infoguard-blog-csirt-warnung

[InfoGuard CSIRT-Warnung] Schwachstelle im Microsoft RPC Dienst

Beim gestrigen Update-Tuesday hat Microsoft insgesamt 119 Schwachstellen beseitigt. Dabei wurde eine schwerwiegende Schwachstelle im Microsoft RPC Dienst veröffentlicht, bei der es sich aus unserer Sicht um eine «Wormable» Lücke handelt. Aus diesem Grund informiert Sie Stefan Rothenbühler, Senior Cyber Security Analyst, über die aktuellen Erkenntnisse.


Vermehrt Sicherheitslücken im Microsoft RPC Dienst

Die Systeme welche von der Schwachstelle betroffen sind, sollten so schnell wie möglich gepatcht werden! Da es sich um eine eine «Wormable» Lücke handelt, kann die Verbreitung von Schadcode durch die Remote Code Execution Lücke im RPC Dienst automatisiert werden und sich so ein Szenario wie WannaCry, Blaster oder NotPetya wiederholen.

Wichtigster Schutz: Sperren des TCP Ports 445 & TCP Ports 135

Wir empfehlen aufgrund von dieser aktuellen Bedrohung dringendst:

  1. Sperren des TCP Ports 445 und TCP Ports 135 auf allen Perimeter Firewalls (incoming und outgoing).

  2. Abschalten des SMB Dienstes auf allen Windows Clients.

  3. Abschalten des SMB Dienstes auf allen Servern, wo dieser nicht zwingend benötigt wird.

Momentan ist noch kein bekannter Exploit für die Schwachstelle verfügbar. Microsoft bewertet die Exploitability der Schwachstelle jedoch als nicht sehr komplex. Durch die Verfügbarkeit des Patches ist es eine Frage der Zeit bis ein Exploit entwickelt und durch eine wurmartige Malware automatisiert verbreitet wird.

Microsoft warnt zudem vor weiteren Remote Code Execution Vulnerabilites: Die Updates sollten eingespielt werden, falls die entsprechenden Produkte eingesetzt werden.

InfoGuard hilft Ihnen – rund um die Uhr

Meistens werden wir von Firmen kontaktiert, welche bereits von einem Ransomware-Vorfall betroffen sind und rücken dann mit unserem CSIRT (unsere Cyber-Feuerwehr) aus. Gerne hätten wir in solchen Fällen schon vorher geholfen. Das InfoGuard CSIRT unterstützt Sie bei der Suche nach Spuren eines Cyberangriffs in Ihrer Infrastruktur. Mit unserem Compromise Assessment decken wir Breaches in Ihrer gesamten Umgebung auf – und nicht nur jene der geschilderten Ransomware-Angriffen.

Kontaktieren Sie unser CSIRT Team!

Bei einem Sicherheitsvorfall ist es entscheidend schnell und professionell zu handeln. Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier:

Incident Response Retainer

<< >>

Breach Detection , Cyberrisiken , CSIRT

Stefan Rothenbühler
Über den Autor / Stefan Rothenbühler

InfoGuard AG - Stefan Rothenbühler, Principal Incident Responder

Weitere Artikel von Stefan Rothenbühler


Ähnliche Artikel
[InfoGuard CSIRT-Warnung] Wenn Ransomware via VPN kommt
[InfoGuard CSIRT-Warnung] Wenn Ransomware via VPN kommt

Nachdem es in den letzten Wochen ein bisschen ruhiger geworden ist um Ransomware-Angriffe, stellt unser CSIRT [...]
[InfoGuard CSIRT-Warnung] Aktuelle Ransomware-Angriffe mit Pakettrick
[InfoGuard CSIRT-Warnung] Aktuelle Ransomware-Angriffe mit Pakettrick

Momentan untersucht das InfoGuard CSIRT zahlreiche Ransomware-Angriffe auf Schweizer Unternehmen. Dabei [...]
Ransomware – immer professioneller, immer gefährlicher
Ransomware – immer professioneller, immer gefährlicher

Dass Ransomware-Attacken stattfinden, ist inzwischen weitbekannt. Dennoch nehmen die Attacken nicht ab – im [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
infoguard-cyber-security-ratgeber-2