image

Securitytool Metasploit krijgt scanner voor Windows RDP-lek

maandag 3 juni 2019, 10:44 door Redactie, 4 reacties

De populaire securitytool Metasploit is voorzien van een scanner waarmee beheerders kunnen kijken of er binnen hun organisatie nog systemen zijn die via een beveiligingslek in Remote Desktop Services (RDS) van Windows zijn over te nemen, zonder deze systemen tijdens de test te laten crashen.

Het beveiligingslek in RDS werd op 14 mei door Microsoft gepatcht. Recentelijk bleek dat er bijna een miljoen computers die via internet toegankelijk zijn de beveiligingsupdate nog altijd niet geïnstalleerd hebben. Aanleiding voor Microsoft om Windowsgebruikers nogmaals op te roepen om de patch te installeren, aangezien anders een worm deze systemen kan infecteren. Volgens de softwaregigant zijn er waarschijnlijk nog veel meer systemen binnen organisaties niet gepatcht.

Zodra één machine binnen een dergelijke organisatie door malware wordt besmet lopen ook deze nog ongepatchte systemen risico. Malware hoeft alleen via het remote desktopprotocol (RDP) verbinding met kwetsbare systemen te maken. Er is geen interactie van de gebruiker vereist en de malware hoeft niet over geldige inloggegevens te beschikken.

De afgelopen dagen verschenen er verschillende scanners waarmee het mogelijk is om netwerken op kwetsbare systemen te controleren. Deze scanners kunnen de kwetsbare systemen echter laten crashen, waardoor er een denial of service ontstaat. Twee ontwikkelaars met het alias zerosum0x0 en JaGoTu hebben nu een module voor Metasploit ontwikkeld waarmee het mogelijk is om systemen te testen zonder die te laten crashen. Eerder kwam één van de ontwikkelaars met een scanner voor het beveiligingslek waar de WannaCry-ransomware misbruik van maakte.

Metasploit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken. Het wordt ontwikkeld door securitybedrijf Rapid7 en is geliefd bij penetratietesters en securityprofessionals. Een community van ontwikkelaars maakt allerlei aanvullende modules voor de tool, waarmee de functionaliteit verder wordt vergroot.

Reacties (4)
04-06-2019, 10:51 door Anoniem
Inmiddels zijn er ook Proof-of-Concept crash exploits uitgebracht. Zie https://github.com/n1xbyte/CVE-2019-0708. Het uitvoeren van deze exploit op een kwetsbare server veroorzaakt direct een BSOD.

Het zal niet lang meer duren voordat er "bruikbare" exploits verschijnen, zoals een reverse shell met admin rechten. Dan zal het waarschijnlijk binnen een paar maanden worden ingezet als weaponized/wormable exploit zoals WannaCry, waar Microsoft ook voor heeft gewaarschuwd.
04-06-2019, 12:16 door Anoniem
Nog geen reacties?

Wie van de WhiteHats gaat er een worm maken die zich zo goed als WannaCry doet verspreiden via het RDP protocol door middel van een RCE een specifiek stukje code doet uitvoeren maar dan in plaats van schaden aanrichten de lek alleen doet patchen en zich dan weer doet deïnstalleren en een kleine melding achterlaat voor de luie IT ezel die niet weet hoe hij moet patchen.

#sockpuppet
05-06-2019, 11:44 door Anoniem
Door Anoniem: Nog geen reacties?

Wie van de WhiteHats gaat er een worm maken die zich zo goed als WannaCry doet verspreiden via het RDP protocol door middel van een RCE een specifiek stukje code doet uitvoeren maar dan in plaats van schaden aanrichten de lek alleen doet patchen en zich dan weer doet deïnstalleren en een kleine melding achterlaat voor de luie IT ezel die niet weet hoe hij moet patchen.

#sockpuppet
dat is erg dom als je dat maakt.

Dus je hebt code die succesvol illegaal inbreekt in een systeem, waarmee de auteur gevangenisstraf of wat dan ook riskeert ,en dan ga je daarmee domme/luie/gierige it admins helpen, terwijl je met bijna dezelfde code ook miljoenen kunt verdienen? Net zoveel jail-time, maar dan in ieder geval met veel geld/coke/vrouwen om aan terug te denken.
08-06-2019, 13:08 door Anoniem
Als ik naar die 'module voor Metaspoit' (op github) ga dan krijg ik direct een smartscreen waarschuwing dat de pagina niet veilig is. Weten jullie zeker dat de code geen malware bevat?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.