De Amerikaanse geheime dienst NSA heeft beheerders van Windows-systemen opgeroepen om een kwetsbaarheid in Remote Desktop Services te patchen, aangezien de kans op misbruik van het beveiligingslek aan het toenemen is. Het lek is aanwezig in Windows XP en 7 en Server 2003 en 2008.
Vanwege de ernst van de kwetsbaarheid besloot Microsoft vorige maand om ook updates voor Windows XP en Server 2003 beschikbaar te maken, ook al worden deze Windowsversies niet meer ondersteund. Om het lek te misbruiken hoeft een aanvaller alleen via het remote desktopprotocol (RDP) verbinding met een kwetsbare machine te maken. Hiervoor hoeft de aanvaller niet over geldige inloggegevens te beschikken.
Uit onderzoek blijkt dat bijna een miljoen ongepatchte Windows-systemen via internet toegankelijk zijn. Deze machines lopen het risico om door een worm besmet te worden. Aanleiding voor Microsoft om vorige week nogmaals een oproep te doen om de beschikbare update te installeren. Nu komt ook de NSA met dergelijk advies. "We hebben vernietigende computerwormen schade aan ongepatchte systemen zien aanrichten met vergaande gevolgen, en we willen mensen motiveren om zich tegen dit lek te beschermen", zo laat de geheime dienst weten.
De NSA stelt dat dergelijke kwetsbaarheden vaak door aanvallers worden gebruikt om systemen aan te vallen. Zo maakt de geheime dienst zich zorgen dat aanvallers het lek zullen misbruiken om ransomware te verspreiden. Een soortgelijk scenario deed zich voor bij de WannaCry-ransomware, dat gebruikmaakte van een beveiligingslek dat door de NSA was ontdekt. Ook voor dit lek waren updates beschikbaar, maar die waren door tal van organisaties niet geïnstalleerd.
Afsluitend adviseert de NSA om tcp-poort 3389 op de firewall te blokkeren, Network Level Authentication (NLA) in te schakelen, aangezien aanvallers dan over geldige inloggegevens moeten beschikken om de aanval uit te voeren, en onnodige remote desktop services uit te schakelen. "Het uitschakelen van ongebruikte en onnodige diensten verkleint blootstelling aan kwetsbaarheden en is zelfs zonder de huidige dreiging een best practice", zo laat het advies weten. Voor organisaties die willen testen of ze kwetsbaar zijn is er een Metasploit-module verschenen.
Deze posting is gelocked. Reageren is niet meer mogelijk.