Ernstig lek in 1100 Nederlandse Remote Desktop Gateways
Microsoft publiceerde op 14 januari een beveiligingsupdate voor twee ernstige kwetsbaarheden in de Windows Remote Desktop Gateway, maar twee weken later zijn er nog altijd meer dan 1100 kwetsbare servers in Nederland via het internet toegankelijk.
Dat meldt het Nederlands Security Meldpunt op basis van een scan. Wereldwijd gaat het om 16.000 servers waar de beschikbare beveiligingsupdate niet is geïnstalleerd. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. Twee kwetsbaarheden in de software maken het mogelijk voor een aanvaller om kwetsbare gateways over te nemen.
Alleen het versturen van speciaal geprepareerde requests is voldoende. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP volstaat. Inmiddels is er ook een proof-of-concept exploit ontwikkeld waarmee kwetsbare gateways zijn over te nemen. Een exploit waarmee gateways zijn plat te leggen staat inmiddels online. De onderzoeker die de remote code execution-exploit ontwikkelde komt binnenkort met een blogposting waarin hij meer informatie zal geven.
Organisaties krijgen het advies om de update zo snel als mogelijk te installeren en anders de gateway niet direct aan het internet te hangen en bijvoorbeeld een vpn te gebruiken. Vooralsnog zijn er geen aanvallen waargenomen die misbruik van de kwetsbaarheid maken, maar dat lijkt een kwestie van tijd. "Er is een grote waarschijnlijkheid dat de kwetsbaarheid misbruikt gaat worden door kwaadwillenden", aldus het Security Meldpunt.
"14-01-2020 Microsoft Patch Tuesday publiceert patches voor kwetsbaarheden CVE-2020-0609 en CVE-2020-0610"
"27-01-2020 POC (proof of concept) waarmee systeem kan worden overgenomen aangekondigd"
"27-01-2020 Er wordt gestart met informeren van Nederlandse systeem eigenaren"
Dit is een uitstekende actie van het Nederlands Security Meldpunt (DIVD Dutch Institute for Vulnerability Disclosure), zij springen in het gat dat het NCSC laat liggen. Het NCSC informeert namelijk alleen actief bedrijven en instellingen die behoren tot de "vitale infrastructuur".
Maar mijn "douze points" minpuntjes gaan naar de beheerders van de 1137 gevonden kwetsbare Microsoft RDP Gateway servers, die de Microsoft Patch van 14 januari (nog) niet hebben uitgevoerd, we zijn nu toch 14 dagen verder ....
Bijna een maand na het bekendworden van de Citrix-kwetsbaarheid hebben we nu te maken met deze Microsoft RDP Gateway server kwetsbaarheid. Zoek de verschillen en overeenkomsten. Ooops ...
"14-01-2020 Microsoft Patch Tuesday publiceert patches voor kwetsbaarheden CVE-2020-0609 en CVE-2020-0610"
"27-01-2020 POC (proof of concept) waarmee systeem kan worden overgenomen aangekondigd"
"27-01-2020 Er wordt gestart met informeren van Nederlandse systeem eigenaren"
Dit is een uitstekende actie van het Nederlands Security Meldpunt (DIVD Dutch Institute for Vulnerability Disclosure), zij springen in het gat dat het NCSC laat liggen. Het NCSC informeert namelijk alleen actief bedrijven en instellingen die behoren tot de "vitale infrastructuur".
Maar mijn "douze points" minpuntjes gaan naar de beheerders van de 1137 gevonden kwetsbare Microsoft RDP Gateway servers, die de Microsoft Patch van 14 januari (nog) niet hebben uitgevoerd, we zijn nu toch 14 dagen verder ....
Bijna een maand na het bekendworden van de Citrix-kwetsbaarheid hebben we nu te maken met deze Microsoft RDP Gateway server kwetsbaarheid. Zoek de verschillen en overeenkomsten. Ooops ...
Overeenkomst: Amerikaanse producten voorzien van standaard NSA backdoor, welke geupgrade is en de oude dus niet meer nodig is, en 'gepubliceerd' kan worden?
Natuurlijk moet je de certificaten vervangen (belangrijker nog, de private Keys) op een gehackt systeem. Maar je kan van een mug ook een olifant maken.
CVE-2020-0610: To exploit this vulnerability, an attacker would need to send a specially crafted request to the target systems RD Gateway via RDP.
Een Terminal Services Gateway of Remote Desktop Gateway benader je niet van buitenaf via RDP, maar via HTTPS, althans als je die RD Gateway goed hebt opgezet.
Dus van buitenaf exploiten lijkt me lastig ?
"14-01-2020 Microsoft Patch Tuesday publiceert patches voor kwetsbaarheden CVE-2020-0609 en CVE-2020-0610"
"27-01-2020 POC (proof of concept) waarmee systeem kan worden overgenomen aangekondigd"
"27-01-2020 Er wordt gestart met informeren van Nederlandse systeem eigenaren"
Dit is een uitstekende actie van het Nederlands Security Meldpunt (DIVD Dutch Institute for Vulnerability Disclosure), zij springen in het gat dat het NCSC laat liggen. Het NCSC informeert namelijk alleen actief bedrijven en instellingen die behoren tot de "vitale infrastructuur".
Maar mijn "douze points" minpuntjes gaan naar de beheerders van de 1137 gevonden kwetsbare Microsoft RDP Gateway servers, die de Microsoft Patch van 14 januari (nog) niet hebben uitgevoerd, we zijn nu toch 14 dagen verder ....
Bijna een maand na het bekendworden van de Citrix-kwetsbaarheid hebben we nu te maken met deze Microsoft RDP Gateway server kwetsbaarheid. Zoek de verschillen en overeenkomsten. Ooops ...
Overeenkomst: Amerikaanse producten voorzien van standaard NSA backdoor, welke geupgrade is en de oude dus niet meer nodig is, en 'gepubliceerd' kan worden?
Zou kunnen, maar wie zal het zeggen?
Overeenkomst 2: Een Black box" is per definitie ondoorzichtig (een "clear box or glass box" is transparant).
Overeenkomst 3: Backdoors van de NSA worden ondersteund door "gag-orders" (dwangbevelen) ... zodat niemand praat.
Eens dat dit inderdaad een prima actie is.
Maar NCSC laat niets liggen. Ze *mogen* het niet, want wetgeving, opdracht, enz.
Eens dat dit inderdaad een prima actie is.
Maar NCSC laat niets liggen. Ze *mogen* het niet, want wetgeving, opdracht, enz.
Dat het NCSC geen bevoegdheid heeft om actief bedrijven en instellingen te informeren die niet behoren tot de "vitale infrastructuur", was ook precies wat Ronald Prins zei in Nieuwsuur.
Mijn formulering was dus inderdaad vollediger geweest als volgt: ".. zij (DIVD) springen in het gat dat het NCSC laat liggen. Het NCSC wordt beperkt door de huidige regelgeving .."
De oplossing zou zijn de bevoegdheid van het NCSC uit te breiden naar die sectoren, die volgens de huidige definitie niet onder de "vitale infrastructuur" vallen. De kennis, waakzaamheid en alertheid is al aanwezig, alleen de reikwijdte van de berichten van het NCSC is nu te beperkt door juridische regels. Daar kan de wetgever (Tweede Kamer) mogelijke knelpunten oplossen?
Want het is mij onduidelijk waarom het DIVD wel (en het NCSC niet) bedrijven en instellingen buiten de "vitale infrastructuur" mag waarschuwen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.