Duitsland: DejaBlue-lekken kunnen voor grote schade zorgen
Twee nieuwe beveiligingslekken in de Remote Desktop Services (RDS) van Windows, inmiddels DejaBlue genoemd, kunnen voor grote economische schade zorgen, zo waarschuwt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.
Microsoft kwam dinsdagavond met beveiligingsupdates voor de twee kwetsbaarheden. Via de lekken kan een aanvaller computers zonder enige interactie van de gebruiker overnemen. De aanvaller hoeft alleen via het Remote Desktopprotocol (RDP) verbinding te maken. Geldige inloggegevens zijn niet nodig. In mei kwam Microsoft met een updaete voor een andere kwetsbaarheid in RDS genaamd BlueKeep.
Hoewel updates voor dit lek al sinds mei beschikbaar zijn, zijn wereldwijd honderdduizenden machines die via internet toegankelijk zijn nog ongepatcht. In Duitsland gaat het om meer dan 10.000 machines. Het werkelijke aantal kwetsbare computers is waarschijnlijk veel groter, aangezien machines binnen bedrijfsnetwerken de updates waarschijnlijk ook missen, aldus het BSI.
De Duitse overheidsinstantie beschouwt de kwetsbaarheden in RDS als zeer ernstig en roept organisaties en gebruikers op om de beschikbare patches te installeren. "Deze kwetsbaarheden maken aanvallen mogelijk die voor grote economische schade kunnen zorgen en moeten daarom met prioriteit worden behandeld. Met een dergelijke opeenstapeling van kwetsbaarheden is het slechts een kwestie van tijd voordat er aanvallen vergelijkbaar met WannaCry zullen plaatsvinden", zegt BSI-directeur Arne Schönbohm.
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie verwacht dat de kwetsbaarheden op zeer korte termijn zullen worden misbruikt door aanvallers. "Dergelijke kwetsbaarheden hebben de potentie om grootschalig te worden gebruikt, zo blijkt uit het verleden. Het NCSC benadrukt daarom dat het belangrijk is om deze update direct uit te voeren", zo laat de organisatie weten.
Dit heeft geen Reboot nodig en kan dus direct.
Natuurlijk moet je ook patchen, maar die kunnen vaak niet direct en hebben veel meer impact...
Mijn Dèjá vu gevoel kwam meer voort uit het feit dat een gepatched lek nog steeds zo'n grote kwetsbaarheid bevat.
Dat een patch nog een probleempje kan bevatten komt vaker voor maar alleen bij Microsoft zie je dat patches voor zo'n gigantisch lek achteraf nog steeds zo gigantisch lek zijn.
Mijn Dèjá vu gevoel kwam meer voort uit het feit dat een gepatched lek nog steeds zo'n grote kwetsbaarheid bevat.
Dat een patch nog een probleempje kan bevatten komt vaker voor maar alleen bij Microsoft zie je dat patches voor zo'n gigantisch lek achteraf nog steeds zo gigantisch lek zijn.
Het betreft in dit geval ook de nieuwere versies van Windows, waar dat eerder nog de oudere versies waren.
Dit heeft geen Reboot nodig en kan dus direct.
Natuurlijk moet je ook patchen, maar die kunnen vaak niet direct en hebben veel meer impact...
Dit heeft geen Reboot nodig en kan dus direct.
Natuurlijk moet je ook patchen, maar die kunnen vaak niet direct en hebben veel meer impact...
Uhm, NLA blokkeert de RDP aanval op een niet gepatched systeem indien uitgevoerd zonder geldige credentials. Dus niet als een op een andere manier overgenomen computer het interne netwerk gaat aanvallen vanuit een account die wel kan authentiseren.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
Workarounds
The following workaround may be helpful in your situation. In all cases, Microsoft strongly recommends that you install the updates for this vulnerability as soon as possible even if you plan to leave these workarounds in place:
1. Enable Network Level Authentication (NLA)
You can enable Network Level Authentication to block unauthenticated attackers from exploiting this vulnerability. With NLA turned on, an attacker would first need to authenticate to Remote Desktop Services using a valid account on the target system before the attacker could exploit the vulnerability.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ervaren Cyber Security Analist
Bij SSC-ICT
Je werkt in een team van gedreven securityspecialisten. Samen met je collega’s waak jij over de digitale veiligheid bij een van de grootste ICT-dienstverleners van het Rijk. Jij bent vanuit jouw rol verantwoordelijk voor het signaleren, analyseren en opvolgen van incidenten.
Ethical hacker
Je begrijpt als geen ander hoe hackers denken. En ontdekt feilloos kwetsbare plekken in onze systemen en processen. Dat je daarmee de pensioengegevens van miljoenen Nederlanders beschermt, doet je hart sneller kloppen. Wil jij complete vrijheid in je werk combineren met echte betrokkenheid? Solliciteer dan nu naar de functie van ethical hacker!
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?