Nieuws
image

Bijna 1 miljoen Windows-systemen kwetsbaar door RDP-lek

dinsdag 28 mei 2019, 13:25 door Redactie, 12 reacties

Bijna 1 miljoen Windows-systemen die via internet toegankelijk zijn missen een belangrijke beveiligingsupdate die eerder deze maand verscheen en lopen zodoende risico om door een computerworm besmet te worden. Daarvoor waarschuwt beveiligingsonderzoeker Robert Graham.

Het gaat om een kwetsbaarheid in de Remote Desktop Service van Windows waardoor een aanvaller kwetsbare systemen kan overnemen. Hiervoor hoeft er alleen verbinding via het remote desktopprotocol te worden gemaakt. Er is geen interactie van slachtoffers vereist en de aanvaller hoeft niet over inloggegevens te beschikken.

Vanwege de ernst van het beveiligingslek besloot Microsoft ook niet meer ondersteunde besturingssystemen zoals Windows XP en Server 2003 van een noodpatch te voorzien. Op een schaal van 1 tot en met 10 wat betreft de ernst van het lek, werd het met een 9,8 beoordeeld. Ook waarschuwde de softwaregigant voor de mogelijkheid van een nieuwe WannaCry-achtige uitbraak. Vorige week liet antivirusbedrijf McAfee weten dat het een werkende exploit voor het beveiligingslek had ontwikkeld.

Graham wilde weten hoe groot de dreiging is en voerde een scan uit op internet, waarbij er specifiek op poort 3389 werd gescand. Dit is de standaardpoort die wordt gebruikt om via het remote desktopprotocol verbinding te maken. Dit leverde zo'n 950.000 systemen op die via poort 3389 toegankelijk zijn en de beveiligingsupdate van Microsoft niet hebben geïnstalleerd.

"Dit houdt in dat wanneer de worm uitbreekt, die waarschijnlijk deze miljoen apparaten zal infecteren. Dit zal mogelijk zorgen voor een incident dat net zo schadelijk is als WannaCry en notPetya in 2017, en mogelijk erger, aangezien hackers sindsdien hun vaardigheden hebben verbeterd om deze dingen voor ransomware en andere narigheid te misbruiken", aldus Graham. Organisaties krijgen dan ook het dringende advies om de update zo snel als mogelijk te installeren.

Reacties (12)
28-05-2019, 15:03 door Anoniem
Ik heb (in Vista) alle services die met 'Remote' beginnen disabled.
Geeft dat afdoende bescherming tegen RDP?
28-05-2019, 15:14 door Bitje-scheef
Door Anoniem: Ik heb (in Vista) alle services die met 'Remote' beginnen disabled.
Geeft dat afdoende bescherming tegen RDP?

Uitzetten is het veiligst.
28-05-2019, 15:14 door Anoniem
Door Anoniem: Ik heb (in Vista) alle services die met 'Remote' beginnen disabled.
Geeft dat afdoende bescherming tegen RDP?

Ja, iets wat niet draait kan niet van afstand 'gehacked' worden.
28-05-2019, 15:56 door Anoniem
Door Anoniem: Ik heb (in Vista) alle services die met 'Remote' beginnen disabled.
Geeft dat afdoende bescherming tegen RDP?

Meer dan voldoende, alleen "Remote Desktop Services" is al voldoende, overige heb je waarschijnlijk ook niet nodig dus kan geen kwaad.
28-05-2019, 17:47 door Anoniem
Door Bitje-scheef:
Door Anoniem: Ik heb (in Vista) alle services die met 'Remote' beginnen disabled.
Geeft dat afdoende bescherming tegen RDP?

Uitzetten is het veiligst.

Deze ook ?
Remote Access Auto Connection Manager
Remote Access Connection Manager .
Remote Desktop Configuration
Remote Desktop Services ->staat uit
Remote Desktop Services UserMode Port Redirector
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator Remote Registry
28-05-2019, 22:30 door Anoniem
Door Anoniem: Ik heb (in Vista) alle services die met 'Remote' beginnen disabled.
Geeft dat afdoende bescherming tegen RDP?
Vista? Jij maakt je druk om je (internet)veiligheid terwijl je een systeem draait die al jaren niet meer ondersteund wordt en dus al in geen jaren meer een veiligheidspatch heeft ontvangen? Wat een giller.

Vind je het erg als ik elke logica vind ontbreken?
29-05-2019, 09:25 door Anoniem
Door Anoniem:
Deze ook ?
Remote Procedure Call (RPC)
Indien je deze uitzet werken sommige onderdelen in Windows niet meer.
Zie:
https://support.microsoft.com/en-us/help/830071/some-windows-procedures-do-not-work-if-the-remote-procedure-call-servi
https://superuser.com/questions/616098/what-is-rpc-and-why-is-it-so-important
29-05-2019, 15:32 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb (in Vista) alle services die met 'Remote' beginnen disabled.
Geeft dat afdoende bescherming tegen RDP?
Vista? Jij maakt je druk om je (internet)veiligheid terwijl je een systeem draait die al jaren niet meer ondersteund wordt en dus al in geen jaren meer een veiligheidspatch heeft ontvangen? Wat een giller.

Vind je het erg als ik elke logica vind ontbreken?

Laat hem lekker vista gebruiken,de vraag is belangrijker,niet over
dat jij geirriteerd of verbaast bent en of waarom hij nog vista gebruikt.
29-05-2019, 15:36 door Anoniem
Door Anoniem:
Door Bitje-scheef:
Door Anoniem: Ik heb (in Vista) alle services die met 'Remote' beginnen disabled.
Geeft dat afdoende bescherming tegen RDP?

Uitzetten is het veiligst.

Deze ook ?
Remote Access Auto Connection Manager
Remote Access Connection Manager .
Remote Desktop Configuration
Remote Desktop Services ->staat uit
Remote Desktop Services UserMode Port Redirector
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator Remote Registry


De eerste vijf zijn prima.
De laatste twee RPC en RPC Locator zijn niet nodig,

In je firewall kun je nog tcp 3389 toevoegen het te blokkeren.
29-05-2019, 16:35 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb (in Vista) alle services die met 'Remote' beginnen disabled.
Geeft dat afdoende bescherming tegen RDP?
Vista? Jij maakt je druk om je (internet)veiligheid terwijl je een systeem draait die al jaren niet meer ondersteund wordt en dus al in geen jaren meer een veiligheidspatch heeft ontvangen? Wat een giller.

Vind je het erg als ik elke logica vind ontbreken?

Ha Ha, wel grappig!
Ik heb een 10 jaar oude uitstekend werkende laptop (ACER) waarvan het BIOS het niet toestaat dat
er iets anders dan Vista op wordt geinstalleerd.
Ik ben echter zeer goed in staat om de boel zo goed als het kan dicht te timmeren en regelmatig
te controleren op onregelmatigheden. Maar de garantie dat je nooit wordt gehackt heb je echter nooit,
ook niet met de nieuwste upgrades.
30-05-2019, 10:32 door Anoniem
Wie in deze wereld wil RDP aan de buitenkant openzetten, is dit echt serieus? Mensen wordt wakker! Verzin iets degelijks met VPN of een SSL portal met een gedegen authenticatie beleid.
05-06-2019, 13:53 door Anoniem
Door Anoniem: Wie in deze wereld wil RDP aan de buitenkant openzetten, is dit echt serieus? Mensen wordt wakker! Verzin iets degelijks met VPN of een SSL portal met een gedegen authenticatie beleid.
Ik denk dat er niet zoveel mensen zijn die RDP zonder VPN of SSL naar buiten toe open zetten.

Het probleem zit erin dat als RDP open staat, al je machines gevaar lopen zodra er aan de binnenkant één PC besmet raakt. Een realistisch scenario is dat een PC op je interne netwerk geïnfecteerd raakt via bijvoorbeed mail of een geïnfecteerde website. Vanuit die besmette PC vindt vervolgens - via de RDP kwetsbaarheid - infectie plaats naar machines op je interne netwerk.

Kortom, RDP open hebben staan aan de binnenkant van je netwerk brengt ook risico's met zich mee. Uitzetten als je het niet nodig hebt en zorgen dat de laatste patch geïnstalleerd is. Dat Microsoft zelfs voor XP nog een patch heeft uitgebracht, zegt genoeg over de ernst van deze kwetsbaarheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search