De NSA, de Amerikaanse geheime dienst, heeft beheerders van Windows-systemen opgeroepen om een kwetsbaarheid in Remote Desktop Services te patchen, omdat de kans op misbruik van het beveiligingslek aan het toenemen is. Het lek is aanwezig in Windows XP en 7 en Server 2003 en 2008.

| Softwaregeek

Door de ernst van de kwetsbaarheid besloot Microsoft vorige maand nog om updates voor Windows XP en Server 2003 beschikbaar te stellen, hoewel deze Windowsversies niet meer worden ondersteund. Om het lek te misbruiken hoeft een aanvaller alleen maar via het remote desktopprotocol (RDP) verbinding te maken met een kwetsbare machine. Geldige inloggegevens heeft de aanvaller hiervoor niet nodig.

| Softwaregeek

Uit onderzoek is gebleken dat bijna een miljoen Windows-systemen via internet toegankelijk zijn. Deze machines lopen het risico om door een worm besmet te worden omdat er geen patch is geïnstalleerd. Aanleiding voor Microsoft om vorige week nogmaals een oproep te doen om de beschikbare update te installeren. Nu komt ook de NSA met zo’n advies.

“We hebben vernietigende computerwormen schade aan systemen zien aanrichten die geen patch hebben geïnstalleerd, met vergaande gevolgen en we willen mensen aansporen om zich tegen dit lek te beschermen,”

aldus de NSA.

De NSA stelt dat dergelijke kwetsbaarheden vaak door aanvallers worden gebruikt om systemen aan te vallen. Zo maakt de geheime dienst zich zorgen dat aanvallers het lek zullen misbruiken om ransomware te verspreiden. Een soortgelijk scenario deed zich voor bij de WannaCry-ransomware, dat gebruikmaakte van een beveiligingslek dat door de NSA was ontdekt. Ook voor dit lek waren updates beschikbaar, maar die waren door tal van organisaties niet geïnstalleerd.

De NSA adviseert om TCP-poort 3389 op de firewall te blokkeren, Network Level Authenticatie (NLA) in te schakelen, aangezien aanvallers dan over geldige inloggegevens moeten beschikken om de aanval uit te kunnen voeren, en onnodige remote desktop services uit te schakelen of alleen via VPN benaderbaar te maken. “Het uitschakelen van ongebruikte en onnodige diensten verkleint de blootstelling aan kwetsbaarheden en is zelfs zonder de huidige dreiging een best practice”, zo luid het advies. Voor organisaties die willen testen of ze kwetsbaar zijn is er deze Metasploit-module verschenen.

Beveiligingsleveranciers Zerodium, McAfee, Kaspersky, Check Point, MalwareTech en Valthek hebben allemaal Proof of Concept-exploits voor Blue Keep ontwikkeld, maar geven deze niet vrij.

Betrokken eigenaars van Windows 7, Windows XP, Server 2003 en Server 2008 kunnen meer lezen over de onvolkomenheden in de uitvoering van externe code in Remote Desktop Services bij de bugrapporten op CVE-2019-0708, AKA BlueKeep hier.

EternalBlue tijdlijn

Bijna twee maanden zijn voorbij tussen de release van fixes voor de EternalBlue-kwetsbaarheid en toen ransomware-aanvallen begonnen. Ondanks dat ze bijna 60 dagen de tijd hadden om hun systemen te patchen, veel klanten hebben dat niet gedaan.

Een aanzienlijk aantal van deze klanten is geïnfecteerd door de ransomware.

14 maart 2017:  Microsoft brengt beveiligingsbulletin MS17-010 uit , met oplossingen voor een reeks SMBv1-kwetsbaarheden.

14 april 2017:  ShadowBrokers publiceert publiekelijk een reeks exploits , waaronder een wormable exploit bekend als ‘EternalBlue’ die gebruik maakt van deze SMBv1-kwetsbaarheden.

12 mei 2017:  De exploit van EternalBlue wordt gebruikt bij aanvallen van ransomware die bekend staan ​​als WannaCry . Honderdduizenden kwetsbare computers over de hele wereld zijn geïnfecteerd.

Bronnen Koppelingen naar downloads voor Windows 7, Windows 2008 R2 en Windows 2008 Koppelingen naar downloads voor Windows Vista, Windows 2003 en Windows XP   

Simon Pope, directeur van Incident Response, Microsoft Security Response Center (MSRC )  

Pin It on Pinterest