Ruim 800.000 computers kwetsbaar voor BlueKeep-lek
Ruim twee maanden na het uitkomen van een belangrijke beveiligingsupdate voor een ernstige kwetsbaarheid in Windows blijken nog altijd meer dan 800.000 computers de patch niet te hebben geïnstalleerd. De machines lopen daardoor risico om op afstand te worden overgenomen.
De kwetsbaarheid wordt BlueKeep genoemd en bevindt zich in de Remote Desktop Services van Windows. Een aanvaller hoeft alleen verbinding via het remote desktopprotocol te maken om de machine over te nemen. Er is geen interactie van slachtoffers vereist en de aanvaller hoeft niet over inloggegevens te beschikken. Sinds het uitkomen van de beveiligingsupdate zijn er verschillende exploits verschenen waarmee het mogelijk is om kwetsbare systemen te laten crashen of over te nemen.
Daadwerkelijke aanvallen zijn echter nog niet waargenomen. Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Sindsdien is de situatie iets verbeterd, want begin deze maand telde securitybedrijf BitSight 805.000 kwetsbare machines. Een afname van zo'n 170.000 computers in vergelijking met de telling van eind mei. Een deel van die afname is te danken aan 92.000 systemen die sindsdien zijn gepatcht.
De meeste kwetsbare machines werden bij bedrijven in de telecomsector waargenomen, gevolgd door onderwijsinstellingen en techbedrijven. De kwetsbaarheid is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008. Nieuwere Windowsversies zijn niet kwetsbaar. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.
Reacties (14)
Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.
Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.
17-07-2019, 15:43 door
DLans
Door En Rattshaverist:
Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.
Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.
Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.
Je maakt er ook wel een kunst van hoor Rattshaverist.
Per omgeving dient er een afweging gemaakt te worden wanneer patches geinstalleerd kunnen worden. Ik heb voor een bedrijf gewerkt waar de servers o.a. alle robots aanstuurde in de productie. We hebben ooit één keer problemen gehad met Windows updates die een dag eerder getest waren in ons testsysteem. Echter kwam de bug pas 2-3 dagen na het rebooten aan het licht doordat langzaam alle beschikbare poorten werden gebruikt.
Sindsdien installeert dat bedrijf eigenlijk vrijwel altijd direct die dinsdag/woensdag de updates op de testsystemen, en wacht het een week met de updates op de primaire systemen. Het installeren is verder een geautomatiseerd proces, en ik snap niet waarom andere bedrijven niet een vergelijkbare manier van werken hebben.
Een bepaald beleid of manier van werken staat los van welk OS dan ook. Twee maanden wachten is slecht of lui beheer, of het nou Windows/Linux is. Zelfs in het ziekenhuis waar ik gewerkt heb werd alles geautomatiseerd, en iemand deed achteraf alleen even een controle. Het is echt geen rocket science.
Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?
Door DLans:
Je maakt er ook wel een kunst van hoor Rattshaverist.
Per omgeving dient er een afweging gemaakt te worden wanneer patches geinstalleerd kunnen worden. Ik heb voor een bedrijf gewerkt waar de servers o.a. alle robots aanstuurde in de productie. We hebben ooit één keer problemen gehad met Windows updates die een dag eerder getest waren in ons testsysteem. Echter kwam de bug pas 2-3 dagen na het rebooten aan het licht doordat langzaam alle beschikbare poorten werden gebruikt.
Sindsdien installeert dat bedrijf eigenlijk vrijwel altijd direct die dinsdag/woensdag de updates op de testsystemen, en wacht het een week met de updates op de primaire systemen. Het installeren is verder een geautomatiseerd proces, en ik snap niet waarom andere bedrijven niet een vergelijkbare manier van werken hebben.
Een bepaald beleid of manier van werken staat los van welk OS dan ook. Twee maanden wachten is slecht of lui beheer, of het nou Windows/Linux is. Zelfs in het ziekenhuis waar ik gewerkt heb werd alles geautomatiseerd, en iemand deed achteraf alleen even een controle. Het is echt geen rocket science.
Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?
Omdat de softwaremaker dit default aan zet?Door En Rattshaverist:
Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.
Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.
Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.
Je maakt er ook wel een kunst van hoor Rattshaverist.
Per omgeving dient er een afweging gemaakt te worden wanneer patches geinstalleerd kunnen worden. Ik heb voor een bedrijf gewerkt waar de servers o.a. alle robots aanstuurde in de productie. We hebben ooit één keer problemen gehad met Windows updates die een dag eerder getest waren in ons testsysteem. Echter kwam de bug pas 2-3 dagen na het rebooten aan het licht doordat langzaam alle beschikbare poorten werden gebruikt.
Sindsdien installeert dat bedrijf eigenlijk vrijwel altijd direct die dinsdag/woensdag de updates op de testsystemen, en wacht het een week met de updates op de primaire systemen. Het installeren is verder een geautomatiseerd proces, en ik snap niet waarom andere bedrijven niet een vergelijkbare manier van werken hebben.
Een bepaald beleid of manier van werken staat los van welk OS dan ook. Twee maanden wachten is slecht of lui beheer, of het nou Windows/Linux is. Zelfs in het ziekenhuis waar ik gewerkt heb werd alles geautomatiseerd, en iemand deed achteraf alleen even een controle. Het is echt geen rocket science.
Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?
17-07-2019, 16:30 door
DLans
Door Anoniem: 800.000, het valt best mee als je naar het aantal pc's kijkt. :)
800.000 is wat de onderzoekers waarschijnlijk zelf kunnen scannen, intern bij bedrijven kan het potentieel nog veel meer zijn. Ik ben eigenlijk benieuwd naar de verhouding van operating systems. Zijn het voornamelijk Windows 7, of server 2008?
17-07-2019, 17:26 door
DLans
Door Anoniem:
Omdat de softwaremaker dit default aan zet?
Omdat de softwaremaker dit default aan zet?
Dat Microsoft in hun Windows producten RDP standaard aan heeft staan wil niet zeggen dat die servers dan opeens allemaal via het internet te bereiken zijn. Dat is een bewuste keuze die gemaakt wordt, door een firewall open te zetten. Dus nogmaals, WHY?
Omdat de softwaremaker dit default aan zet?
Microsoft heeft standaard RDP uitstaan op servers, dus wat DLans zegt, dan is het een bewuste keuze van het bedrijf. Waarom doet men dat?
Door DLans: Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?
Handig voor IT bij support en beheer?
Door DLans:
Dat Microsoft in hun Windows producten RDP standaard aan heeft staan wil niet zeggen dat die servers dan opeens allemaal via het internet te bereiken zijn. Dat is een bewuste keuze die gemaakt wordt, door een firewall open te zetten. Dus nogmaals, WHY?
Door Anoniem:
Omdat de softwaremaker dit default aan zet?
Omdat de softwaremaker dit default aan zet?
Dat Microsoft in hun Windows producten RDP standaard aan heeft staan wil niet zeggen dat die servers dan opeens allemaal via het internet te bereiken zijn. Dat is een bewuste keuze die gemaakt wordt, door een firewall open te zetten. Dus nogmaals, WHY?
Je hebt gelijk maar dat zal er bij mensen die dit soort dingen antwoorden toch niet in willen…….
Door En Rattshaverist:
Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.
Duidelijk is weer dat jij er niet zoveel hiervan snapt. Overduidelijk zelfs. Twee weken na het uitkomen van de beveiligingsupdate bleek dat er nog bijna één miljoen computers via internet toegankelijk waren die de update misten. Organisaties die de update nog niet hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen.
Kan niet zomaar (die patch installeren). Dat moet goed doordacht worden uitgerold en in de planning passen. Normaliter wacht men tot het einde van de maand. Dat schijnt beter te zijn volgens sommige professionals hier.
Door En Rattshaverist:
Handig voor IT bij support en beheer?
Nope. Waarom zou je dit zo doen? Dit valt gewoon onder het zelfde als "even een mongo database op mijn webserver installeren. Door DLans: Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?
Handig voor IT bij support en beheer?
Door Anoniem:
Omdat de softwaremaker dit default aan zet?
Microsoft heeft standaard RDP uitstaan op servers, dus wat DLans zegt, dan is het een bewuste keuze van het bedrijf. Waarom doet men dat?
Volgens mij ook op XP. Maar dat weet ik niet zeker meer. Te lang geleden dat ik hiermee gewerkt hebt. Alle instructies op Internet zeggen wel, dat je het eerst moet aanzetten. Omdat de softwaremaker dit default aan zet?
Microsoft heeft standaard RDP uitstaan op servers, dus wat DLans zegt, dan is het een bewuste keuze van het bedrijf. Waarom doet men dat?
Bij Windows 7 moet je ook specifiek de Windows firewall die standaard voor Public het RDP verkeer tegenhoud. Ook hier moet een dus een gebruiker of admin specifiek hier voor doen.
Door Anoniem:
Omdat de softwaremaker dit default aan zet?
Maar dit is niet het geval. Standaard staat het niet aan, en je hebt je Windows Firewall die het standaard tegenhoud. Omdat de softwaremaker dit default aan zet?
Nog afgezien de meeste devices standaard niet direct aan het Internet hangen. Men moet dan dus specifiek RDP forwarden naar de host.
Door Anoniem:
Door En Rattshaverist:
Handig voor IT bij support en beheer?
Nope. Waarom zou je dit zo doen? Dit valt gewoon onder het zelfde als "even een mongo database op mijn webserver installeren.Door DLans: Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?
Handig voor IT bij support en beheer?
Er zal toch wel een wachtwoord op die RDP staan? Bij MongoDB ging het vaak om totaal onbeveiligde databases. Via RDP kan IT gemakkelijk bij de systemen voor service of support.
18-07-2019, 16:03 door
DLans
Door En Rattshaverist:
Er zal toch wel een wachtwoord op die RDP staan? Bij MongoDB ging het vaak om totaal onbeveiligde databases. Via RDP kan IT gemakkelijk bij de systemen voor service of support.
Door Anoniem:
Door En Rattshaverist:
Handig voor IT bij support en beheer?
Nope. Waarom zou je dit zo doen? Dit valt gewoon onder het zelfde als "even een mongo database op mijn webserver installeren.Door DLans: Overigens is het patchen niet het ergste, schijnbaar hangen ruim 800.000 machines gewoon zo met RDP aan het internet. WHY?
Handig voor IT bij support en beheer?
Er zal toch wel een wachtwoord op die RDP staan? Bij MongoDB ging het vaak om totaal onbeveiligde databases. Via RDP kan IT gemakkelijk bij de systemen voor service of support.
Een RDP sessie vereist geen wachtwoord (in theorie). Als je een lokale gebruiker zou hebben zonder wachtwoord, wat vroeger in ieder geval wel kon, dan was een gebruikersnaam invullen voldoende. Nu is er geen enkel bedrijf waar ik kom die dat ook maar heeft, en ik vraag me af of het uberhaupt nog mogelijk zou zijn. Ik ben te lui om dat te gaan testen ..
Maar RDP wil je nog steeds niet aan het internet hangen. Zo min mogelijk attack surface/meer authenticatie stappen. Stop alle belangrijke zaken zoveel mogelijk achter een Direct Access/andere vpn oplossing.
Door DLans:Een RDP sessie vereist geen wachtwoord (in theorie). Als je een lokale gebruiker zou hebben zonder wachtwoord, wat vroeger in ieder geval wel kon, dan was een gebruikersnaam invullen voldoende. Nu is er geen enkel bedrijf waar ik kom die dat ook maar heeft, en ik vraag me af of het uberhaupt nog mogelijk zou zijn. Ik ben te lui om dat te gaan testen ..
Windows 10 laat geen RDP verbindingen toe, indien het account geen wachtwoord heeft. Volgens mij was dit eigenlijk in vorige versies ook zo. Maar heb ook geen zin om dit te testen.Maar RDP wil je nog steeds niet aan het internet hangen. Zo min mogelijk attack surface/meer authenticatie stappen. Stop alle belangrijke zaken zoveel mogelijk achter een Direct Access/andere vpn oplossing.
Helemaal mee eens. Er zijn mogelijkheden genoeg om RDP NIET direct aan het internet te plaatsen. Maar sommige doen het toch en patchen niet hun systemen. Ik heb daar ook geen medelijden voor. Het is gewoon vragen om problemen.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
