Vorig jaar bracht Microsoft een beveiligingsupdate voor Windows uit, maar doordat bedrijven en organisaties de update niet goed uitrollen vinden er nog steeds aanvallen plaats die van de onderliggende kwetsbaarheid gebruik maken. Daarvoor waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).
De kwetsbaarheid wordt veroorzaakt door de manier waarop Active Directory wachtwoorden verspreidt die via Group Policy preferences zijn geconfigureerd. Via Group Policies kunnen systeembeheerders Windowscomputers beheren en allerlei zaken configureren en instellen. Om van het beveiligingslek gebruik te kunnen maken moet een aanvaller eerst toegang tot een gebruikersaccount op het domein hebben.
Als er vervolgens via Group Policy preferences een lokaal beheerderswachtwoord of inloggegevens voor een netwerkschijf, een geplande taak of het configureren van een service is ingesteld, kan een aanvaller het wachtwoord dat in Group Policy preferences is opgeslagen achterhalen en ontsleutelen. Met deze gegevens kan een aanvaller een nieuwe lokale- of domeinbeheerder aanmaken en zo verhoogde rechten op het domein krijgen. Uiteindelijk kan een aanvaller op deze manier malware installeren, nieuwe accounts aanmaken of andere acties uitvoeren.
Volgens het US-CERT vinden er nog steeds aanvallen plaats die van onveilig opgeslagen wachtwoorden in Group Policy preferences gebruik maken, doordat beveiligingsupdate MS14-025 niet goed is uitgerold. Ook al hebben systeembeheerders de patch geïnstalleerd, dan lopen ze nog steeds risico als ze niet alle wachtwoorden die eerst waren opgeslagen hebben verwijderd.
Een aanvaller kan de wachtwoorden, die voor het uitrollen van de patch al waren opgeslagen, namelijk ontsleutelen en zo zijn rechten verhogen. Het US-CERT adviseert systeembeheerders dan ook om het PowerShell-script te gebruiken dat Microsoft aanbiedt en de instructies over het verwijderen van wachtwoorden te volgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.