Es besteht eine kritische Schwachstelle im Remote-Desktop-Protocol-Dienst (RDP) von Windows. Die Lücke wird vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) als kritisch eingestuft und ermöglicht die remote Ausführung von Schadcode (RCE). Der Angreifer muss zum Ausnutzen der Lücke nicht authentifiziert sein, warnt Microsoft, und rät, den jeweiligen Patch möglichst umgehend einzuspielen.

Betroffen von der Lücke (als CVE-2019-0708 gelistet) sind alle Windows- und Windows-Server-Versionen bis einschliesslich Windows 7 und Windows-Server 2008. Patches stehen bei Microsoft bereit und die Redmonder haben auch für Windows-Versionen, die grundsätzlich nicht mehr unterstützt werden, Patches zur Verfügung gestellt, so etwa für Windows XP.

Windows 10, Windows 8 und 8.1 sowie die Windows-Server-Versionen 2016, 2012 und 2012 RZ sind Microsoft zufolge nicht betroffen.

Auch der Schweizer Security-Anbieter Infoguard rät, die Lücke möglichst schnell zu stopfen. Denn es drohe ein ähnliches Szenario, wie bei der rasanten Verbreitung von Wannacry, mahnt der Anbieter. Zwar konnte das BSI eine aktive Ausnutzung der Schwachstelle bislang nicht feststellen. Für die Lücke bestehe jedoch bereits ein Proof of Concept, somit sei es nur eine Frage der Zeit, bis der erste Wurm auftauche, der sich durch die Lücke automatisiert verbreite, schreibt Infoguard. Ausserdem sei ein Ausnützen der Lücke nicht sehr komplex. Der Kaspersky-Forscher Brian Bartholomew geht davon aus, dass ein Exploit in den nächsten paar Tagen publiziert werde, wie er zu 'Ars Technica' sagte.

Vom BSI heisst es: "Diese kritische Schwachstelle kann zu ähnlich verheerenden Angriffen führen, wie wir sie 2017 mit Wannacry erleben mussten. Windows-Anwender sollten daher die vorhandenen Updates umgehend installieren, bevor es zu größeren Schäden kommt."

Der RDP-Dienst ist in der Regel nicht aktiv voreingestellt, wird aber laut BSI für eine hohe Anzahl von Servern für die Fernwartung verwendet – auch über das Internet. Wer keinen Bedarf für den RDP-Dienst habe, solle diesen deaktivieren. Wer ihn nutze, sollte Verbindungen von aussen auf bestimmte Netzbereiche oder Adressen einschränken, rät das deutsche Bundesamt weiter. (kjo)