Betroffen sind Windows 7 und Windows Server 2008
Die Schwachstelle gibt den Angreifern die Möglichkeit, fremden Code über Fernzugriff auszuführen, indem sie RDP-Services ausnutzen. Die Lücke betrifft vor allem die Systeme Windows 7 und Windows Server 2008, die zwar alt, aber weit verbreitet sind. Windows 8 und Windows 10 dagegen sind sicher. Betroffen können Computer aus allen möglichen Branchen sein: Industrie, Finanzmarkt, Gesundheit, Behörden, Einzelhandel und weitere.
Gefährlich ist die Lücke vor allem deshalb, weil Angreifer einen Computer innerhalb eines gewöhnlichen, öffentlichen Netzwerks, wie einem WLAN-Hotspot, völlig übernehmen könnten. Geldautomaten, aufgrund ihrer Anbindung an öffentliche Netzwerke, und wichtige IoT-Geräte, auf denen oft noch alte Betriebssysteme laufen, sind besonders anfällig. Gerade die Finanzbranche und der Gesundheitssektor können ins Visier der Cyberkriminellen geraten.
Allerdings kann abseits des öffentlichen Internets auch innerhalb eines Unternehmensnetzwerkes ein immenser Schaden entstehen, falls ein Angreifer sich über RDP erfolgreich Zugriff auf einen Computer verschafft hat. Mithilfe von Seitwärtsbewegungen (lateral movement) kann es ihm gelingen, weitere Rechner zu infiltrieren. Eine ähnlich riesige Schadenswirkung, wie von der Ransomware WannaCry im Jahr 2017 ausging, liegt auch hier im Bereich des Möglichen.
Check Point Empfehlungen
Check Point empfiehlt, neben dem essentiellen IPS-Update, drei Schritte zu gehen, um sicher vor der Schwachstelle in RDP zu sein: Unternehmen sollten das RDP-Protokoll auf dem Check Point Security Gateway und dem Check Point SandBlast-Agenten blockieren, also am Endpunkt. Falls RDP für unternehmenskritische Prozesse verwendet wird, sollte das Check Point Gateway so konfiguriert werden, dass nur Verbindungen von vertrauenswürdigen Geräten innerhalb des Firmennetzwerks durchkommen. Falls die Funktion aber nicht gebraucht wird, sollten Firmen RDP auf ihren Windows-Systemen schlicht deaktivieren und den bereits veröffentlichten Microsoft-Patch installieren. Kommen IoT-Geräte in einer Firma zum Einsatz und könnten ins Visier von Angreifern geraten, sollten trotz der Installation des Patches die ersten beiden Schritte bedacht werden.
Über Check Point Research
Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check PointProdukte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Seine Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Lösegeldforderungen und anderen gezielten Angriffen. Check Point bietet eine mehrstufige Sicherheitsarchitektur mit unserer neuen Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens vor allen bekannten Angriffen schützt, kombiniert mit dem umfassendsten und intuitivsten Single Point of Control Management System der Branche. Check Point schützt über 100.000 Unternehmen jeder Größe.
