Microsoft heeft een zeer ernstig lek in de Remote Desktop functie van Windows gepatcht, waardoor het zeer eenvoudig is voor cybercriminelen om computer over te nemen. De Remote Desktop laat gebruikers vanaf een andere locatie op de computer inloggen. Standaard staat deze optie niet ingeschakeld. Is dat wel het geval, dan volstaat het voor een aanvaller om een request naar de computer te sturen, waarna het mogelijk is om willekeurige code uit te voeren. Voor de aanval is geen enkele authenticatie vereist. Het probleem speelt in alle ondersteunde Windows-versies.
Zoals gezegd staat Remote Desktop (Extern Bureaublad in het Nederlands) standaard niet ingeschakeld. Vanwege de populariteit van de optie en de zeer aantrekkelijke aanvalsvector voor cybercriminelen, verwacht Microsoft dat er binnen een maand een exploit zal zijn ontwikkeld die het lek misbruikt. Volgens Microsoft is de ontwikkeling van een exploit niet eenvoudig.
"Het zou ons verrassen als we een exploit in de komende dagen zullen zien. We verwachten wel dat er binnen 30 dagen een exploit zal zijn ontwikkeld", zegt Jonathan Ness van MSRC Engineering. Microsoft, dat het lek direct gerapporteerd kreeg, zegt niet van misbruik op de hoogte te zijn.
Oplossing
Voor bedrijven die eerst de beveiligingsupdate willen testen, is er een workaround, namelijk het inschakelen van Network Level Authentication (NLA). Dit is aanwezig op Windows Vista en nieuwer en zorgt ervoor dat de gebruiker zich moet authenticeren voordat de remote desktop sessie wordt opgezet. Aangezien de kwetsbare code nog steeds op de computer aanwezig is, zou een aanvaller nog steeds willekeurige code kunnen uitvoeren, maar moet die zich eerst authenticeren.
Als tijdelijke oplossing heeft Microsoft een fix-it oplossing beschikbaar gesteld die NLA inschakelt. Dit heeft geen effect op Vista en nieuwere Windows-versies, maar zorgt ervoor dat Windows XP en Windows Server 2003 clients geen verbinding kunnen maken. In het geval dit toch nodig is, adviseert Microsoft om op elke Windows XP machine ondersteuning voor de Credential Security Support Provider (CredSSP) te installeren.
Worm
Vanwege de ernst van de situatie raadt Microsoft iedereen dringend aan om beveiligingsupdate MS12-020 zo snel als mogelijk te installeren. Dit kan via Windows Update en de Automatische Update functie.
Vorig jaar vond er nog een uitbraak van de Morto-worm plaats. Deze worm gebruikte zwakke wachtwoorden om toegang tot systemen te krijgen. Een potentiële worm zou via het huidige lek alleen verbinding met een computer hoeven te maken waarop Remote Desktop draait om die vervolgens over te nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.