image

Microsoft verwijdert poort 445-advies voor kritieke Windows-kwetsbaarheid

vrijdag 22 april 2022, 12:48 door Redactie, 5 reacties

Microsoft kwam op 12 april met een beveiligingsupdate voor een kritieke kwetsbaarheid in Windows en een mitigatie-advies dat organisaties zou moeten beschermen, maar dit advies is niet volledig en nu verwijderd. Via het beveiligingslek in de Remote Procedure Call (RPC) runtime library kan een aanvaller zonder enige interactie van gebruikers controle over systemen krijgen. De kwetsbaarheid is in theorie te misbruiken door een computerworm.

De impact van de kwetsbaarheid, aangeduid als CVE-2022-26809, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Naast het installeren van de update adviseerde Microsoft als mitigatie om tcp-poort 445 op de perimeter-firewall te blokkeren, aangezien deze poort wordt gebruikt om verbinding met het kwetsbare Windows-onderdeel te maken. Door poort 445 te blokkeren worden systemen achter de firewall beschermd. Iets wat volgens Microsoft de beste bescherming is tegen aanvallen vanaf het internet.

In een update van het beveiligingsbulletin laat Microsoft weten dat de aangeraden mitigatie niet tegen alle potentiële aanvalsscenario's bescherming biedt. Het mitigatie-advies "Block TCP port 445 at the enterprise perimeter firewall" is dan ook verwijderd. Volgens Microsoft gebruikte de onderzoeker die de kwetsbaarheid rapporteerde SMB als aanvalsvector om het lek in de RPC-service te misbruiken. Het advies om poort 445 te blokkeren zou in dit geval effectief zijn.

"Hoewel het blokkeren van poorten 139 en 445 (SMB) op de perimeter-firewall een aanbevolen practice is, beschermt het niet tegen alle aanvalsscenario's voor deze specifieke kwetsbaarheid", laat Microsoft weten. Het techbedrijf is op dit moment niet bekend met andere specifieke aanvalsvectoren voor deze kwetsbaarheid. Verder stelt Microsoft dat het blokkeren van tcp-poort 135 op de firewall een aanbevolen practice is die ook de kans verkleint op potentiële andere aanvallen die van het genoemde Windows-lek misbruik maken.

Reacties (5)
22-04-2022, 12:52 door Anoniem
Welke idioot wil die poorten open hebben op de perimeter firewall? Begrijp je dan echt helemaal niets van security en kwetsbaarheden, en vooral van threat modeling? Microsoft zelf blijkbaar niet.
22-04-2022, 13:31 door Anoniem
Door Anoniem: Welke idioot wil die poorten open hebben op de perimeter firewall? Begrijp je dan echt helemaal niets van security en kwetsbaarheden, en vooral van threat modeling? Microsoft zelf blijkbaar niet.
Lees het artikel nog eens goed. Ze raden niet aan om de poorten open te zetten, ze hebben een advies dat niet alle situaties dekt ingetrokken en verwijzen naar een completer verhaal.
22-04-2022, 14:07 door Anoniem
Door Anoniem:
Door Anoniem: Welke idioot wil die poorten open hebben op de perimeter firewall? Begrijp je dan echt helemaal niets van security en kwetsbaarheden, en vooral van threat modeling? Microsoft zelf blijkbaar niet.
Lees het artikel nog eens goed. Ze raden niet aan om de poorten open te zetten, ze hebben een advies dat niet alle situaties dekt ingetrokken en verwijzen naar een completer verhaal.

De status van advies om de poorten niet open te zetten. Dat zou geen advies moeten zijn, ik snap niet dat jij dat niet snapt. Daar gaat het me om. Denk eens terug aan de ransomware aanvallen die vooral ziekenhuizen in de UK trof, dat ging allemaal via open poort 445 op het internet.
23-04-2022, 10:59 door Anoniem
Door Anoniem: Welke idioot wil die poorten open hebben op de perimeter firewall? Begrijp je dan echt helemaal niets van security en kwetsbaarheden, en vooral van threat modeling? Microsoft zelf blijkbaar niet.
Wel eens van een worm op het interne LAN gehoord? Infecties vinden plaats via driveby download op een win10 werkplek. Van daaruit wordt de worm intern uitgerold via o.a. port 445
Ondernemingen hebben die port echt niet naar het internet open staan. Iedereen weet dat je windows niet aan het internet moet hangen.
24-04-2022, 08:56 door Anoniem
Door Anoniem: Welke idioot wil die poorten open hebben op de perimeter firewall? Begrijp je dan echt helemaal niets van security en kwetsbaarheden, en vooral van threat modeling? Microsoft zelf blijkbaar niet.

Je moet voor de gein eens even kijken met Shodan hoeveel hobbybob prutsers hun firewalletje open hebben staan op het internet. Gewoon voor de grap even alleen Nederland.

En de ISP's die maakt het niets uit en dat is waar het fundamenteel fout gaat. Ik snap wel dat ze ongefilterd internet willen leveren, maar dat mag niet ten koste gaan van de veiligheid.
De mensheid is van het pleisters plakken en niet van de root cause aanpakken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.