20/05/2019

OT-Systeme erneut durch RDP gefährdet

Letzte Woche hat Microsoft einen Fix für eine kritische Sicherheitslücke bei der Ausführung von Remote-Code veröffentlicht, CVE2019-0708. Es behebt eine Schwachstelle in der Implementierung des RDP-Dienstes – das RDP-Protokoll selbst ist nicht betroffen. Microsoft hat seine eigene Patch-Richtlinie gebrochen und frei verfügbare Sicherheitspatches veröffentlicht, auch für Betriebssysteme die bereits abgekündigt wurden.

Ist es wirklich ernst?

Diese Tatsache, dass Microsoft Patches für veraltete Systeme anbietet, zeigt, wie ernst diese Angelegenheit genommen werden sollte: Diese Schwachstelle ist „wormable“, wie WannaCry 2017 oder Stuxnet 2008. Aber was bedeutet das? Die Schwachstelle kann ohne Authentifizierung oder Benutzerinteraktion ausgelöst werden.Vor einigen Tagen hatte nur Microsoft einen Proof of Concept für die Schwachstelle, aber das scheint nicht mehr der Fall zu sein. Einige unserer größeren Industriekunden berichten bereits, dass sie Versuche der Ausnutzung der Schwachstelle auf ihren Systemen identifizieren konnten. Es ist davon auszugehen, dass Malware-Autoren wenig überraschend sehr damit beschäftigt waren, funktionierende Exploits zu entwickeln um diese zu nutzen. Das zeigt, dass die Zeit im Moment entscheidend ist und dass Maßnahmen ergriffen werden müssen, um Ihr System vor Angriffen zu schützen.

Welche Systeme sind gefährdet?

Betroffen sind vor allem ältere Windows-Versionen wie Windows 2003, Windows XP, Windows Server 2008, Windows Server 2008 R2 und Windows 7. Für die IT ist dies vielleicht kein großes Problem, aber in der OT verwenden viele industrielle Automatisierungssysteme immer noch die Mehrheit dieser Betriebssysteme in der Produktion. Viele dieser PC-basierten Systeme, wie z.B. Human Machine Interfaces (HMIs), Engineering Workstations (EWS) mit XP oder Windows 7, oder sogar Control Servers/SCADA Masters, mit Windows Server 2003/2008, sind von dieser Schwachstelle betroffen.

Wenn Sie industrielle Steuerungssysteme betreiben, können Sie aber Ihren Patch möglicherweise nicht sofort in die Produktion bringen. Wenn Sie einen Patch bereitstellen, sollten Sie sicher sein, dass er nicht die eigentliche Steuerungsfunktionalität Ihres Systems beeinträchtigt.

Was tun?

Als Gegenmaßnahme empfehlen wir Ihnen daher dringend, den RDP-Port durch Firewalling-Maßnahmen zu deaktivieren, bis Sie die Patch-Kompatibilität und Anlagenverträglichkeit überprüft haben.Auf diese Weise ist sichergestellt, dass diese Schnittstelle nicht von außerhalb des Unternehmensnetzwerks zugänglich ist. Darüber hinaus schlägt Microsoft vor, dass es eine teilweise Mitigation gibt, wenn das System die Network Level Authentication (NLA) aktiviert hat. Dies behebt die Schwachstelle nicht, aber der Angreifer muss sich zuerst erfolgreich authentifizieren. Dadurch wird es schwieriger, die Schwachstelle für einen Angreifer ohne Zugangsdaten auszunutzen.Ein Patchen, auch bei aktivierter NLA, wird dennoch empfohlen. Für ältere Systeme, die bereits nicht mehr unterstützt werden, kann das Enhanced Mitigation Experience Toolkit (EMET) von Microsoft ebenfalls eine Option sein, dies erfordert jedoch Kompatibilitätstests mit Ihren OT-Anwendungen so wie jede andere Softwareänderung.

Patchen!

Wenn Sie unter Windows 7, Windows Server 2008 oder Windows Server 2008 R2 arbeiten, werden Sie über den automatischen Aktualisierungsdienst mit dem Patch versorgt. Wenn Sie noch mit Windows XP oder Windows 2003 arbeiten, müssen Sie den Patch von einer anderen Microsoft-Quellseite laden und ihn selbst auf Ihre Systeme übertragen.