image

NSA verwacht snel misbruik van crypto-lek in Windows

woensdag 15 januari 2020, 12:20 door Redactie, 13 reacties

De Amerikaanse geheime dienst NSA verwacht dat er op korte termijn misbruik zal worden gemaakt van het crypto-lek in Windows waarvoor gisteren een beveiligingsupdate verscheen. Het beveiligingslek in Windows 10 en Server 2016/2019 werd door de NSA gevonden en aan Microsoft gerapporteerd.

Via de kwetsbaarheid is het mogelijk om man-in-the-middle-aanvallen op versleutelde verbindingen uit te voeren, en zo vertrouwelijke informatie te achterhalen, en malware te signeren waardoor het van een betrouwbare partij afkomstig lijkt. Volgens de NSA lopen Windowssystemen door de kwetsbaarheid risico om op meerdere manieren te worden aangevallen. Tevens stelt de Amerikaanse geheime dienst in een advisory dat aanvallers de onderliggende kwetsbaarheid "zeer snel" zullen begrijpen (pdf).

"De gevolgen van het niet patchen zijn ernstig en wijdverbreid. Remote aanvalstools zullen waarschijnlijk zeer snel en breed beschikbaar worden gemaakt. Het snel installeren van de update is de enige oplossing op dit moment en zou de primaire focus van alle netwerkeigenaren moeten zijn", aldus advies van de NSA. Organisaties en beheerders worden dan ook opgeroepen om de beschikbaar gemaakte beveiligingsupdates zo snel als mogelijk te installeren.

In de praktijk komt het nog altijd voor dat organisaties dergelijke waarschuwingen negeren en updates niet tijdig installeren. Voordat de WannaCry-ransomware zich via een kwetsbaarheid kon verspreiden waren organisaties gewaarschuwd voor het beveiligingslek, het online verschijnen van exploits die misbruik van de kwetsbaarheid maakte en daadwerkelijke aanvallen. Toch hadden tal van organisaties twee maanden na het uitkomen van de beveiligingsupdates die nog altijd niet geïnstalleerd.

Reacties (13)
15-01-2020, 12:33 door Anoniem
dus een omgeving zonder windows 2016 en zonder windows 10 kan deze volgens het reguliere maandelijkse update proces voorbij laten komen, zonder directe paniek&peeuw? (quote van Dr. Cactus)

daarnaast, als ik een omgeving heb waar uitvoerbare bestanden geblokkeerd worden voor executie, en aannemelijk heb dat een booswicht geen rogue WSUS server kan installeren/redirecten (want die zou een gesignede malware kunnen pushen),
dan zit ik toch goed?

ernstig, wijdverbreid, snel, en ook nog breed... ik wordt er bijna bang van.
15-01-2020, 13:02 door souplost
Hoezo er is een patch beschikbaar of is deze monocultuur zo moeilijk te patchen?
15-01-2020, 13:12 door Anoniem
Door souplost: Hoezo er is een patch beschikbaar of is deze monocultuur zo moeilijk te patchen?
Zoals in iedere omgeving, moet je eerst je updates testen in je infrastructuur. Dat staat helemaal los van een "monocultuur", maar valt onder professionaliteit, continuities en testen van je changes.

Dat wil niet zeggen, dat je dit kunt versnellen. Maar het is heel normaal dat het updates pas een week later pas geïmplementeerd is/wordt in de productie infrastructuur.

Als je dit soort opmerkingen gaat maken, dan mis je bepaalde ervaringen hoe de meeste bedrijven werken. Maar dat zien we wel vaker hier.
15-01-2020, 13:36 door Anoniem
Door Anoniem: dus een omgeving zonder windows 2016 en zonder windows 10 kan deze volgens het reguliere maandelijkse update proces voorbij laten komen, zonder directe paniek&peeuw? (quote van Dr. Cactus)

daarnaast, als ik een omgeving heb waar uitvoerbare bestanden geblokkeerd worden voor executie, en aannemelijk heb dat een booswicht geen rogue WSUS server kan installeren/redirecten (want die zou een gesignede malware kunnen pushen),
dan zit ik toch goed?

ernstig, wijdverbreid, snel, en ook nog breed... ik wordt er bijna bang van.
De ondersteuning voor ECC is pas in Windows 10/Windows Server 2016 toegevoegd.
15-01-2020, 15:30 door Leo van Lierop
Hoewel niet vermeld, wordt voor de oudere Windows versie het bestand Crypt32.dll ook bijgewerkt. Dus die updates lijken mij niet minder belangrijk.
15-01-2020, 18:24 door [Account Verwijderd]
Door Anoniem: ernstig, wijdverbreid, snel, en ook nog breed... ik wordt er bijna bang van.

Je zou bijna denken dat er geld mee gemoeid zou kunnen zijn. En waarom waarschuwt de NSA ipv MS?
15-01-2020, 18:47 door Anoniem
Door Leo van Lierop: Hoewel niet vermeld, wordt voor de oudere Windows versie het bestand Crypt32.dll ook bijgewerkt. Dus die updates lijken mij niet minder belangrijk.
Bij mij is vandaag op W7 Crypt32.dll bijgewerkt, maar op 8.1 niet.
15-01-2020, 19:03 door Anoniem
Door Anoniem:
Door souplost: Hoezo er is een patch beschikbaar of is deze monocultuur zo moeilijk te patchen?
Zoals in iedere omgeving, moet je eerst je updates testen in je infrastructuur. Dat staat helemaal los van een "monocultuur", maar valt onder professionaliteit, continuities en testen van je changes.
Heb je die Pulse Secure bak nou al gepatched of staat die patch nog steeds in test??

Als je dit soort opmerkingen gaat maken, dan mis je bepaalde ervaringen hoe de meeste bedrijven werken.
Ja maar we zien ook hoe dat keer op keer fout afloopt. Dus of die manier van werken nou zo slim is?
15-01-2020, 19:03 door linux4
Door Anoniem:
Door souplost: Hoezo er is een patch beschikbaar of is deze monocultuur zo moeilijk te patchen?
Zoals in iedere omgeving, moet je eerst je updates testen in je infrastructuur. Dat staat helemaal los van een "monocultuur", maar valt onder professionaliteit, continuities en testen van je changes.

Dat wil niet zeggen, dat je dit kunt versnellen. Maar het is heel normaal dat het updates pas een week later pas geïmplementeerd is/wordt in de productie infrastructuur.

Als je dit soort opmerkingen gaat maken, dan mis je bepaalde ervaringen hoe de meeste bedrijven werken. Maar dat zien we wel vaker hier.

Dat hoeft dus helemaal niet het geval te zijn. Mijn werkgever (en dat is niet bepaald een klein bedrijf) heeft versneld deze update getest en al uitgerold op alle W10 Enterprise pc's met een begeleidende email om vooral je pc te herstarten zodra deze daarom vraagt.
15-01-2020, 21:53 door Anoniem
Ik zou het blog van Bruce Schneier maar eens op nalezen, die heeft er een artikel aan gewijd:

https://www.schneier.com/blog/archives/2020/01/critical_window.html

citaat: And -- seriously -- patch your systems now: Windows 10 and Windows Server 2016/2019. Assume that this vulnerability has already been weaponized, probably by criminals and certainly by major governments. Even assume that the NSA is using this vulnerability -- why wouldn't it?
15-01-2020, 23:02 door Anoniem
Door souplost: Hoezo er is een patch beschikbaar of is deze monocultuur zo moeilijk te patchen?
In grotere organisaties wordt met een WSUS chain eerst de OTAP gepatch, en een week getest op problemen. Daarna wordt op de 2e WSUS server alles vrijgegeven voor productie.
In ons geval is het proces nu versneld en testen we 48 uur en gaan dan live. Dit gebeurt voor alle critical updates, zoals de RDP velnerabilities van enkele maanden gelden, en nu dit.
In de OTAP omgeving hebben we een mix van alle werkstation OS, server 2012-2019 en applicaties als IIS en SQL.
16-01-2020, 12:44 door souplost
Door Anoniem:
Door souplost: Hoezo er is een patch beschikbaar of is deze monocultuur zo moeilijk te patchen?
In grotere organisaties wordt met een WSUS chain eerst de OTAP gepatch, en een week getest op problemen. Daarna wordt op de 2e WSUS server alles vrijgegeven voor productie.
In ons geval is het proces nu versneld en testen we 48 uur en gaan dan live. Dit gebeurt voor alle critical updates, zoals de RDP velnerabilities van enkele maanden gelden, en nu dit.
In de OTAP omgeving hebben we een mix van alle werkstation OS, server 2012-2019 en applicaties als IIS en SQL.
Tja een critical security patch hoort geen functionaliteit te breken. Een smoketest zou voldoende moeten zijn. Gezien de ms patch blunders van de laatste tijd kan ik mij wel voorstellen dat men voorzichtig is. maar toch security is belangrijker dan functionaliteit. Dus sneller patchen.
17-01-2020, 08:38 door Anoniem
Door Anoniem:
Door souplost: Hoezo er is een patch beschikbaar of is deze monocultuur zo moeilijk te patchen?
In grotere organisaties wordt met een WSUS chain eerst de OTAP gepatch, en een week getest op problemen. Daarna wordt op de 2e WSUS server alles vrijgegeven voor productie.
In ons geval is het proces nu versneld en testen we 48 uur en gaan dan live. Dit gebeurt voor alle critical updates, zoals de RDP velnerabilities van enkele maanden gelden, en nu dit.
In de OTAP omgeving hebben we een mix van alle werkstation OS, server 2012-2019 en applicaties als IIS en SQL.

1) en door blind zonder een risico analyse dat protocol elke keer maar te volgen voelen we ons veilig... nietwaar?
2) waarom is dat uitgebreid protocol en OTAP testen uberhaupt uit voortgevloeid? zit daat niet het diepere oorsprong van een probleem?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.