image

Hackertool misbruikt Windows RDP-lek

dinsdag 20 maart 2012, 10:38 door Redactie, 3 reacties

Er is een module voor de populaire hackertool Metasploit verschenen, die het mogelijk maakt om Windows computer met Remote Desktop te laten crashen. Het gaat om computers die niet de laatste beveiligingsupdates voor Windows hebben geïnstalleerd. Vorige week publiceerde Microsoft MS12-020, een update voor een zeer ernstige kwetsbaarheid in de Windows Remote Desktop-functie. Via de kwetsbaarheid hoeft een aanvaller alleen een pakketje naar een computer met Remote Desktop te sturen om die vervolgens over te nemen.

Al gauw verscheen er exploitcode die ongepatchte computers met Remote Desktop liet crashen, maar het uitvoeren van willekeurige code niet mogelijk maakte. Die exploitcode is nu aan Metasploit toegevoegd. Metasploit is een framework waarbij security professionals de veiligheid van systemen en netwerken kunnen testen.

Populatie
Beveiligingsexpert Dan Kaminsky scande 300 miljoen IP-adres, ongeveer 8,3% van het internet, en ontdekte dat 415.000 het Remote Desktop protocol "spraken". Kamsinsky extrapoleerde de cijfers naar het gehele internet en schat dat er zo'n vijf miljoen computers met Remote Desktop zijn ingeschakeld.

Verminderde rechten
Microsoft merkt op dat het in dit geval niet uitmaakt als Windows-computers met verminderde rechten draaien. Een vaak gehoord advies om de impact van malware of aanvallen te beperken. In dit geval draait de Remote Desktop service namelijk met systeemrechten.

Een aanvaller die de service overneemt krijgt deze rechten voor het uitvoeren van zijn kwaadaardige code. Het is niet mogelijk om de rechten van Remote Desktop aan te passen zodat ze met verminderde rechten draaien.

Reacties (3)
20-03-2012, 10:54 door Anoniem
Ik hoop dat hier serieus aandacht aan wordt besteedt.

Zelfs als bedrijven extern niet benaderbaar zijn dan lopen ze via het interne netwerk nu verhoogde aanzienlijke risico's.

Want nu is het wel heel makkelijk geworden om in te breken op bedrijfssystemen als schoonmakertje.
20-03-2012, 11:20 door Anoniem
Elke kwetsbaarheid verdient serieuze aandacht. Het tippingpoint is nog niet bereikt dus voorlopig is het meer van het zelfde en dat zal nog wel even zo blijven. Volgende week weer een nieuwe ergste risico...

Hop, hop, aan het werk IT security nerdje. Beetje respect voor de mensen die elke dag jouw broodkruimels opruimen graag!
20-03-2012, 14:05 door eXpL0iT.be
Wat Kaminsky heeft gedaan is allemaal mooi en wel maar eigenlijk niet echt relevant. Hoeveel van deze hosts zijn echt up to date op het gebied van Windows Update. That's the real question.
Wireshark draait hier op TCP 3389, tot nu toe enkel wat SYN scans (SYN, SYN ACK, RST).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.