image

Onderzoekers demonstreren aanval op ernstig Windows RDP-lek

woensdag 22 mei 2019, 17:11 door Redactie, 7 reacties
Laatst bijgewerkt: 22-05-2019, 17:31

Onderzoekers van antivirusbedrijf McAfee hebben een aanval op een ernstig beveiligingslek in Windows gedemonstreerd dat eerder deze maand door Microsoft werd gepatcht. Via het lek kan een aanvaller kwetsbare systemen overnemen door alleen via het remote desktopprotocol (RDP) verbinding te maken.

Er is geen interactie van slachtoffers vereist en de aanvaller hoeft niet over inloggegevens te beschikken. Vanwege de ernst van het beveiligingslek besloot Microsoft ook niet meer ondersteunde besturingssystemen zoals Windows XP en Server 2003 van een noodpatch te voorzien. Op een schaal van 1 tot en met 10 wat betreft de ernst van het lek, werd het met een 9,8 beoordeeld. Op het moment dat de beveiligingsupdate verscheen was Microsoft nog niet bekend met exploits die misbruik van de kwetsbaarheid maken.

Afgelopen zaterdag meldde een beveiligingsonderzoeker van McAfee genaamd Valthek op Twitter dat hij een exploit had ontwikkeld, maar verdere details werden niet gegeven. Nu heeft McAfee meer details gegeven, waaronder een demonstratie van de exploit. Organisaties krijgen het advies om de beschikbare beveiligingsupdate zo snel als mogelijk te installeren en RDP niet buiten het eigen netwerk toegankelijk te maken en het intern te beperken.

In de aankondiging van de update liet Microsoft weten dat een worm misbruik van de kwetsbaarheid kan maken, waarbij er ook naar de WannaCry-ransomware werd gewezen. WannaCry maakte ook gebruik van een beveiligingslek in Windows. Een update voor deze kwetsbaarheid was al twee maanden beschikbaar, maar door veel organisaties niet geïnstalleerd, die zo door de malware besmet konden worden.

Image

Reacties (7)
22-05-2019, 18:12 door Anoniem
Big one.. Eerste echte grote remote exploit voor 3389? Hoelang al zou deze bekend zijn in de underground scene? Damn..
22-05-2019, 20:44 door [Account Verwijderd]
Door Anoniem: Big one.. Eerste echte grote remote exploit voor 3389? Hoelang al zou deze bekend zijn in de underground scene? Damn..

Ja... De leringh is dat je zelfs wanneer je denkt dat je volledig veilig was, je toch zwaar kwetsbaar blijkt te zijn geweest. Alles loggen dus en je logs goed controleren. En niet meer toestaan dan nodig, waar nodig. Etc.
23-05-2019, 11:46 door Anoniem
Door Kapitein Haddock: Alles loggen dus en je logs goed controleren.
Dat is voor een beetje bedrijf een vrijwel onmogelijke opgave door de databerg die dat oplevert, hetgeen leidt tot de aanschaf van event log auditing en analyzing software die dat proces automatiseert. Dan heb je dus weer een soort scanner in huis waarvan je maar hoopt dat hij de serieuze problemen op tijd detecteert (en niet te vaak vals alarm slaat).
23-05-2019, 13:15 door Anoniem
Big one.. Eerste echte grote remote exploit voor 3389? Hoelang al zou deze bekend zijn in de underground scene? Damn..

Benieuwder of deze al bekend was in de ''national security scene''.....
23-05-2019, 14:09 door [Account Verwijderd]
Door Anoniem:
Door Kapitein Haddock: Alles loggen dus en je logs goed controleren.
Dat is voor een beetje bedrijf een vrijwel onmogelijke opgave door de databerg die dat oplevert, hetgeen leidt tot de aanschaf van event log auditing en analyzing software die dat proces automatiseert. Dan heb je dus weer een soort scanner in huis waarvan je maar hoopt dat hij de serieuze problemen op tijd detecteert (en niet te vaak vals alarm slaat).

Tja, je hebt waarschijnlijk gelijk. Wat niet weet wat niet deert dan maar?
23-05-2019, 14:38 door Anoniem
Jammer dat de Windows XP -patch van Microsoft alleen maar via het onveilige http-protocol is te downloaden.
Daar hebben ze dus bij het "Zachte Microscopische" (ZM, MS, wat maakt het uit) nou net eventjes niet aan gedacht.

Handtekening van het opgehaalde patch-bestand eerst nog maar eens goed controleren dus.
23-05-2019, 17:22 door Anoniem
Door Anoniem:
Door Kapitein Haddock: Alles loggen dus en je logs goed controleren.
Dat is voor een beetje bedrijf een vrijwel onmogelijke opgave door de databerg die dat oplevert, hetgeen leidt tot de aanschaf van event log auditing en analyzing software die dat proces automatiseert. Dan heb je dus weer een soort scanner in huis waarvan je maar hoopt dat hij de serieuze problemen op tijd detecteert (en niet te vaak vals alarm slaat).

Daar zijn prima tools voor in de handel, kost een paar centen maar dan heb je ook iets.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.