com/b/srd/archive/2012/03/13/cve-2012-0002-a-closer-look-at-ms12-020-s-critical-issue.aspx
[2] http://technet.microsoft.com/de-de/security/bulletin/ms12-020
=============================================
Sicherheitsprobleme beim Remote Desktop Protokoll (RDP)
-------------------------------------------------------
In ihrem Technet Blog[1] hat die Firma Microsoft eine gefährliche
Sicherheitslücke im Remote Desktop Protokoll beschrieben, die es einem
entfernten Angreifer gestattet, die Kontrolle über einen Windows-Rechner
mit gestartetem Remote Desktop-Dienst zu übernehmen. Diese Lücke besteht
in allen Windows-Versionen und muss von den zuständigen Administratoren
umgehend mit dem Security Update MS12-020[2] geschlossen werden.
Erfolgreiche Angriffe führen in der Regel dazu, dass die betroffenen
Rechner von den Angreifern zu weiteren Formen des Missbrauches benutzt
werden. Dies führt zu folgenden Problemen:
* mögliche Ausspähung oder Zerstörung von Daten
* erhebliche Belastung der betroffenen Rechner
* zusätzlicher Datenverkehr im Campusnetz und ins Internet
* Angriffe auf fremde Rechner aus dem FU-Netz heraus
* zahlreiche Beschwerden aus aller Welt
* Mehraufwand für Rechner- und Netz-Administratoren
* möglicher Konnektivitätsverlust (Sperrung von FU-Netzen durch Opfer)
* Imageverlust der Freien Universität Berlin.
Leider zeigt die Erfahrung, dass nicht alle Rechner im Campusnetz mit
der Sorgfalt und Schnelligkeit gepflegt werden (z.B. durch Einspielen
entsprechender Patches), wie dies für einen sicheren Betrieb im Internet
erforderlich wäre.
Maßnahme gegen das RDP-Problem
------------------------------
Wegen des akuten schwerwiegenden RDP-Problems sperrt daher die ZEDAT mit
sofortiger Wirkung den missbrauchsgefährdeten Port 3389/tcp für alle von
außen eingehenden Verbindungen, sofern das Zielsystem (im Campusnetz der
FU) nicht als sicheres System bei der ZEDAT angemeldet und die
Notwendigkeit einer Freischaltung begründet dargelegt wurde. Die ZEDAT
wird also in der Firewall am zentralen Eingangsrouter der Freien
Universität für alle Zielrechner in den Netzen 160.45.*.*, 130.133.*.*
und 87.77.*.* eingehende Verbindungen zu diesem Port abweisen. Der
FU-interne RDP-Verkehr wird dadurch nicht beeinträchtigt, ist also
weiterhin ohne Einschränkung möglich. Für Zugriffe von Systemen
außerhalb des Campusnetzes sollte die VPN-Lösung der ZEDAT genutzt
werden.
Anmeldung sicherer Windows-Systeme mit RDP-Dienst
-------------------------------------------------
Systeme im Campus-Netz der FU, die den RDP-Dienst trotz aller Probleme
zwingend nach außen anbieten müssen und für die VPN als Zugangsmethode
nicht in Frage kommt, müssen der ZEDAT gemeldet werden. Für solch ein
gemeldetes System kann der RDP-Port in Einzelfällen wieder
freigeschaltet werden, wenn die Notwendigkeit einer Freischaltung
begründet und VPN nicht eingesetzt werden kann. Meldungen von sicheren,
freizuschaltenden Rechnern mit entsprechender Begründung richten Sie
bitte per E-Mail an die Adresse
Fire...@ZEDAT.FU-Berlin.DE
Wegen der Dringlichkeit der Maßnahme verzichtet die ZEDAT zunächst auf
eine schriftliche Anmeldung.
Links:
[1] http://blogs.technet.com/b/srd/archive/2012/03/13/cve-2012-0002-a-closer-look-at-ms12-020-s-critical-issue.aspx
[2] http://technet.microsoft.com/de-de/security/bulletin/ms12-020
0 new messages