Remote-Code-Execution-Schwachstelle in Windows 10 und Windows Server – CVE-2021-31166

veröffentlicht: 26.05.2021 15:22 Uhr

Am Patch Tuesday im Mai 2021 hat Microsoft insgesamt 55 Verwundbarkeiten in verschiedensten Windows-Versionen und -Applikationen behoben. ^[1] Der Patch Tuesday findet jeden zweiten Dienstag im Monat statt. An diesem Tag veröffentlicht Microsoft Patches oder Updates für seine Systeme und Produkte. ^[2]

Dabei wurde CVE-2021-31166 von Microsoft als besonders gefährlich eingestuft. Diese Remote-Code-Execution-Schwachstelle (RCE) hat einen CVSS-Score (Common Vulnerability Scoring System) von 9.8 von 10. Davon betroffen sind Windows 10 Version 2004 und 20H2 sowie Windows Server Version 2004 und 20H2. ^[3] Am 16. Mai 2021 wurde ein Proof of Concept zu dieser Schwachstelle veröffentlicht. ^[4]

Da nur die neuesten Versionen von Windows 10 und Windows Server, die Stand heute noch nicht grossflächig in produktiven IT-Umgebungen im Einsatz sind, von dieser Sicherheitslücke betroffen sind, wird aktuell von einer überschaubaren Anzahl an gefährdeten Systemen ausgegangen. Es ist jedoch wahrscheinlich, dass sich dies in naher Zukunft ändern wird, wodurch sich automatisch der Anreiz erhöht, die Schwachstelle aktiv auszunutzen. Angreifer könnten dann damit beginnen, den veröffentlichten Proof of Concept (PoC) anzuwenden, zu verbessern und einen intelligenten Exploit zu entwickeln. ^[5]

Darüber hinaus berichtete ein Sicherheitsforscher am 24. Mai 2021, dass Systeme, die den auf Servern standardmässig aktivierten WinRM-Dienst (Windows Remote Management) verwenden, ebenfalls angreifbar sind. ^[6] Laut einer Suche über Shodan wird WinRM weltweit auf mehr als 1,5 Millionen Systemen, die über das Internet erreichbar sind, eingesetzt, darunter mehr als 1’000 in der Schweiz. Allerdings nutzen nicht alle diese Systeme die anfälligen Versionen 2004 und 20H2 von Windows Server. ^[7]

Es wird daher dringend empfohlen, sämtliche Systeme so bald wie möglich zu aktualisieren.

Was bedeutet das nun?

Die Schwachstelle CVE-2021-31166 befindet sich im HTTP Protocol Stack (http.sys). Sie kann ohne Authentifizierung und ohne Benutzerinteraktion aus der Ferne ausgenutzt werden. ^[3]

Der HTTP Protocol Stack ermöglicht es Windows und Anwendungen, mit anderen Geräten zu kommunizieren. Er kann eigenständig oder in Verbindung mit den Internet Information Services (IIS) ausgeführt werden. ^[8]

Um die Sicherheitslücke auszunutzen, müssen präparierte Pakete an einen Webserver gesendet werden, der den HTTP Protocol Stack verwendet, um Pakete zu verarbeiten. ^[3] So kann ein Denial-of-Service-Angriff (DoS) durch einen Blue Screen of Death (BSoD) durchgeführt werden. Dies ermöglicht es einem Angreifer letztendlich, mittels Remote Code Execution (RCE) beliebigen Programmcode im Kernel-Mode auszuführen und so die Kontrolle über das angegriffene System zu übernehmen. ^[8]

Microsoft weist darauf hin, dass diese Schwachstelle wurmfähig ist ^[3]; das bedeutet, eine Malware könnte sich diese Verwundbarkeit zu Nutze machen, um sich im internen Netzwerk selbst zu replizieren und interne Dienste zu kompromittieren. ^[9]

Der Proof of Concept wurde von Axel Souchet in Python entwickelt und ist seit dem 16. Mai 2021 auf GitHub verfügbar. Der PoC verursacht auf einem Windows-System, auf dem ein IIS-Server läuft, einen BSoD mit dem Stoppcode KERNEL_SECURITY_CHECK_FAILURE. ^[4]

Wie können sich Unternehmen gegen solche Angriffe schützen?

Von der Sicherheitslücke betroffene Versionen sind:

• Windows Server Version 20H2 (Server-Core-Installation)
• Windows Server Version 2004 (Server-Core-Installation)
• Windows 10 Version 20H2 für ARM64-basierte Systeme
• Windows 10 Version 20H2 für 32-Bit-Systeme
• Windows 10 Version 20H2 für x64-basierte Systeme
• Windows 10 Version 2004 für ARM64-basierte Systeme
• Windows 10 Version 2004 für 32-Bit-Systeme
• Windows 10 Version 2004 für x64-basierte Systeme ^[3]

Es wird daher dringend empfohlen, das bereitgestellte Update KB5003173 umgehend zu installieren. ^[3]

Da die Sicherheitslücke wurmfähig ist und daher möglicherweise durch Malware ausgenutzt werden könnte, wird zusätzlich empfohlen, eine Sicherheitssoftware (Antivirus- oder Endpoint Detection & Response-Software) zu verwenden, um verdächtiges Verhalten zeitnah erkennen zu können. Dabei sollten die eingesetzte Sicherheitssoftware und deren Signaturen stets auf dem neuesten Stand gehalten sowie Meldungen und Schutzstatus des Dienstes regelmässig überprüft werden.

Als präventive Schutzmassnahme wird ausserdem empfohlen, einen zweiten Authentisierungsfaktor (2FA) zu implementieren. Dieser verhindert, dass kompromittierte Zugangsdaten unmittelbar weiterverwendet werden können.

Was sollte unternommen werden?

Die Systeme sollten stets auf dem neuesten Stand gehalten werden und die von Microsoft bereitgestellten Updates ^[3] sollten umgehend installiert werden. Nur in diesen aktualisierten Versionen ist die Sicherheitslücke behoben.

Nach einem BSoD kann mit Hilfe des Dumps die Ursache bestimmt werden. Diese Datei befindet sich entweder unter C:\Windows\Minidump oder unter C:\Windows\Memory.dmp. ^[10] Lassen sich darin Anzeichen auf eine Ausnutzung der Verwundbarkeit feststellen, sollte das betroffene System umgehend isoliert und genauer untersucht werden.

Wenn das System zum Betrieb eines IIS-Servers eingesetzt wird, sollten auch die Protokolle des IIS-Servers ^[11] auf auffällige Anfragen oder Verbindungen, z.B. von unbekannten oder unerwarteten Orten, überprüft werden. Darüber hinaus sollten die Zugriffsprotokolle ebenfalls überprüft werden. Dies könnte Hinweise darauf geben, ob die Sicherheitslücke von Angreifern ausgenutzt wurde.

Wenn eine verwundbare Version von Windows 10 oder Windows Server verwendet wurde und insbesondere wenn Spuren einer Ausnutzung der Sicherheitslücke gefunden wurden, empfiehlt es sich dringend, die Zugangsdaten aller Benutzer zu ändern.

Fragen an den Spezialisten

IT-Forensik-Spezialist und Incident Responder

Nadia Meichtry, Digital Forensics und Incident Response Specialist, beantwortet drei Fragen aus der Sicht eines Blue Teams, die im Zusammenhang mit dieser Schwachstelle interessant sind:

Wie kann man feststellen, ob das Netzwerk kompromittiert wurde?

Wenn ein BSoD aufgetreten ist, sollte zunächst die Ursache analysiert werden. Der Stoppcode liefert dabei bereits einen ersten Hinweis. Durch die Analyse der Dump-Datei ^[10] lässt sich dann verifizieren, auf welches Programm oder welche Komponente des Systems der BSoD zurückzuführen ist.

Zusätzlich kann mit einer Antiviren-Software auf den Systemen geprüft werden, ob Dateien vorhanden sind, die als bösartig erkannt werden.

Darüber hinaus sollte in den Protokollen des IIS-Servers ^[11] und der Windows-Systeme nach auffälligen Anfragen und ungewöhnlichen Zugriffen gesucht werden, beispielsweise zu einer unerwarteten Zeit oder aus einem unerwarteten Land.

Wenn Angreifer durch die Ausnutzung der Schwachstelle Zugangsdaten erlangt haben, könnten sie damit weitere Systeme kompromittieren. Aus den Zugriffsprotokollen kann ebenfalls herausgelesen werden, welche weiteren Systeme erfolgreich angegriffen wurden.

Wie kann sich ein Unternehmen gegen solche Angriffe schützen?

Zunächst müssen auf den Systemen die neuesten Updates von Microsoft ^[3] installiert werden. In diesen aktualisierten Versionen ist die Schwachstelle behoben.

Um die Bewegung von Angreifern im Netzwerk zu verhindern oder zumindest zu verlangsamen, sollte das Netzwerk sinnvoll segmentiert werden.

Als zusätzliche präventive Massnahme können Zugänge durch die Verwendung eines zweiten Authentisierungsfaktors (2FA) abgesichert werden. Dadurch wird der Missbrauch von kompromittierten Zugangsdaten verhindert.

Die Schwachstellen wurden ausgenutzt und es kam zu einem Zugriff auf das Netzwerk. Was sind die nächsten Schritte?

Wenn die Schwachstelle erfolgreich ausgenutzt wurde und Angreifer Zugriff auf die Systeme erlangt haben, sind potenziell alle Zugangsdaten kompromittiert und müssen somit umgehend geändert werden.

Aktivitäten der Benutzer, insbesondere jener mit höheren Privilegien, sollten verstärkt überwacht werden. Aktionen wie das Erstellen neuer Benutzerkonten, das Herunterladen und Ausführen von Dateien oder die Verbindungen zu anderen Systemen sind dabei besonders kritisch zu beurteilen. Dies kann auf andere kompromittierte Systeme hinweisen.

Auf allen Systemen, auf welche die Angreifer sich Zugriff verschafft haben, sollte ein Antiviren-Scan durchgeführt werden.

Je nach Fall ist eine IT-forensische Untersuchung dieser Systeme und der Logs empfehlenswert, um die genauen Aktivitäten der Angreifer im Detail zu analysieren.

Fazit

Durch das Ausnutzen der Sicherheitslücke können Angreifer einfach administrativen Zugriff auf den Windows-Server und Windows-10-Clients erlangen und sich von dort aus Zugang zu anderen Systemen in verbundenen Netzwerken verschaffen. Es wird daher dringend empfohlen, die von Microsoft bereitgestellten Updates zeitnah zu installieren und nach Hinweisen auf eine mögliche Kompromittierung zu suchen, falls eine verwundbare Version in Betrieb ist.

Grundsätzlich wird eine Inventarisierung aller IT-Komponenten im Netzwerk und deren regelmässige Überprüfung auf Schwachstellen nahegelegt. Darüber hinaus sollte dafür gesorgt werden, dass sowohl die gesamte installierte Software als auch sämtliche Systeme stets auf dem neuesten Stand gehalten werden.

Über den Autor

Nadia Meichtry studierte forensische Wissenschaften an der Universität von Lausanne und schloss im Sommer 2020 ihren Master in digitaler Forensik ab. Während ihres Studiums absolvierte sie ein Praktikum im Forensik-Team der Kantonspolizei Waadt. Ihre Masterarbeit schrieb sie während eines 4-monatigen Praktikums in einem Cybersicherheitsunternehmen in Wien. Der Fokus ihrer Masterarbeit lag auf der Analyse der Firmware von IoT-Geräten. Im ersten Teil ihrer Arbeit beschäftigte sie sich mit der Schwachstellenbewertung von mehreren Versionen derselben Firmware durch den Einsatz verschiedener Schwachstellen-Scanner. Der zweite Teil befasste sich mit der forensischen Analyse von kompromittierten IoT-Geräten. Seit August 2020 ist Nadia Meichtry als Digital Forensics & Incident Response Specialist bei Oneconsult angestellt.

Über Oneconsult

Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cybersecurity Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.

Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cybersecurity-Spezialisten mit 40+ hochqualifizierten Cybersecurity Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO 27001 Lead Auditor, ISO 27005 Risk Manager, ISO 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.

www.oneconsult.com