Microsoft heeft eigenaren van oudere Windowsversies gewaarschuwd voor een zeer ernstig beveiligingslek waardoor aanvallers systemen op afstand kunnen overnemen, zonder interactie van gebruikers. De kwetsbaarheid is zo gevaarlijk dat Microsoft ook updates voor de niet meer ondersteunde Windowsversies Windows XP en Windows Server 2003 heeft uitgebracht.
De kwetsbaarheid bevindt zich in Remote Desktop Services, dat voorheen bekend stond als Terminal Services. Een aanvaller die via RDP verbinding met een systeem maakt en speciaal geprepareerde verzoeken stuurt kan het systeem volledig overnemen. Voor de aanvaller is het niet vereist om over een geldige login te beschikken. De kwetsbaarheid is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008.
Volgens Microsoft is het beveiligingslek door een computerworm te misbruiken. Een infectie kan zich zo van de ene naar de andere computer verspreiden, net zoals de WannaCry-malware deed. Microsoft verwacht dat aanvallers een exploit voor dit beveiligingslek zullen ontwikkelen om zo kwetsbare systemen te infecteren. Om een dergelijk scenario te voorkomen heeft de softwaregigant besloten om ook beveiligingsupdates voor de niet meer ondersteunde Windowsversies Windows XP en Server 2003 uit te brengen. Gebruikers van Windows 8 en Windows 10 zijn niet kwetsbaar.
Bij kwetsbare systemen die Network Level Authentication (NLA) hebben ingeschakeld kan een computerworm zich niet verspreiden. In dit geval moet een aanvaller over geldige inloggegevens beschikken voordat de kwetsbaarheid kan worden misbruikt. Systemen zijn echter nog steeds kwetsbaar om te worden overgenomen als de aanvaller kan inloggen. Tevens adviseert Microsoft het blokkeren van TCP-poort 3389.
In het beveiligingsbulletin over de kwetsbaarheid laat Microsoft weten dat het lek nog niet wordt aangevallen, maar dat misbruik waarschijnlijk is. Securitybedrijf ZDI adviseert organisaties dan ook om deze beveiligingsupdate meteen te testen en uit te rollen. Op de meeste ondersteunde systemen zal de update automatisch worden geïnstalleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.