image

Microsoft dicht gapend gat in Windows Remote Desktop

dinsdag 13 maart 2012, 21:15 door Redactie, 10 reacties

Microsoft heeft een zeer ernstig lek in de Remote Desktop functie van Windows gepatcht, waardoor het zeer eenvoudig is voor cybercriminelen om computer over te nemen. De Remote Desktop laat gebruikers vanaf een andere locatie op de computer inloggen. Standaard staat deze optie niet ingeschakeld. Is dat wel het geval, dan volstaat het voor een aanvaller om een request naar de computer te sturen, waarna het mogelijk is om willekeurige code uit te voeren. Voor de aanval is geen enkele authenticatie vereist. Het probleem speelt in alle ondersteunde Windows-versies.

Zoals gezegd staat Remote Desktop (Extern Bureaublad in het Nederlands) standaard niet ingeschakeld. Vanwege de populariteit van de optie en de zeer aantrekkelijke aanvalsvector voor cybercriminelen, verwacht Microsoft dat er binnen een maand een exploit zal zijn ontwikkeld die het lek misbruikt. Volgens Microsoft is de ontwikkeling van een exploit niet eenvoudig.

"Het zou ons verrassen als we een exploit in de komende dagen zullen zien. We verwachten wel dat er binnen 30 dagen een exploit zal zijn ontwikkeld", zegt Jonathan Ness van MSRC Engineering. Microsoft, dat het lek direct gerapporteerd kreeg, zegt niet van misbruik op de hoogte te zijn.

Oplossing
Voor bedrijven die eerst de beveiligingsupdate willen testen, is er een workaround, namelijk het inschakelen van Network Level Authentication (NLA). Dit is aanwezig op Windows Vista en nieuwer en zorgt ervoor dat de gebruiker zich moet authenticeren voordat de remote desktop sessie wordt opgezet. Aangezien de kwetsbare code nog steeds op de computer aanwezig is, zou een aanvaller nog steeds willekeurige code kunnen uitvoeren, maar moet die zich eerst authenticeren.

Als tijdelijke oplossing heeft Microsoft een fix-it oplossing beschikbaar gesteld die NLA inschakelt. Dit heeft geen effect op Vista en nieuwere Windows-versies, maar zorgt ervoor dat Windows XP en Windows Server 2003 clients geen verbinding kunnen maken. In het geval dit toch nodig is, adviseert Microsoft om op elke Windows XP machine ondersteuning voor de Credential Security Support Provider (CredSSP) te installeren.

Worm
Vanwege de ernst van de situatie raadt Microsoft iedereen dringend aan om beveiligingsupdate MS12-020 zo snel als mogelijk te installeren. Dit kan via Windows Update en de Automatische Update functie.

Vorig jaar vond er nog een uitbraak van de Morto-worm plaats. Deze worm gebruikte zwakke wachtwoorden om toegang tot systemen te krijgen. Een potentiële worm zou via het huidige lek alleen verbinding met een computer hoeven te maken waarop Remote Desktop draait om die vervolgens over te nemen.

Reacties (10)
13-03-2012, 21:54 door Sokolum
Ik heb deze manier van beheer nooit vertrouwd, tenminste, niet wanneer dit via het Internet beschikbaar werd gesteld. Als deze exploit niet eenvoudig is, wie zegt dan dat deze exploit niet opzettelijk is ingebracht.

Ik heb wel eens eerder verteld, ik vertrouw de exploits van MS niet, ik wantrouw ze omdat ik ervan denk dat deze opzettelijk zijn ingebracht. Maar dat niet één exploit, wel meerdere. Als er één wordt gevonden, dat bestaat er nog wel tien andere exploits. Wie zegt dat de windows update geen nieuwe exploits naaar binnen brengt, opzettelijk.

Zolang het geen opensource is, weten wij het niet.
(maak zelf gebruik van W7)
13-03-2012, 22:49 door Anoniem
Door Sokolum: Ik heb deze manier van beheer nooit vertrouwd, tenminste, niet wanneer dit via het Internet beschikbaar werd gesteld. Als deze exploit niet eenvoudig is, wie zegt dan dat deze exploit niet opzettelijk is ingebracht.

Ik heb wel eens eerder verteld, ik vertrouw de exploits van MS niet, ik wantrouw ze omdat ik ervan denk dat deze opzettelijk zijn ingebracht. Maar dat niet één exploit, wel meerdere. Als er één wordt gevonden, dat bestaat er nog wel tien andere exploits. Wie zegt dat de windows update geen nieuwe exploits naaar binnen brengt, opzettelijk.

Zolang het geen opensource is, weten wij het niet.
(maak zelf gebruik van W7)

Interessante gedachte ;-)
13-03-2012, 22:51 door Anoniem
@Sokolum zoek eerst eens op wat een exploit is, voordat je je mening deelt.
Ik denk dat je een lek bedoelt en dat je probeert te melden dat patches nieuwe lekken bevatten. Een exploit is code die een lek misbruikt ofwel "exploiteert".

Stel dat MS doelgericht lekken implementeert, dan valt MS nalatigheid te verwijten en in een sue-happy Amerika is het dan snel met MS gedaan. Elke klant heeft dan immers recht op een schadevergoeding, omdat elke klant gevaar loopt door nalatigheid van MS, met de grootte van het MS klantenbestand is het dan direct over en uit.
14-03-2012, 09:00 door SirDice
Door Sokolum: Ik heb deze manier van beheer nooit vertrouwd, tenminste, niet wanneer dit via het Internet beschikbaar werd gesteld.
Ik ook niet.

Als deze exploit niet eenvoudig is, wie zegt dan dat deze exploit niet opzettelijk is ingebracht.
Omdat Microsoft er zelf mee naar buiten komt?

Ik heb wel eens eerder verteld, ik vertrouw de exploits van MS niet, ik wantrouw ze omdat ik ervan denk dat deze opzettelijk zijn ingebracht. Maar dat niet één exploit, wel meerdere. Als er één wordt gevonden, dat bestaat er nog wel tien andere exploits. Wie zegt dat de windows update geen nieuwe exploits naaar binnen brengt, opzettelijk.
Is dat een onderbuik gevoel of kun je dat ook aantonen? Er zitten elke dag honderden, zoniet duizenden, 'hackers' in de code te roeren op zoek naar bugs. Denk je niet dat ze allang en breed gevonden zouden zijn?

Zolang het geen opensource is, weten wij het niet.
(maak zelf gebruik van W7)
Heb jij alle code voor bijv. de Linux kernel gelezen en begrepen? Er zijn maar weinig mensen die dat doen en zelfs die missen regelmatig wat. Begrijp me niet verkeerd, ik ben groot fan van opensource maar om te stellen dat dat, per definitie, geen exploits bevat is niet helemaal reeel.
14-03-2012, 09:18 door Preddie
Door SirDice:

Zolang het geen opensource is, weten wij het niet.
(maak zelf gebruik van W7)
Heb jij alle code voor bijv. de Linux kernel gelezen en begrepen? Er zijn maar weinig mensen die dat doen en zelfs die missen regelmatig wat. Begrijp me niet verkeerd, ik ben groot fan van opensource maar om te stellen dat dat, per definitie, geen exploits bevat is niet helemaal reeel. [/quote]
ik denk dat software per definitie geen exploits bevat, maar kwetsbaarheden waar je een exploit voor zou kunnen schrijven ......
14-03-2012, 10:41 door Anoniem
Wat ik zelf apart vind is dat deze bug november vorig jaar al bekend was:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0002
14-03-2012, 11:51 door SirDice
Door Predjuh:
Door SirDice:
Zolang het geen opensource is, weten wij het niet.
(maak zelf gebruik van W7)
Heb jij alle code voor bijv. de Linux kernel gelezen en begrepen? Er zijn maar weinig mensen die dat doen en zelfs die missen regelmatig wat. Begrijp me niet verkeerd, ik ben groot fan van opensource maar om te stellen dat dat, per definitie, geen exploits bevat is niet helemaal reeel.
ik denk dat software per definitie geen exploits bevat, maar kwetsbaarheden waar je een exploit voor zou kunnen schrijven ......
Mee eens, ik probeerde in dezelfde taal te reageren als Sokolum. Laten we het op achterdeurtjes of bewust exploiteerbare bugs houden ;)
14-03-2012, 16:51 door Anoniem
Hadden ze dit niet eerder in de patch dinsdag mee kunnen nemen?.
Maar goed blij dat ik Linux gebruik op zowel de laptop als pc.
15-03-2012, 08:58 door SirDice
Door Anoniem: Hadden ze dit niet eerder in de patch dinsdag mee kunnen nemen?.
Hoe bedoel je? Het zit juist in deze patch dinsdag.
15-03-2012, 09:56 door Mysterio
Door Anoniem: Hadden ze dit niet eerder in de patch dinsdag mee kunnen nemen?.
Maar goed blij dat ik Linux gebruik op zowel de laptop als pc.
Als je niet kan lezen, hoe kun je dan ooit Linux gebruiken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.