Federale overheid VS moet lek in Windows DNS Server binnen 24 uur patchen
Het Amerikaanse ministerie van Homeland Security heeft een zogeheten "emergency directive" uitgegeven waarin federale overheidsinstanties worden opgedragen om een ernstige kwetsbaarheid in Windows DNS Server binnen 24 uur te patchen. Federale overheidsinstanties zijn verplicht om aan emergency directives te voldoen.
Afgelopen dinsdagavond kwam Microsoft met een beveiligingsupdate voor de kwetsbaarheid, die bekendstaat als CVE-2020-1350, maar ook wel "SigRed" wordt genoemd. Via het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, kan een aanvaller op afstand kwetsbare servers overnemen. Volgens Microsoft zou een computerworm misbruik van het lek kunnen maken, waarbij systemen automatisch en zonder enige interactie van gebruikers worden geïnfecteerd.
Het Cybersecurity and Infrastructure Security Agency (CISA), het onderdeel van Homeland Security dat de emergency directive heeft uitgegeven, zegt nog niet bekend te zijn met aanvallen die misbruik van de kwetsbaarheid maken. Aan de hand van de beschikbaar gestelde beveiligingsupdate zouden aanvallers het beveiligingslek kunnen achterhalen om daar vervolgens exploits voor te ontwikkelen.
Volgens het CISA vormt de kwetsbaarheid een onacceptabel risico voor de civiele "executive branch" van de federale overheid, waar de meeste federale overheidsinstanties onder vallen. Er moet dan ook direct actie worden ondernomen. In de emergency directive die gisteren werd uitgegeven krijgen federale overheidsinstanties 24 uur om de beveiligingsupdate te installeren of Register-gebaseerde workaround door te voeren voor Windows-servers die als dns-server worden gebruikt. Volgende week vrijdag moet de beveiligingsupdate op alle Windows-servers zijn geïnstalleerd.
Uiterlijk aanstaande maandagmiddag moeten overheidsinstanties een statusrapport aan het CISA doorgeven, gevolgd door een definitief rapport uiterlijk vrijdag 24 juli. In dit rapport moet staan dat de beveiligingsupdate op alle servers is uitgerold. Hoewel de emergency directive alleen voor de federale overheid geldt, adviseert het CISA staat en lokale overheden, bedrijven en andere organisaties om de update zo snel als mogelijk te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.