Tijd om te updaten: Bluekeep RDP-kwetsbaarheid wordt actief misbruikt
2 minuut. lezen
Uitgegeven op
deel dit artikel
Verbeter deze handleiding
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
Aanvallen met externe code-uitvoering hebben nu al gevolgen voor de besturingssystemen van Microsoft die binnenkort niet meer worden ondersteund.
De BlueKeep-exploitcode (CVE-2019-0708) is een beveiligingsprobleem dat is ontdekt in Microsoft's Remote Desktop Protocol, waardoor het mogelijk is om op afstand code uit te voeren.
Microsoft meldde dat de exploitcode nu "algemeen beschikbaar" is voor gebruik door aanvallers, die zich richten op oudere versies van het besturingssysteem.
(Aanvallers zouden kunnen krijgen) toegang tot alle gebruikersreferenties die op het RDP-systeem worden gebruikt.
Windows 7, Windows Server 2008 & 2008 R2, Windows Server 2003 en ouder, niet-ondersteunde Windows XP lopen het risico van de aanval.
Volgens BitSight is het aantal kwetsbare systemen gestegen van 805,665 eind mei tot 788,214 eind juli; wat betekent dat 81% van de systemen nog steeds niet gepatcht is.
Gebruikers van Remote Desktop Services wordt geadviseerd om de patch toe te passen die in mei is uitgegeven, en ook om de Remote Desktop Protocol “listener” van het systeem te beschermen.
Vandaag heeft Microsoft twee nieuwe Bluekeep-achtige kwetsbaarheden aangekondigd die het heeft gepatcht: CVE-2019-1181 en CVE-2019-118. In tegenstelling tot de eerdere kwetsbaarheid, treft deze fout ook Windows 10. Simon paus, zei directeur Incident Response bij het Microsoft Security Response Center (MSRC):
De getroffen versies van Windows zijn Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 en alle ondersteunde versies van Windows 10, inclusief serverversies.
Organisaties moeten verificatie op netwerkniveau (NLA) inschakelen om aanvallers zonder verificatiegegevens te blokkeren; maar volgens "telemetrie"-informatie ontbreekt het in de meeste gevallen.
(Er zijn) meer dan 400,000 eindpunten (zonder) enige vorm van authenticatie op netwerkniveau.
U wilt ook Network Level Authentication (NLA) inschakelen, een oplossing om niet-geverifieerde toegang tot de RDP-tunnel te voorkomen. NLA dwingt gebruikers om zich te authenticeren voordat ze verbinding maken met externe systemen, wat de kans op succes voor op RDP gebaseerde wormen drastisch verkleint. Het DART-team raadt u ten zeerste aan om NLA in te schakelen, ongeacht deze patch, omdat het een hele reeks andere aanvallen op RDP verzacht.
Als u nog steeds Windows 7 gebruikt, is het essentieel om de beschikbare update te installeren. De huidige malware is slechts een voorproefje van wat komen gaat zodra Windows 7 niet langer wordt ondersteund en Microsoft geen patches meer levert voor dit veelgebruikte besturingssysteem. De beste patch zou daarom zijn om te upgraden naar Windows 10, dat continu wordt ondersteund.
