Microsoft warnt in einem Security Advisory vor einem Fehler in seiner Fernwartungssoftware Terminal Server und dessen kleinen Bruder Remote Desktop, der Angreifern aus dem Netz die Möglichkeit bietet, einen Rechnerabsturz beziehungsweise einen Neustart zu provozieren. Mit präparierten Paketen an den Port 3389, auf dem der Dienst lauscht, ist der zugrundeliegende Service derart aus dem Tritt zu bringen, dass der angegriffene Rechner neu startet -- ein typisches Denial-of-Service-Szenario.
Standardmäßig ist der Remote Desktop nur auf der Windows XP Media Center Edition aktiviert, bei anderen Windows-Versionen muss dieser erst manuell aktiviert werden, damit entfernte Zugriffe auf den Rechner möglich sind. Da allerdings der zugrundeliegende "Terminaldienste"-Service automatisch auf allen damit ausgestatteten Windows-Versionen gestartet wird, könnten ab Windows XP alle Microsoft-Betriebssysteme verwundbar sein.
Die eingebaute Windows XP Firewall aus SP2 sollte den Zugriff auf den betroffenen TCP-Port 3389 in der Standardeinstellung sperren. Wird Remote Desktop aktiviert, fügt Windows allerdings selbstständig eine entsprechende Ausnahmeregel ein. Mit dem c't-Netzwerkcheck können Sie testen, ob Ihr System verwundbar ist oder nicht.
Die Redmonder gehen davon aus, dass die Lücke nur einen Denial of Service erlaubt, eingeschleusten Code auszuführen halten sie nicht für möglich. Ein Patch ist derzeit in der Entwicklung. Als Workaround bis zur Verfügbarkeit des Flickens schlägt der Softwareriese folgende Maßnahmen vor:
Blocken des Port 3389 in der Windows Firewall
Deaktivieren der Terminaldienste, sofern diese nicht benötigt werden
Die Remote-Desktop-Verbindung über eine IPSec-Regel absichern
Die Remote-Desktop-Verbindung über einen VPN-Tunnel absichern
Weitere Hilfestellung, wie diese Workarounds einzurichten sind, gibt das Advisory von Microsoft.
(heise.de)
