Bijna 1 miljoen Windows-systemen kwetsbaar door RDP-lek
Bijna 1 miljoen Windows-systemen die via internet toegankelijk zijn missen een belangrijke beveiligingsupdate die eerder deze maand verscheen en lopen zodoende risico om door een computerworm besmet te worden. Daarvoor waarschuwt beveiligingsonderzoeker Robert Graham.
Het gaat om een kwetsbaarheid in de Remote Desktop Service van Windows waardoor een aanvaller kwetsbare systemen kan overnemen. Hiervoor hoeft er alleen verbinding via het remote desktopprotocol te worden gemaakt. Er is geen interactie van slachtoffers vereist en de aanvaller hoeft niet over inloggegevens te beschikken.
Vanwege de ernst van het beveiligingslek besloot Microsoft ook niet meer ondersteunde besturingssystemen zoals Windows XP en Server 2003 van een noodpatch te voorzien. Op een schaal van 1 tot en met 10 wat betreft de ernst van het lek, werd het met een 9,8 beoordeeld. Ook waarschuwde de softwaregigant voor de mogelijkheid van een nieuwe WannaCry-achtige uitbraak. Vorige week liet antivirusbedrijf McAfee weten dat het een werkende exploit voor het beveiligingslek had ontwikkeld.
Graham wilde weten hoe groot de dreiging is en voerde een scan uit op internet, waarbij er specifiek op poort 3389 werd gescand. Dit is de standaardpoort die wordt gebruikt om via het remote desktopprotocol verbinding te maken. Dit leverde zo'n 950.000 systemen op die via poort 3389 toegankelijk zijn en de beveiligingsupdate van Microsoft niet hebben geïnstalleerd.
"Dit houdt in dat wanneer de worm uitbreekt, die waarschijnlijk deze miljoen apparaten zal infecteren. Dit zal mogelijk zorgen voor een incident dat net zo schadelijk is als WannaCry en notPetya in 2017, en mogelijk erger, aangezien hackers sindsdien hun vaardigheden hebben verbeterd om deze dingen voor ransomware en andere narigheid te misbruiken", aldus Graham. Organisaties krijgen dan ook het dringende advies om de update zo snel als mogelijk te installeren.
Geeft dat afdoende bescherming tegen RDP?
Geeft dat afdoende bescherming tegen RDP?
Uitzetten is het veiligst.
Geeft dat afdoende bescherming tegen RDP?
Ja, iets wat niet draait kan niet van afstand 'gehacked' worden.
Geeft dat afdoende bescherming tegen RDP?
Meer dan voldoende, alleen "Remote Desktop Services" is al voldoende, overige heb je waarschijnlijk ook niet nodig dus kan geen kwaad.
Geeft dat afdoende bescherming tegen RDP?
Uitzetten is het veiligst.
Deze ook ?
Remote Access Auto Connection Manager
Remote Access Connection Manager .
Remote Desktop Configuration
Remote Desktop Services ->staat uit
Remote Desktop Services UserMode Port Redirector
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator Remote Registry
Geeft dat afdoende bescherming tegen RDP?
Vind je het erg als ik elke logica vind ontbreken?
Deze ook ?
Remote Procedure Call (RPC)
Zie:
https://support.microsoft.com/en-us/help/830071/some-windows-procedures-do-not-work-if-the-remote-procedure-call-servi
https://superuser.com/questions/616098/what-is-rpc-and-why-is-it-so-important
Geeft dat afdoende bescherming tegen RDP?
Vind je het erg als ik elke logica vind ontbreken?
Laat hem lekker vista gebruiken,de vraag is belangrijker,niet over
dat jij geirriteerd of verbaast bent en of waarom hij nog vista gebruikt.
Geeft dat afdoende bescherming tegen RDP?
Uitzetten is het veiligst.
Deze ook ?
Remote Access Auto Connection Manager
Remote Access Connection Manager .
Remote Desktop Configuration
Remote Desktop Services ->staat uit
Remote Desktop Services UserMode Port Redirector
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator Remote Registry
De eerste vijf zijn prima.
De laatste twee RPC en RPC Locator zijn niet nodig,
In je firewall kun je nog tcp 3389 toevoegen het te blokkeren.
Geeft dat afdoende bescherming tegen RDP?
Vind je het erg als ik elke logica vind ontbreken?
Ha Ha, wel grappig!
Ik heb een 10 jaar oude uitstekend werkende laptop (ACER) waarvan het BIOS het niet toestaat dat
er iets anders dan Vista op wordt geinstalleerd.
Ik ben echter zeer goed in staat om de boel zo goed als het kan dicht te timmeren en regelmatig
te controleren op onregelmatigheden. Maar de garantie dat je nooit wordt gehackt heb je echter nooit,
ook niet met de nieuwste upgrades.
Het probleem zit erin dat als RDP open staat, al je machines gevaar lopen zodra er aan de binnenkant één PC besmet raakt. Een realistisch scenario is dat een PC op je interne netwerk geïnfecteerd raakt via bijvoorbeed mail of een geïnfecteerde website. Vanuit die besmette PC vindt vervolgens - via de RDP kwetsbaarheid - infectie plaats naar machines op je interne netwerk.
Kortom, RDP open hebben staan aan de binnenkant van je netwerk brengt ook risico's met zich mee. Uitzetten als je het niet nodig hebt en zorgen dat de laatste patch geïnstalleerd is. Dat Microsoft zelfs voor XP nog een patch heeft uitgebracht, zegt genoeg over de ernst van deze kwetsbaarheid.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
