Onderzoekers hebben op internet ruim 16.000 Windows Remote Desktop Gateways gevonden die kwetsbaar voor aanvallen zijn. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk.

Microsoft kwam eerder deze maand met updates voor twee ernstige kwetsbaarheden in de Remote Desktop Gateway, aangeduid als CVE-2020-0609 en CVE-2020-0610. Via deze lekken kan een aanvaller door het versturen van speciaal geprepareerde requests het systeem overnemen. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP is voldoende.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die beide met een 9,8 beoordeeld. Microsoft spreekt dan ook over een kritiek beveiligingslek, omdat het aanvallers systemen laat overnemen. Daarnaast is er nog een derde kwetsbaarheid die met de twee beveiligingslekken in de Remote Desktop Gateway verband houdt. Het gaat om een lek in de Remote Desktop Client, die thuisgebruikers gebruiken om via RDP op het bedrijfsnetwerk in te loggen.

Een aanvaller die een gebruiker verbinding met een kwaadaardige RDP-server laat maken kan het systeem van de gebruiker in het ergste geval volledig overnemen. De kwetsbaarheden in de Remote Desktop Gateway en Remote Desktop Client zijn te combineren, zodat aanvallers niet alleen kwetsbare Gateways kunnen overnemen, maar ook gebruikers die daarmee verbinding maken.

Op 14 januari publiceerde Microsoft zoals gezegd beveiligingsupdates voor de kwetsbaarheden. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid besloot zelfs een aparte waarschuwing voor de kwetsbaarheden te versturen. Inmiddels is er een exploit online verschenen waarmee kwetsbare Gateways op afstand zijn over te nemen. Het Dutch Institute for Vulnerability Disclosure voerde een scan uit op internet en ontdekte nog ruim 16.000 kwetsbare, ongepatchte Remote Desktop Gateways, zo meldt beveiligingsonderzoeker Victor Gevers.