Eerder deze maand bracht Microsoft een noodpatch uit voor alle versies van Windows, helemaal terug naar Windows XP, vanwege een zero-day kwetsbaarheid die een zeer reëel potentieel had om een ​​andere WannaCry te zijn.

Nu meldt Errata Security dat terwijl de meeste mensen hun pc hebben gepatcht, er nog steeds minstens 1 miljoen niet-gepatchte apparaten in het wild zijn en dat hackers zijn gaan scannen naar hun open poorten.

| Softwaregeek

“Dat betekent dat wanneer de worm toeslaat, deze waarschijnlijk miljoenen apparaten binnendringt”, zegt Robert Graham, onderzoeker bij Errata Security. “Dit zal waarschijnlijk leiden tot een evenement dat even schadelijk is als WannaCry en notPetya vanaf 2017 – mogelijk slechter, aangezien hackers sindsdien hun vaardigheden hebben aangescherpt om deze dingen te gebruiken voor ransomware en andere misselijkheid.”

CVE-2019-0708, nu een meer verteerbare BlueKeep genoemd, is een fout bij het uitvoeren van externe code in Remote Desktop Services en beïnvloedt Windows 7, Windows XP, Server 2003 en Server 2008. Microsoft drong er bij beheerders op aan getroffen Windows-systemen zo snel mogelijk bij te werken, maar niet alle apparaten zijn gepatcht.

“Het resultaat is dat deze tests bevestigen dat er ongeveer 950.000 machines op het openbare internet zijn die kwetsbaar zijn voor deze bug,” zei Graham. “Hackers zullen waarschijnlijk de komende twee maanden een robuuste exploit achterhalen en deze machines beschadigen.”

Veel niet-gepatchte apparaten zijn pc’s die zijn geïntegreerd in medische en industriële apparatuur, die meestal zelden worden bijgewerkt.

Verschillende getroffen apparaten zijn Siemens-apparaten zoals producten voor radiotherapie, producten voor laboratoriumdiagnostiek, producten voor radiografie en mobiele röntgenproducten en diagnostische producten voor point-of-care.

| Softwaregeek

“Sommige van deze Siemens Healthineers-producten worden getroffen door dit beveiligingslek,” zei Siemens in een adviesbureau. “Afhankelijk van het doelsysteem en de intentie van de aanvaller kan een succesvolle exploit leiden tot gegevensbeschadiging en potentiële schade voor patiënten en / of het milieu.”

Organisaties worden opgeroepen om hetzelfde te doen, maar ze kunnen beperkingen oplopen bij het volgen van die aanpak. Voor die, omvatten de beschikbare mitigaties:

  • RDP-services uitschakelen indien niet vereist
  • Blokkeren van poort 3389 bij de firewall van de bedrijfsperimeter of het configureren van RDP om alleen toegankelijk te zijn via een VPN of via apparaten op het LAN
  • Implementatie van IDS / IPS-regels om de exploit te detecteren (beperkte effectiviteit door verkeerscodering)
  • Netwerkniveauverificatie inschakelen (NLA) (beperkte effectiviteit als aanvallers zich kunnen legitimeren met geldige legitimatiegegevens).

Onderzoekers van GreyNoise hebben in het weekend gezegd dat ze “de tests van systemen die kwetsbaar zijn voor de RDP ‘BlueKeep’ (CVE-2019-0708) kwetsbaarheid van enkele tientallen hosts op internet, observeren.”

“Deze [bug] zou het potentieel hebben van een wereldwijd WannaCry-evenement”, zegt Chris Goettl, directeur productbeheer voor veiligheid bij Ivanti, tijdens Patch Dinsdag. Microsoft raadt gebruikers aan hun systemen te patchen voordat de hamer van de hacker valt

Pin It on Pinterest