Windows RDP: CredSSP-Update kann zu unerreichbaren Servern führen

Ein Windows-Update aus dem März sollte auf allen Rechnern installiert werden, die über das Remote Desktop Protokoll angesprochen werden. Ansonsten kann es sein, dass sich RDP-Nutzer dort nicht mehr anmelden können.

Im Rahmen des März-Patchdays hat Microsoft eine kritische Sicherheitslücke im Anmelde-System CredSSP gestopft. Bei einer Remote-Desktop-Verbindung (RDP) müssen sowohl Server als auch der verbindende Client gepatcht sein, damit sie sicher miteinander kommunizieren können. Bisher spuckte das System dabei eine Warnung aus, wenn nur der Client gepatcht war. Mit einem Update am Mai-Patchday hat Microsoft diese Einstellung nun allerdings so verändert, dass unsichere Verbindungen nicht mehr aufgebaut werden. Ist also der Client gepatcht, der Server aber nicht, schlägt der Login-Versuch fehl.

Ist der Client gepatcht, der Server aber nicht, kann die RDP-Verbindung nicht aufgebaut werden. (Bild: Microsoft)

Administratoren sollten dafür sorgen, dass Rechner, auf die per RDP angesprochen werden, die entsprechenden Patches installiert haben. Ist dies nicht der Fall, können sich aktuell gepatchte Client-Rechner ab sofort nicht mehr mit diesen Systemen verbinden. Ganz abgesehen davon stellt die Sicherheitslücke ein großes Risiko dar, denn sie erlaubt es Angreifern in Man-in-the-Middle-Position, in die Verbindung einzudringen und so gegebenenfalls Schadcode auf einem der Systeme auszuführen. Details zu den Patches und dem empfohlenen Vorgehen bei der Installation gibt es bei Microsoft. (fab)

Quelle: Heise Security