Extremst gefährliche Lücke im RPC von Windows und wie man sie am besten beseitigt

  • Vorab:


    Meldung von Heise Security:


    https://www.heise.de/security/…m-Super-Wurm-4436088.html


    Es ist wie bei Wannacry, ich rufe momentan meine Kunden an / schreibe Rundmails, alternativ biete ich denen, die es eh absetzen, einen Besuch an, weil denen die Kosten für meinen Support eh lulle sind - und, ich nehms gerne mit.


    Es geht um den Remote Prozedur Call, eine Funktion ähnlich Teamviewer. Da da ein Port offen ist, könnte ein gut programmierter Wurm für Chaos sorgen.


    Ich halte da nicht viel von Microsofts Flickwerk und ihren Updates, sondern empfehle, den Remotezugriff komplett platt zu machen:


    „Start", Systemsteuerung, System und Sicherheit, System, links auf "Remoteeinstellungen".


    Deaktiviert die Remotedesktop-Verbindung, um unerlaubte Fernzugriffe zu unterbinden.


    Entfernt oben das Häkchen vor „Remoteunterstützungsverbindungen mit diesem Computer zulassen“ und schaltet unten um auf „Keine Verbindung mit diesem Computer zulassen“.


    Tscha, dann könnt Ihr ne Pulle Gerstenkaltschale aufmachen und der Wurm, so denn einer kommt, juckt nicht mehr ;)

    Edited 2 times, last by Marechal ().

  • Danke für den Tipp! :thumbsup::thumbup: Ich halte auch nix vom Windoof-Flickwerk.


    Gruß Play

    Feinwerkbau: (FWB 600, 601,602, 603, 300S, 65, 100, 150), Steyr 110, Anschütz SA 2001, Walther: (LGM2, LG90, LGR, WLA, P88), AR20, Air Magnum, Single, Weihrauch: (HW30, HW77, HW40, HW 75), Colt ((CO2):1911, M45 CQBP, SAA), Umarex: (MP40, C96, HPP, SA177), Smith & Wesson: ((CO2): 586, Chiefs Spezial), GSG: (M11, CP1-M, CR600W, PR900W, P08), Crosman: (2240, 1377), Norconia: (P1, QB78d), Diana: (D75, Stormrider, Chaser), Jandao (Tomahawk, Chase Star, Pony)

  • Ich geh prinzipiell nur mit nem Gastzugang an den PC.
    Den hab ich soweit beschnitten das ich selbst für das Uhrstellen das Adminkennwort brauch.
    Fernzugriff geht da logischerweise auch niemals nicht.


    ;)

  • Das ist immer eines der ersten Sachen die ich bei Windows deaktiviere! ;)


    Aber trotzdem Dake!!

  • Hab'ch gemacht und jetzt kocht meine Microwelle auf einmal Kaffee und Alexa treibt es mit der Waschmaschine... na suuuuuper :D

  • Sorry, ich glaub, da muss ich korrigieren:
    Der RPC-Dienst in Windows (Remote Procedure Call) hat nur bedingt mit der Remotedesktopverbindung zu tun. Zwar wird er hier auch angesprochen, allerdings kann man auch mit vielen anderen Programmen und Tools wie z.B Psexec diesen Dienst ansprechen.
    Um ihn zu eliminieren, muß man ihn in der Diensteverwaltung deaktivieren. Ein Abschalten der Remotedesktopverbindung nutzt da leider gar nichts.

  • Na toll, hab ich da meinen Laptop jetzt umsonst in den Toaster gesteckt 8| ...geht das alles auch auf Laiendeutsch? Wem muss ich jetzt exen, den Teamleiter oder den 80' jährigen Portier 8o:D

  • Sorry, ich glaub, da muss ich korrigieren:Der RPC-Dienst in Windows (Remote Procedure Call) hat nur bedingt mit der Remotedesktopverbindung zu tun. Zwar wird er hier auch angesprochen, allerdings kann man auch mit vielen anderen Programmen und Tools wie z.B Psexec diesen Dienst ansprechen.
    Um ihn zu eliminieren, muß man ihn in der Diensteverwaltung deaktivieren. Ein Abschalten der Remotedesktopverbindung nutzt da leider gar nichts.

    Du meinst jetzt services.msc, also die laufenden Dienste.


    Doch, ein Abschalten des RPC schützt schon, zumindest gegen diesen Worm, während das Abschalten des Dienstes u.U. kontraproduktiv sein kann.


    Man kann ja nicht das halbe Windows sperren, um eine bekannte Lücke zu blocken.

  • Nochmal, RPC und Remotedesktopverbindung sind zwei verschiedene Paar Schuhe.
    Ein Virus kann sicher den Remoteprozeduraufruf zu seinen Zwecken missbrauchen.
    Eine Remotedesktopverbindung meldet den momentan angemeldeten Benutzer ab, zumindest bei einem Clientbetriebssystem wie Windows10. Lediglich ein Serversystem erlaubt unter Umständen mehrere gleichzeitigige Sitzungen.
    Sollte ein Virus deine Desktopsitzung beenden würdest du es wohl merken, oder?

  • Das sollte man merken, muss es aber nicht.
    Es soll ja Leute geben die den PC anlassen, auch während man in die Stadt geht oder über Nacht weil man sich irgendwas runterladen muß was 6 Stunden oder mehr dauert.
    Davon, Elektrogeräte (außer Kühl- und Gefrierschrank) in Betrieb zu lassen wenn man nicht an- bzw. abwesend ist hat noch nicht jeder verinnerlicht.

  • Moin!


    In unserer Firma stehen ca. 300 Rechner. Alle mit aktivierter Remoteverbindung. Damit jeder Mitarbeiter im Besdarfsfall auf seine Daten am eigenen PC zugreifen kann. Und natürlich für die Admins.
    Die Rechner laufen zu 95% 24/7.
    Wenn da nachts was passieren würde, bekäme das niemand mit. Ab 22:30 ist da Schicht im Schacht!

  • Könnte man das nicht mit einer firmeneigenen Cloud lösen, betrieben von einem Server der nur im Firmennetzwerk läuft, aber separat steht, also ohne Internetanbindung?

  • Ja, könnte man.


    Will man aber nicht.


    Es gibt einen zentralen Server über den alles läuft. Intranet, Datenbanken, Prüfergebnisse der Produkte usw. Jeder Rechner kann aber für sich direkt ins Internet.
    Und jeder Rechner kann auf jeden Rechner zugreifen. Über die Remoteverbindung.


    Frag mich bitte keiner wo da der Sinn liegt. Ich nutze das nur! :D