Die vor ca. einem Monat bekannt gewordene Windows-Sicherheitslücke BlueKeep betrifft Windows-Systeme, bei denen ein Zugriff über Remote-Desktop möglich ist. Betroffen könnten auch Systeme sein, wenn Remote-Unterstützung eingesetzt wird. Das BSI und andere gehen von einer Wurmgefahr aus, ein Angriff ist über das Netzwerk ohne Authentifizierung möglich.
Patches gegen die Sicherheitslücke werden von Microsoft für alle aktuell unterstützten Windows-Systeme (7, 8.1, 10, Server-Varianten ab 2008) und auch noch für Window-XP inkl. der Embedded-Variante bereit gestellt. Die Patches werden grundsätzlich automatisch über Windows-Update und WSUS auf angebundene Systeme verteilt. Allerdings gibt es Ausnahmen oder Probleme beim Einspielen, die zu beachten und ggf. manuell zu beheben sind:
- Der Patch für Windows-XP wird zwar über unseren WSUS-Server automatisch verteilt, nicht aber über Microsoft-Update.
- Der betroffene Rechner erreicht evtl. keine Update-Server (z.B. bei Beschränkung auf das Institutsnetz).
- Der Rechner installiert evtl. Updates nicht automatisch sondern erfordert eine Nutzerbestätigung.
- Ein normaler Nutzer ist evtl. nicht berechtigt, die Updates einzuspielen. Ein lokaler Admin muss das dann übernehmen.
- Ein Rechner muss für das Einspielen bzw. Wirksamwerden des Patches neu gestartet werden.
Messrechner oder Bedienterminals an Geräten haben häufiger diese Probleme: laufen unter XP(-Embedded), automatische Updates sind aus Support-Gründen deaktiviert, die Rechner laufen durch. Gerade solche Rechner werden gerne über Remote-Desktop bedient oder gewartet. Administratoren sollten insbesondere diese Art von Windows-Installationen prüfen.
Dass die Angriffsgefahr nicht nur aus dem Internet sondern auch im Institutsnetz besteht, drückt schon die Wurmgefahr aus. Vertrauen Sie nicht auf Ihr sicheres LAN, das gibt es meist nicht. Unsere Sofortmaßnahme vom 17.5. (Sperrung von RDP am LUH-Gateway) verhindert nur die direkte Angreifbarkeit.