InfoGuard Cyber Security & Cyber Defence Blog

[InfoGuard CSIRT-Warnung] Schwachstelle im Microsoft RPC Dienst

Geschrieben von Stefan Rothenbühler | 13. Apr 2022

Beim gestrigen Update-Tuesday hat Microsoft insgesamt 119 Schwachstellen beseitigt. Dabei wurde eine schwerwiegende Schwachstelle im Microsoft RPC Dienst veröffentlicht, bei der es sich aus unserer Sicht um eine «Wormable» Lücke handelt. Aus diesem Grund informiert Sie Stefan Rothenbühler, Senior Cyber Security Analyst, über die aktuellen Erkenntnisse.

Vermehrt Sicherheitslücken im Microsoft RPC Dienst

Die Systeme welche von der Schwachstelle betroffen sind, sollten so schnell wie möglich gepatcht werden! Da es sich um eine eine «Wormable» Lücke handelt, kann die Verbreitung von Schadcode durch die Remote Code Execution Lücke im RPC Dienst automatisiert werden und sich so ein Szenario wie WannaCry, Blaster oder NotPetya wiederholen.

Wichtigster Schutz: Sperren des TCP Ports 445 & TCP Ports 135

Wir empfehlen aufgrund von dieser aktuellen Bedrohung dringendst:

  1. Sperren des TCP Ports 445 und TCP Ports 135 auf allen Perimeter Firewalls (incoming und outgoing).

  2. Abschalten des SMB Dienstes auf allen Windows Clients.

  3. Abschalten des SMB Dienstes auf allen Servern, wo dieser nicht zwingend benötigt wird.

Momentan ist noch kein bekannter Exploit für die Schwachstelle verfügbar. Microsoft bewertet die Exploitability der Schwachstelle jedoch als nicht sehr komplex. Durch die Verfügbarkeit des Patches ist es eine Frage der Zeit bis ein Exploit entwickelt und durch eine wurmartige Malware automatisiert verbreitet wird.

Microsoft warnt zudem vor weiteren Remote Code Execution Vulnerabilites: Die Updates sollten eingespielt werden, falls die entsprechenden Produkte eingesetzt werden.

InfoGuard hilft Ihnen – rund um die Uhr

Meistens werden wir von Firmen kontaktiert, welche bereits von einem Ransomware-Vorfall betroffen sind und rücken dann mit unserem CSIRT (unsere Cyber-Feuerwehr) aus. Gerne hätten wir in solchen Fällen schon vorher geholfen. Das InfoGuard CSIRT unterstützt Sie bei der Suche nach Spuren eines Cyberangriffs in Ihrer Infrastruktur. Mit unserem Compromise Assessment decken wir Breaches in Ihrer gesamten Umgebung auf – und nicht nur jene der geschilderten Ransomware-Angriffen.

Bei einem Sicherheitsvorfall ist es entscheidend schnell und professionell zu handeln. Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier: