Alle Beiträge von ENDLESSL00P

Giuseppe Casutt, Dipl.-HTL-Ing. bei A-Enterprise GmbH. Blog Author zu den Themen, Windows, VMware, Synology, Fortinet und Open Source. Tutorials und HowTos zu Problemlösungen und System Integration.
Windows Tutorials

Remotedesktopverbindung Authentifizierungsfehler

Home
Schreibe einen Kommentar

Remotedesktopverbindung Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt.

Remotedesktopverbindung Authentifizierungsfehler

Möchte man sich per Remotedesktopverbindung (RDP) mit einem Server verbinden und bekommt dabei ein Authentifizierungsfehler, liegt es am installierten Update (CVE-2018-0886), oder beim Server noch nicht installierten Update.

Die Fehlermeldung lautet wie folgt

Authentifizierungsfehler.
Die angeforderte Funktion wird nicht unterstützt.
Remotecomputer:
Ursache könnte eine CrdSSP Encryption Oracle Remediation sein.

Ursache

Das Problem „Remotedesktopverbindung Authentifizierungsfehler“ tritt seit dem Microsoft Patchday im Mai 2018 auf. Bereits im März hat Microsoft eine kritische Sicherheitslücke (CVE-2018-0886) im Credential Security Support Provider-Protokoll (CredSSP) geschlossen und das CredSSP-Authentifizierungsprotokoll sowie die Remotdesktopclients der betroffenen Betriebssysteme aktualisiert. Mit den Updates wurde die Standardeinstellung geändert. Dies bedeutet dass die Updates sowohl auf dem Server als auf dem Client installiert sein müssen.

Update Remotedesktopverbindung Authentifizierungsfehler

Ist das Windows Update auf dem Client aber nicht auf dem Server installiert, tritt der Authentifizierungsfehler bei der Remotedesktop-verbindung auf und es kann keine RDP-Verbindung hergestellt werden.

Lösung

Key hinzufügen unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System die Schlüssel \CredSSP\Parameters und den DWORD-Wert AllowEncryptionOracle mit dem Hexadezimalwert 2.

Oder folgende Zeile in einem Command Prompt als Administrator ausführen.

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v "AllowEncryptionOracle" /t REG_DWORD /d "2" /f

Auch gibt es die möglichkeit per Richtlinie Encryption Oracle Remediation unter Computerkonfiguration > Administrative Vorlagen > System > Delegierung von Anmeldeinformationen

Amnerkung

Der in Windows bereits integrierte „Windows Remote Desktop“ erlaubt es, Windows aus der Ferne zu warten bzw. aus der Ferne zu steuern.

Windows Remote Desktop

Der Windows Remote Desktop ist eine in Windows integrierte Funktion, mit welcher man von einem anderen PC aus auf einen Windows-Rechner zugreift, und diesen fernsteuern kann. Microsoft nutzt hierfür das proprietäre Windows Remote Desktop-Protokoll (RDP), welches aus einer Server- und Clientkomponente besteht. Der Serverdienst nennt sich (RDS) Remotedesktopdienste (englisch Remote Desktop Services) und ist seit Windows XP Bestandteil des Betriebssystems.

Workaround

RDS-Exploit BlueKeep (CVE-2019-0708) finden mit RDPScan

Home
Schreibe einen Kommentar

RDS-Exploit für RDP-Leck BlueKeep in Windows mit RDPScan aufspüren

Microsoft veröffentlichte am Patchday im Mai außergewöhnliche Sicherheitsupdates für eigentlich ausgelaufe Produkte wie Windows XP und Server 2003. Der Grund ist eine als „kritisch“ eingestufte Sicherheitslücke (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Services (RDP). Windows 8.1 und 10 sind davon nicht betroffen.

Schwachstelle RDS-Exploit BlueKeep

Die Schwachstelle CVE-2019-0708 wird von Microsoft als außerordentlich kritisch eingeschätzt, so dass der Hersteller sogar Security Updates (KB4500331 und KB 4499180) für Windows XP, Vista und Server 2003 bereitstellte, obwohl für sie der Support schon abgelaufen ist.

Mit RDPScan RDP-Schwachstelle Bluekeep CVE-2019-0708 suchen

Die Wurm-Attacke wie WannaCry soll sich möglichst nicht wiederholen. Deshalb liefert Microsoft auch Patches gegen eine massive Lücke im Remote Desktop Protokoll. Betroffen sind nur ältere Systeme bis einschließlich Windows 7 und die auch nur, wenn Sie RDP nutzen. Ob eines Ihrer Systeme betroffen ist, können Sie mit dem Kommandozeilen-Tool rdpscan testen. Der Sicherheitsexperte Robert David Graham stellt dieses Tool bereit.

ZIP-Datei auf Windows auspacken

Das Tool RDPScan für RDS-Exploit BlueKeep in der ZIP-Datei auf dem Windows System entpacken. Die Ausführung gibt es nur von der Kommandozeile aus, es gibt keine GUI. Die Handhabung ist trotzdem nicht besonders schwer. Der Befehl lautet „rdpscan IP-Adressbereich“. Um beispielsweise ein typisches Netzwerk zu scannen, genügt also „rdpscan 192.168.1.1-192.168.1.254“ für die vergebenen Adressen. Beachte, dass die IP-Adressen entsprechend der Netzwerkkonfiguration anpasst werden müssen. Der Befehl „ipconfig“ gibt die Netzwerk Adressse aus.

RDPScan Ausführung

Mit dem Open-Source Tool rdpscan können Admins ihr Netzwerk nach PCs absuchen. Es ist ein Kommando­zeilen­programm, mit diesem man einzelne IP-Adresse oder einen IP-Bereich als Parameter übergibt, so zum Beispiel:

C:\> rdpscan 192.168.1.1-192.168.1.254
192.168.1.123 - VULNERABLE - got appid
192.168.1.5 - VULNERABLE - got appid
192.168.1.22 - VULNERABLE - got appid
192.168.1.220 - SAFE - Target appears patched
192.168.1.222 - SAFE - Target appears patched
192.168.1.29 - UNKNOWN - RDP protocol error - failed to extract public-key
192.168.1.66 - SAFE - CredSSP/NLA required
192.168.1.62 - SAFE - CredSSP/NLA required
192.168.1.231 - SAFE - Target appears patched
192.168.1.23 - SAFE - Target appears patched
192.168.1.24 - SAFE - Target appears patched

VULNERABLE – got appid bedeutet, dass das System CVE-2019-0708 verwundbar ist.

Die Ausgabe SAFE – CredSSP/NLA required bedeutet, dass auf dem Rechner die Network Level Authentication (NLA) aktiviert wurde, dabei der RDP-Scanner nicht eindeutig feststellen kann, ob die Schwachstelle wircklich geschlossen ist.

 Dies führt zu einem von drei Ergebnissen für jede Adresse:

  • SICHER – wenn das Ziel festgestellt ist, dass der Bot gepatcht werden muss oder zumindest CredSSP/NLA erfordert
  • VULNERABLE – wenn bestätigt wurde, dass das Ziel angreifbar ist
  • UNBEKANNT – wenn das Ziel nicht antwortet oder ein Protokollfehler vorliegt