image

Ruim 800.000 computers kwetsbaar voor BlueKeep-lek

woensdag 17 juli 2019, 15:03 door Redactie, 14 reacties

Ruim twee maanden na het uitkomen van een belangrijke beveiligingsupdate voor een ernstige kwetsbaarheid in Windows blijken nog altijd meer dan 800.000 computers de patch niet te hebben geïnstalleerd. De machines lopen daardoor risico om op afstand te worden overgenomen.

De kwetsbaarheid wordt BlueKeep genoemd en bevindt zich in de Remote Desktop Services van Windows. Een aanvaller hoeft alleen verbinding via het remote desktopprotocol te maken om de machine over te nemen. Er is geen interactie van slachtoffers vereist en de aanvaller hoeft niet over inloggegevens te beschikken. Sinds het uitkomen van de beveiligingsupdate zijn er verschillende exploits verschenen waarmee het mogelijk is om kwetsbare systemen te laten crashen of over te nemen.

Daadwerkelijke aanvallen zijn echter nog niet waargenomen. Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Sindsdien is de situatie iets verbeterd, want begin deze maand telde securitybedrijf BitSight 805.000 kwetsbare machines. Een afname van zo'n 170.000 computers in vergelijking met de telling van eind mei. Een deel van die afname is te danken aan 92.000 systemen die sindsdien zijn gepatcht.

De meeste kwetsbare machines werden bij bedrijven in de telecomsector waargenomen, gevolgd door onderwijsinstellingen en techbedrijven. De kwetsbaarheid is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008. Nieuwere Windowsversies zijn niet kwetsbaar. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.

Reacties (14)
17-07-2019, 15:07 door [Account Verwijderd]
Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.

Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.
17-07-2019, 15:40 door Anoniem
800.000, het valt best mee als je naar het aantal pc's kijkt. :)
17-07-2019, 15:43 door DLans
Door En Rattshaverist:
Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.

Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.

Je maakt er ook wel een kunst van hoor Rattshaverist.

Per omgeving dient er een afweging gemaakt te worden wanneer patches geinstalleerd kunnen worden. Ik heb voor een bedrijf gewerkt waar de servers o.a. alle robots aanstuurde in de productie. We hebben ooit één keer problemen gehad met Windows updates die een dag eerder getest waren in ons testsysteem. Echter kwam de bug pas 2-3 dagen na het rebooten aan het licht doordat langzaam alle beschikbare poorten werden gebruikt.

Sindsdien installeert dat bedrijf eigenlijk vrijwel altijd direct die dinsdag/woensdag de updates op de testsystemen, en wacht het een week met de updates op de primaire systemen. Het installeren is verder een geautomatiseerd proces, en ik snap niet waarom andere bedrijven niet een vergelijkbare manier van werken hebben.

Een bepaald beleid of manier van werken staat los van welk OS dan ook. Twee maanden wachten is slecht of lui beheer, of het nou Windows/Linux is. Zelfs in het ziekenhuis waar ik gewerkt heb werd alles geautomatiseerd, en iemand deed achteraf alleen even een controle. Het is echt geen rocket science.

Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?
17-07-2019, 16:17 door Anoniem
Door DLans:
Door En Rattshaverist:
Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.

Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.

Je maakt er ook wel een kunst van hoor Rattshaverist.

Per omgeving dient er een afweging gemaakt te worden wanneer patches geinstalleerd kunnen worden. Ik heb voor een bedrijf gewerkt waar de servers o.a. alle robots aanstuurde in de productie. We hebben ooit één keer problemen gehad met Windows updates die een dag eerder getest waren in ons testsysteem. Echter kwam de bug pas 2-3 dagen na het rebooten aan het licht doordat langzaam alle beschikbare poorten werden gebruikt.

Sindsdien installeert dat bedrijf eigenlijk vrijwel altijd direct die dinsdag/woensdag de updates op de testsystemen, en wacht het een week met de updates op de primaire systemen. Het installeren is verder een geautomatiseerd proces, en ik snap niet waarom andere bedrijven niet een vergelijkbare manier van werken hebben.

Een bepaald beleid of manier van werken staat los van welk OS dan ook. Twee maanden wachten is slecht of lui beheer, of het nou Windows/Linux is. Zelfs in het ziekenhuis waar ik gewerkt heb werd alles geautomatiseerd, en iemand deed achteraf alleen even een controle. Het is echt geen rocket science.

Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?
Omdat de softwaremaker dit default aan zet?
17-07-2019, 16:30 door DLans
Door Anoniem: 800.000, het valt best mee als je naar het aantal pc's kijkt. :)

800.000 is wat de onderzoekers waarschijnlijk zelf kunnen scannen, intern bij bedrijven kan het potentieel nog veel meer zijn. Ik ben eigenlijk benieuwd naar de verhouding van operating systems. Zijn het voornamelijk Windows 7, of server 2008?
17-07-2019, 17:26 door DLans
Door Anoniem:
Omdat de softwaremaker dit default aan zet?

Dat Microsoft in hun Windows producten RDP standaard aan heeft staan wil niet zeggen dat die servers dan opeens allemaal via het internet te bereiken zijn. Dat is een bewuste keuze die gemaakt wordt, door een firewall open te zetten. Dus nogmaals, WHY?
18-07-2019, 07:44 door Anoniem

Omdat de softwaremaker dit default aan zet?

Microsoft heeft standaard RDP uitstaan op servers, dus wat DLans zegt, dan is het een bewuste keuze van het bedrijf. Waarom doet men dat?
18-07-2019, 09:52 door [Account Verwijderd]
Door DLans: Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?

Handig voor IT bij support en beheer?
18-07-2019, 11:51 door Anoniem
Door DLans:
Door Anoniem:
Omdat de softwaremaker dit default aan zet?

Dat Microsoft in hun Windows producten RDP standaard aan heeft staan wil niet zeggen dat die servers dan opeens allemaal via het internet te bereiken zijn. Dat is een bewuste keuze die gemaakt wordt, door een firewall open te zetten. Dus nogmaals, WHY?

Je hebt gelijk maar dat zal er bij mensen die dit soort dingen antwoorden toch niet in willen…….
18-07-2019, 11:51 door Anoniem
Door En Rattshaverist:
Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.

Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.
Duidelijk is weer dat jij er niet zoveel hiervan snapt. Overduidelijk zelfs.

Door En Rattshaverist:
Door DLans: Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?

Handig voor IT bij support en beheer?
Nope. Waarom zou je dit zo doen? Dit valt gewoon onder het zelfde als "even een mongo database op mijn webserver installeren.

Door Anoniem:

Omdat de softwaremaker dit default aan zet?

Microsoft heeft standaard RDP uitstaan op servers, dus wat DLans zegt, dan is het een bewuste keuze van het bedrijf. Waarom doet men dat?
Volgens mij ook op XP. Maar dat weet ik niet zeker meer. Te lang geleden dat ik hiermee gewerkt hebt. Alle instructies op Internet zeggen wel, dat je het eerst moet aanzetten.
Bij Windows 7 moet je ook specifiek de Windows firewall die standaard voor Public het RDP verkeer tegenhoud. Ook hier moet een dus een gebruiker of admin specifiek hier voor doen.

Door Anoniem:
Omdat de softwaremaker dit default aan zet?
Maar dit is niet het geval. Standaard staat het niet aan, en je hebt je Windows Firewall die het standaard tegenhoud.
Nog afgezien de meeste devices standaard niet direct aan het Internet hangen. Men moet dan dus specifiek RDP forwarden naar de host.
18-07-2019, 15:25 door [Account Verwijderd]
Door Anoniem:
Door En Rattshaverist:
Door DLans: Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?

Handig voor IT bij support en beheer?
Nope. Waarom zou je dit zo doen? Dit valt gewoon onder het zelfde als "even een mongo database op mijn webserver installeren.

Er zal toch wel een wachtwoord op die RDP staan? Bij MongoDB ging het vaak om totaal onbeveiligde databases. Via RDP kan IT gemakkelijk bij de systemen voor service of support.
18-07-2019, 16:03 door DLans
Door En Rattshaverist:
Door Anoniem:
Door En Rattshaverist:
Door DLans: Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?

Handig voor IT bij support en beheer?
Nope. Waarom zou je dit zo doen? Dit valt gewoon onder het zelfde als "even een mongo database op mijn webserver installeren.

Er zal toch wel een wachtwoord op die RDP staan? Bij MongoDB ging het vaak om totaal onbeveiligde databases. Via RDP kan IT gemakkelijk bij de systemen voor service of support.

Een RDP sessie vereist geen wachtwoord (in theorie). Als je een lokale gebruiker zou hebben zonder wachtwoord, wat vroeger in ieder geval wel kon, dan was een gebruikersnaam invullen voldoende. Nu is er geen enkel bedrijf waar ik kom die dat ook maar heeft, en ik vraag me af of het uberhaupt nog mogelijk zou zijn. Ik ben te lui om dat te gaan testen ..

Maar RDP wil je nog steeds niet aan het internet hangen. Zo min mogelijk attack surface/meer authenticatie stappen. Stop alle belangrijke zaken zoveel mogelijk achter een Direct Access/andere vpn oplossing.
19-07-2019, 08:42 door Anoniem
Door DLans:Een RDP sessie vereist geen wachtwoord (in theorie). Als je een lokale gebruiker zou hebben zonder wachtwoord, wat vroeger in ieder geval wel kon, dan was een gebruikersnaam invullen voldoende. Nu is er geen enkel bedrijf waar ik kom die dat ook maar heeft, en ik vraag me af of het uberhaupt nog mogelijk zou zijn. Ik ben te lui om dat te gaan testen ..
Windows 10 laat geen RDP verbindingen toe, indien het account geen wachtwoord heeft. Volgens mij was dit eigenlijk in vorige versies ook zo. Maar heb ook geen zin om dit te testen.

Maar RDP wil je nog steeds niet aan het internet hangen. Zo min mogelijk attack surface/meer authenticatie stappen. Stop alle belangrijke zaken zoveel mogelijk achter een Direct Access/andere vpn oplossing.
Helemaal mee eens. Er zijn mogelijkheden genoeg om RDP NIET direct aan het internet te plaatsen. Maar sommige doen het toch en patchen niet hun systemen. Ik heb daar ook geen medelijden voor. Het is gewoon vragen om problemen.
24-07-2019, 06:17 door Anoniem
En hoe zit dat met windows 8.1? Kwetsbaar voor ditf6G lek?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.