image

Duitse en Nederlandse overheid bang voor nieuwe WannaCry

woensdag 15 mei 2019, 17:29 door Redactie, 19 reacties

De Duitse en Nederlandse overheid maken zich zorgen dat een nieuw Windows-lek tot een nieuwe WannaCry-achtige uitbraak kan leiden. De kwetsbaarheid in Remote Desktop Services werd gisterenavond gepatcht. Via het lek kan een aanvaller kwetsbare systemen overnemen door alleen via het remote desktopprotocol (RDP) verbinding te maken. Er is geen interactie van slachtoffers vereist. En ook hoeft de aanvaller niet over inloggegevens te beschikken.

Vanwege de ernst van het beveiligingslek besloot Microsoft ook niet meer ondersteunde besturingssystemen zoals Windows XP, Vista en Server 2003 van een noodpatch te voorzien. "Ervaringen uit het verleden leren dat dit soort kwetsbaarheden de potentie hebben om grootschalig te worden misbruikt, zoals recent de WannaCry-uitbraak. Daarom brengen wij de beveiligingsupdate voor deze kwetsbaarheid extra onder de aandacht", zo laat het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid weten.

Ook het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, maakt zich zorgen. "Dit ernstige lek kan leiden tot soortgelijke schadelijke aanvallen zoals we in 2017 met WannaCry meemaakten. Windows-gebruikers moeten daarom de bestaande updates direct installeren voordat er schade kan worden gedaan", zegt Arne Schönbohm, directeur van het BSI.

Volgens Schönbohm laat het voorval zien hoe belangrijk softwarekwaliteit is en welke betekenis security-by-design en security-by-default moeten hebben. "Met de toenemende digitalisering wordt onze wereld steeds meer verbonden. De digitale afhankelijkheid neemt toe, dus een wormachtige aanval kan voor grote economische schade wereldwijd zorgen. Het is daarom des te belangrijker om it-beveiliging structureel in bedrijven en organisaties te implementeren", merkt de BSI-directeur op. Het beveiligingslek werd door het Britse National Cyber Security Centre (NCSC) aan Microsoft gerapporteerd.

Reacties (19)
15-05-2019, 18:44 door Spiff has left the building
Door Redactie:
Vanwege de ernst van het beveiligingslek besloot Microsoft ook niet meer ondersteunde besturingssystemen zoals Windows XP, Vista en Server 2003 van een noodpatch te voorzien.
Noch Microsoft, noch NCSC, vermeldt Windows Vista.
Is Windows Vista vergeten, genegeerd, of niet kwetsbaar?
15-05-2019, 19:39 door karma4
Rdp over open Internet en alle gevoelige zaken uitbesteden aan derde partijen zonder eigen controles.
Als je er zo insteekt heb je de basis van een ernstiger probleem. Hoe zat het met alke gehackte iot apparatuur?
15-05-2019, 20:15 door [Account Verwijderd]
Door karma4: Rdp over open Internet en alle gevoelige zaken uitbesteden aan derde partijen zonder eigen controles.
Als je er zo insteekt heb je de basis van een ernstiger probleem. Hoe zat het met alke gehackte iot apparatuur?

@Karma4,

Het gaat nu hier over Windows.

Zou je het elan, de waardigheid, kunnen opbrengen je tot Windows te beperken?

Hartelijk dank, ook héél waarschijnlijk namens vele regelmatige lezers van Security.nl die héél erg graag dit topic nu eens niet als nummertje 145 in een gros vertrold zien worden in een operating system discussie.
15-05-2019, 21:42 door karma4 - Bijgewerkt: 15-05-2019, 21:50
Door Brainpresser: ….
Hartelijk dank, ook héél waarschijnlijk namens vele regelmatige lezers van Security.nl die héél erg graag dit topic nu eens niet als nummertje 145 in een gros vertrold zien worden in een operating system discussie.[/b][/b][/code]
Ik heb nergens een os genoemd toch enkel dat IOT apparatuur gehackt met mirai alles platlegde.

Uit het BSI van het redactie artikel:
"Wenn kein Bedarf besteht, den RDP-Dienst zu nutzen, dann sollte dieser deaktiviert sein. Wenn RDP eingesetzt wird, sollten Verbindungen von außen auf bestimmte Netzbereiche oder Adressen eingeschränkt werden. Zudem bietet sich an, RDP-Anmeldungen zu protokollieren und regelmäßig auf sicherheitsrelevante Auffälligkeiten zu prüfen.

Unabhängig von der konkreten Schwachstelle benachrichtigt das CERT-Bund des BSI seit einigen Wochen Betreiber von offen aus dem Internet erreichbaren RDP-Diensten. Empfänger dieser Benachrichtigungen sollten kritisch prüfen, ob der RDP-Dienst tatsächlich von beliebigen Adressen aus dem Internet erreichbar sein sollte."


Bij het ncsc:
"Advies implementatie beveiligingsmaatregelen
Het NCSC adviseert om de volgende beveiligingsmaatregelen te implementeren:
1 Segmenteer uw netwerk zodat een eventuele computerinbraak beperkte gevolgen heeft.
..
7 Beperk externe koppelingen tot alleen de meest noodzakelijke koppelingen.
8 Inventariseer op welke koppelingen gebruik wordt gemaakt van het RDP en andere protocollen.
9 Beoordeel de noodzaak van het gebruik van het RDP of een ander protocol. Is er geen noodzaak om het protocol te gebruiken, schakel het dan uit.
10 Is het gebruik van het RDP of een ander protocol noodzakelijk, zorg er dan voor dat de verbinding met de externe computer via een VPN-verbinding loopt.
11 Gebruik indien mogelijk aanvullende beveiligingsmaatregelen zoals een authenticatietoken.
12 Schakel het gebruik van internet uit als er een VPN-tunnelverbinding op de externe computer actief is.
..
17 Gebruik afwijkend benoemde beheeraccounts."


Het gaat om informatieveiligheid met niet meer open zetten dan echt nodig is. (least privileges).
Beschreven in de ISO27k reeks en als open standaard. Helaas informatieveiligheid wordt in os flamings vanuit een bepaalde hoek ondergraven. Daar heb je dan wel weer gelijk in dat zoiets triest en jammer is.
15-05-2019, 21:59 door Bitwiper - Bijgewerkt: 15-05-2019, 22:02
Door Spiff: Noch Microsoft, noch NCSC, vermeldt Windows Vista.
Is Windows Vista vergeten, genegeerd, of niet kwetsbaar?
Ik vermoed een van die laatste twee. Ik vrees dat er nog veel organisaties zijn die XP gebruiken op min of meer gesloten systemen (vermoedelijk ook medische apparatuur). Hoewel die computers zelden een directe internetkoppeling zullen hebben, zijn ze natuurlijk wel kwetsbaar voor aanvallen vanaf andere systemen aan hetzelfde netwerk.

Vista is nooit populair geweest voor dat soort toepassingen en zal, vermoed ik, zeer zeldzaam zijn aan grotere netwerken. Een thuisgebruiker met Vista achter een (P-) NAT router, die normaal gesproken inkomende verbindingen blokkeert, heeft dus niet zoveel te vrezen voor deze kwetsbaarheid - mocht die überhaupt bestaan in Vista.

Maar voor de zekerheid kun je de RDP-toegang tot je PC uitzetten (zodanig dat er geen service meer luistert op TCP poort 3389). In https://www.howtogeek.com/howto/windows-vista/turn-on-remote-desktop-in-windows-vista/ zie je hoe je e.e.a aan en uit kunt zetten.

Voor de zekerheid kun je ook de volgende 3 services op disabled zetten:
- Remote Desktop Configuration
- Remote Desktop Services
- Remote Desktop Services UserMode Port Redirector

Als ik, met die 3 services op disabled, in het "Remote" tabblad van de "System Properties" dialoogbox RDP verbindingen naar mijn W7 PC toesta, gaat er niets luisteren op TCP poort 3389, en kan ik mij niet voorstellen dat mij PC kwetsbaar zou zijn (d.w.z. zonder de laatste patches, die ik ondertussen wel heb geïnstalleerd).
15-05-2019, 22:09 door Anoniem
Ik ben jarenlang c programmeur geweest voor grote bedrijven. Geloof mij maar dat er nog heel wat issues zijn. En dan hebben we het alleen nog maar over bufferoverflows. Laat staan foute formules. Er komt b.v. nog een datum bug aan door toepassing van formules met vergeten houdbaarheidsdatum. Het is zo gigantisch complex geworden dat de pleisters niet meer aan te slepen zijn. Niemand heeft nog het complete overzicht. Maar dat zeggen veel bedrijven liever niet want dat is he eigen graf graven. Een totaal onverantwoordelijke situatie, waarbij de markt zich liet dirigeren door gebruikers en een aantal tech giganten waarvan velen afhankelijk van zijn geworden.
15-05-2019, 22:10 door Anoniem
Door Spiff:
Door Redactie:
Vanwege de ernst van het beveiligingslek besloot Microsoft ook niet meer ondersteunde besturingssystemen zoals Windows XP, Vista en Server 2003 van een noodpatch te voorzien.
Noch Microsoft, noch NCSC, vermeldt Windows Vista.
Is Windows Vista vergeten, genegeerd, of niet kwetsbaar?

Users of Windows Vista can download the updates (Monthly Rollup or Security Online) of Windows Server 2008 from the Update Catalog and install them manually.
15-05-2019, 22:14 door Tha Cleaner
Door karma4:
Door Brainpresser: ….
Hartelijk dank, ook héél waarschijnlijk namens vele regelmatige lezers van Security.nl die héél erg graag dit topic nu eens niet als nummertje 145 in een gros vertrold zien worden in een operating system discussie.[/b][/b][/code]
Ik heb nergens een os genoemd toch enkel dat IOT apparatuur gehackt met mirai alles platlegde.
Das heel simple. We hebben het nu over Windows en voornamelijk RDP, dus waarom IOT er bij halen?

Beschreven in de ISO27k reeks en als open standaard. Helaas informatieveiligheid wordt in os flamings vanuit een bepaalde hoek ondergraven. Daar heb je dan wel weer gelijk in dat zoiets triest en jammer is.
Heb je het nu over ze eigen topics? Want als er iemand volhardend is, ben jij het wel, mocht je het nog niet doorhebben.
15-05-2019, 22:19 door Spiff has left the building
Door Bitwiper, 21:59 uur, bijgewerkt: 22:02 uur:
Vista is nooit populair geweest voor dat soort toepassingen en zal, vermoed ik, zeer zeldzaam zijn aan grotere netwerken.
En daarnaast is Vista hoe dan ook altijd impopulair gebleven.
Niettemin leek het me voor Microsoft zo moeilijk niet om toch ook maar een patch voor Vista te bieden, om tussen XP en 7 ook Vista mee te nemen. Maar misschien vindt Microsoft dat de moeite niet waard.

En dankjewel voor je beschrijving van het uitschakelen van RDP-toegang.
Voor wie nog een Vista systeem in gebruik heeft, en niet zou weten hoe te handelen, is dergelijke info altijd prettig.
16-05-2019, 00:18 door [Account Verwijderd]
Door karma4: Rdp over open Internet en alle gevoelige zaken uitbesteden aan derde partijen zonder eigen controles.
Als je er zo insteekt heb je de basis van een ernstiger probleem. Hoe zat het met alke gehackte iot apparatuur?
1. Je besteedt het uit omdat je er zelf geen verstand van hebt.
2. Het gaat hier om RDP, dus laat die l*lverhalen over IOT hier buiten.

1a: Als je voor de goedkoopste gaat ben je meestal duur uit.
2a: Had ik al RDP genoemd? Blijf bij het topic en stop met het vern**ken van elke post door offtopic te gaan op elk f*cking onderwerp dat Windows behelst.

1b: Elke idioot kan zich IT professional noemen en geld verdienen. BV door de hele dag "CLOUD" of "IOT" te roepen, of, nog beter, de godganselijke dag allerlei loze IT kreten roepen tegen CEO's waardoor het lijkt alsof ze alles weten. Bijvoorbeeld als een CEO vraagt over de RDP beveiliging allerlei loze kreten gaat roepen over IOT. Dan moet die CEO wel denken dat je héél erg goed bent.
16-05-2019, 06:25 door karma4
Door NedFox: .......
1b: Elke idioot kan zich IT professional noemen en geld verdienen. BV door de hele dag "CLOUD" of "IOT" te roepen, of, nog beter, de godganselijke dag allerlei loze IT kreten roepen tegen CEO's waardoor het lijkt alsof ze alles weten. Bijvoorbeeld als een CEO vraagt over de RDP beveiliging allerlei loze kreten gaat roepen over IOT. Dan moet die CEO wel denken dat je héél erg goed bent.
Je kunt ook gaan roepen oss gratis en voor niets werk gedaan door anderen. Klinkt zeer interessant en deskundig.

Het onderwerp bij de BSI en het NCSC is beveiligingsbekeid. Iets wat structureel in flamingo onderuit gehaald wordt.

Een ssh fout van Cisco telnet bij huwaij worden politiek als backdoors bestempeld. Onderhoudsmonteurs nemen wraak via open toegang bij voormalige klanten voormalige werkgever. CEO fraude ... De grote lijn gebrek aan behoorlijke invulling informatiebeveiliging.

Elk onderwerp naar een merk flaming. Zoiets blokkeert de echte verbetering.
16-05-2019, 07:43 door Anoniem
Door karma4:
Door NedFox: .......
1b: Elke idioot kan zich IT professional noemen en geld verdienen. BV door de hele dag "CLOUD" of "IOT" te roepen, of, nog beter, de godganselijke dag allerlei loze IT kreten roepen tegen CEO's waardoor het lijkt alsof ze alles weten. Bijvoorbeeld als een CEO vraagt over de RDP beveiliging allerlei loze kreten gaat roepen over IOT. Dan moet die CEO wel denken dat je héél erg goed bent.
Je kunt ook gaan roepen oss gratis en voor niets werk gedaan door anderen. Klinkt zeer interessant en deskundig.

Het onderwerp bij de BSI en het NCSC is beveiligingsbekeid. Iets wat structureel in flamingo onderuit gehaald wordt.

Een ssh fout van Cisco telnet bij huwaij worden politiek als backdoors bestempeld. Onderhoudsmonteurs nemen wraak via open toegang bij voormalige klanten voormalige werkgever. CEO fraude ... De grote lijn gebrek aan behoorlijke invulling informatiebeveiliging.

Elk onderwerp naar een merk flaming. Zoiets blokkeert de echte verbetering.

Dat is het probleem niet beste karma. Bij welhaast iedere bijdrage die je op dit forum levert plaats je een verwijzing naar
(1) OSS in relatie tot beheer, management, beleid, uitbesteding, patchgedrag of net wat
(2) niet terzake doende technieken
(3) andere, niet-gerelateerde onderwerpen

Alles voer je terug op die stokpaardjes, keer op keer, ongeacht het onderwerp, ongeacht de relevantie van die punten voor het artikel. Steeds maar weer. Dat begint mensen de keel uit te komen. Ook nu weer. Het gaat over een ernstig lek in RDP, en jij begint over uitbesteding aan derde partijen, IOT, ISO27001, CEO fraude, beveiligingsbeleid dat onderuit wordt gehaald, Huawei, Mirai, "want dat is er ook aan gerelateerd". Nee, het is er niet aan gerelateerd en nee, het is niet relevant voor dit onderwerp. Trek die onderwerpen er dan ook niet in. Het nodigt alleen maar uit tot discussies die ontsporen. Kap er mee, en beperk je tot het bericht.

Dit artikel gaat over een kritisch lek in RDP, niets meer, niets minder. Misschien heb je nog iets te melden over SSDLC, kwaliteitscontroles, kwaliteitsstandaarden, fuzzing technieken voor opsporen van deze lekken of andere zaken. Die zouden hier niét misstaan. Al die andere dingen wél.
16-05-2019, 09:24 door [Account Verwijderd]
Door Brainpresser:
Door karma4: Rdp over open Internet en alle gevoelige zaken uitbesteden aan derde partijen zonder eigen controles.
Als je er zo insteekt heb je de basis van een ernstiger probleem. Hoe zat het met alke gehackte iot apparatuur?

@Karma4,

Het gaat nu hier over Windows.

Zou je het elan, de waardigheid, kunnen opbrengen je tot Windows te beperken?

Hartelijk dank, ook héél waarschijnlijk namens vele regelmatige lezers van Security.nl die héél erg graag dit topic nu eens niet als nummertje 145 in een gros vertrold zien worden in een operating system discussie.

Negeer karma4 gewoon, ik doe het nu ook sinds een aantal dagen. Word je echt rustiger van, geloof me. Hoelang lult hij nu al off-topic bij elk onderwerp? Ooit enige verandering van houding gezien? Ooit gezien dat hij zijn ongelijk toegaf? En ik denk dat hij zelf niet doorheeft wat voor trol hij is want hij is helemaal bezeten van zijn stokpaardjes.
16-05-2019, 09:38 door Anoniem
Door Spiff:
Door Redactie:
Vanwege de ernst van het beveiligingslek besloot Microsoft ook niet meer ondersteunde besturingssystemen zoals Windows XP, Vista en Server 2003 van een noodpatch te voorzien.
Noch Microsoft, noch NCSC, vermeldt Windows Vista.
Is Windows Vista vergeten, genegeerd, of niet kwetsbaar?

Vista is zo waardeloos, dat moet je sowieso niet meer gebruiken...
16-05-2019, 17:24 door karma4
Door Anoniem: ......
Dit artikel gaat over een kritisch lek in RDP, niets meer, niets minder. Misschien heb je nog iets te melden over SSDLC, kwaliteitscontroles, kwaliteitsstandaarden, fuzzing technieken voor opsporen van deze lekken of andere zaken. Die zouden hier niét misstaan. Al die andere dingen wél.
Volg de links in het artikel. Het gaat niet enkel over een rdp van ee bepaald merk. Dat zoiets er graag van gemaakt wordt is nu net een groot probleem.

Bashing is leuk binnen bepaalde groepen maar behoorlijk off topic. De bashing stokpaardjes zijn erg vervelend.
16-05-2019, 19:06 door [Account Verwijderd] - Bijgewerkt: 16-05-2019, 19:09
Door karma4:
Door Anoniem: ......
Dit artikel gaat over een kritisch lek in RDP, niets meer, niets minder. Misschien heb je nog iets te melden over SSDLC, kwaliteitscontroles, kwaliteitsstandaarden, fuzzing technieken voor opsporen van deze lekken of andere zaken. Die zouden hier niét misstaan. Al die andere dingen wél.
Volg de links in het artikel. Het gaat niet enkel over een rdp van ee bepaald merk. Dat zoiets er graag van gemaakt wordt is nu net een groot probleem.

Bashing is leuk binnen bepaalde groepen maar behoorlijk off topic. De bashing stokpaardjes zijn erg vervelend.
...

Je bent tegen jezelf aan het praten. Niemand luistert, in zoverre dat het een inhoudelijke reactie op wat je hier off topic te spuien hebt genereert.

Bij mij heb je nu afgedaan. Ik heb de poort naar Karma4 in mijn firewall dichtgezet.
Reden?
Je lult blind apathisch door voor eigen auditorium, Oost-indisch doof voor de al jaren gaande kritiek op je krampachtig altijd de aandacht van Windows af te leiden woordvloed; om een nodige discussie over een aktueel veiligheidsaspect van Windows te smoren kom je met een brij wonderboy talk.

Weet je wat dat is? Minachting! Minacht je mensen @Karma4?
Hier toon je slechts ten uiterste totale minachting voor mensen die zich misschien zorgen maken; hopen hier soelaas te vinden, die hier komen in de hoop iets op te steken van een topic, ben je totaal in schril contrast met bijvoorbeeld Bitwiper, gisteren om 21:59 uur, die wel waardevolle inhoudelijke respons geeft; zich dienstbaar etaleert; een karakter dat bij jou totaal ontbreekt hier.

In àl je aanmatigende reacties die je hier hebt wegkrabbeld in de voorgaande jaren, heb je nog nooit to the point on-topic nuttige informatie gepost.


Houd je de telling bij @Karma4? Het hoeveelste Windows topic is dit nu alweer dat je naar de filistijnen tracht te ouwehoeren met je off-topic afleidingsmanouvres?
17-05-2019, 19:44 door [Account Verwijderd] - Bijgewerkt: 17-05-2019, 19:45
Windows-gebruikers moeten daarom de bestaande updates direct installeren voordat er schade kan worden gedaan", zegt Arne Schönbohm, directeur van het BSI.

Eigenlijk zou elke applicatie voor het daadwerkelijk opstarten moeten opvragen of er kritische updates (voor die applicatie) zijn. En als dat het geval is niet starten voordat de update(s) zijn geïnstalleerd. Er is best iets te bedenken waarmee dat efficiënt kan worden geïmplementeerd.
19-05-2019, 16:56 door karma4
Door Brainpresser:
...
Houd je de telling bij @Karma4? Het hoeveelste Windows topic is dit nu alweer dat je naar de filistijnen tracht te ouwehoeren met je off-topic afleidingsmanouvres?
Ik houd de telling van dat off-topic bashing vanuit de hoek van evangelisten niet meer bij.
Het is dat wat een minachting voor de normale gebruikers normale mensen inhoud.

Ga je bij dit artikel naar de bron kijken dan gaat om algemene informatiebeveiligingsmaatregelen.
Maar ja bij evangelisten moet dat verdraaid worden naar merkstrijden bashing en flaming. jammer jammer
20-05-2019, 20:48 door [Account Verwijderd]
Door karma4:
Door Brainpresser:
...
Houd je de telling bij @Karma4? Het hoeveelste Windows topic is dit nu alweer dat je naar de filistijnen tracht te ouwehoeren met je off-topic afleidingsmanouvres?
Ik houd de telling van dat off-topic bashing vanuit de hoek van evangelisten niet meer bij.
Het is dat wat een minachting voor de normale gebruikers normale mensen inhoud.

Ga je bij dit artikel naar de bron kijken dan gaat om algemene informatiebeveiligingsmaatregelen.

Er is niks 'algemeens' aan het oorspronkelijke verhaal van redactie. (Ik quote een stukje hieronder).

Door redactie:
Duitse en Nederlandse overheid bang voor nieuwe WannaCry
woensdag 15 mei 2019, 17:29 door Redactie, 18 reacties
De Duitse en Nederlandse overheid maken zich zorgen dat een nieuw Windows-lek tot een nieuwe WannaCry-achtige uitbraak kan leiden. De kwetsbaarheid in Remote Desktop Services werd gisterenavond gepatcht. Via het lek kan een aanvaller kwetsbare systemen overnemen door alleen via het remote desktopprotocol (RDP) verbinding te maken. Er is geen interactie van slachtoffers vereist. En ook hoeft de aanvaller niet over inloggegevens te beschikken.

Of beschuldig je redactie van 'evangelisme', 'merkstrijden', etc. omdat ze Windows noemen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.