image

Duitsland: DejaBlue-lekken kunnen voor grote schade zorgen

donderdag 15 augustus 2019, 11:06 door Redactie, 7 reacties

Twee nieuwe beveiligingslekken in de Remote Desktop Services (RDS) van Windows, inmiddels DejaBlue genoemd, kunnen voor grote economische schade zorgen, zo waarschuwt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Microsoft kwam dinsdagavond met beveiligingsupdates voor de twee kwetsbaarheden. Via de lekken kan een aanvaller computers zonder enige interactie van de gebruiker overnemen. De aanvaller hoeft alleen via het Remote Desktopprotocol (RDP) verbinding te maken. Geldige inloggegevens zijn niet nodig. In mei kwam Microsoft met een updaete voor een andere kwetsbaarheid in RDS genaamd BlueKeep.

Hoewel updates voor dit lek al sinds mei beschikbaar zijn, zijn wereldwijd honderdduizenden machines die via internet toegankelijk zijn nog ongepatcht. In Duitsland gaat het om meer dan 10.000 machines. Het werkelijke aantal kwetsbare computers is waarschijnlijk veel groter, aangezien machines binnen bedrijfsnetwerken de updates waarschijnlijk ook missen, aldus het BSI.

De Duitse overheidsinstantie beschouwt de kwetsbaarheden in RDS als zeer ernstig en roept organisaties en gebruikers op om de beschikbare patches te installeren. "Deze kwetsbaarheden maken aanvallen mogelijk die voor grote economische schade kunnen zorgen en moeten daarom met prioriteit worden behandeld. Met een dergelijke opeenstapeling van kwetsbaarheden is het slechts een kwestie van tijd voordat er aanvallen vergelijkbaar met WannaCry zullen plaatsvinden", zegt BSI-directeur Arne Schönbohm.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie verwacht dat de kwetsbaarheden op zeer korte termijn zullen worden misbruikt door aanvallers. "Dergelijke kwetsbaarheden hebben de potentie om grootschalig te worden gebruikt, zo blijkt uit het verleden. Het NCSC benadrukt daarom dat het belangrijk is om deze update direct uit te voeren", zo laat de organisatie weten.

Reacties (7)
15-08-2019, 11:08 door Anoniem
Leuke naam voor het lek 'DejaBlue', ik heb er ook echt een Déjà Vu gevoel bij.
15-08-2019, 16:26 door Anoniem
Waarom zie ik in deze artiekelen nergens terugkomen dat dit ook opgevangen kan worden door NLA aan te zetten?
Dit heeft geen Reboot nodig en kan dus direct.

Natuurlijk moet je ook patchen, maar die kunnen vaak niet direct en hebben veel meer impact...
15-08-2019, 16:37 door karma4
Door Anoniem: Leuke naam voor het lek 'DejaBlue', ik heb er ook echt een Déjà Vu gevoel bij.
Ik ook, voornamelijk met het gebrek aan normale informatieveiligheidszaken welke een voorwaarde vormen om dat soort kwetsbaarheden van belang te laten zijn.
16-08-2019, 07:33 door Anoniem
Door karma4:
Door Anoniem: Leuke naam voor het lek 'DejaBlue', ik heb er ook echt een Déjà Vu gevoel bij.
Ik ook, voornamelijk met het gebrek aan normale informatieveiligheidszaken welke een voorwaarde vormen om dat soort kwetsbaarheden van belang te laten zijn.

Mijn Dèjá vu gevoel kwam meer voort uit het feit dat een gepatched lek nog steeds zo'n grote kwetsbaarheid bevat.
Dat een patch nog een probleempje kan bevatten komt vaker voor maar alleen bij Microsoft zie je dat patches voor zo'n gigantisch lek achteraf nog steeds zo gigantisch lek zijn.
16-08-2019, 11:26 door DLans
Door Anoniem:
Door karma4:
Door Anoniem: Leuke naam voor het lek 'DejaBlue', ik heb er ook echt een Déjà Vu gevoel bij.
Ik ook, voornamelijk met het gebrek aan normale informatieveiligheidszaken welke een voorwaarde vormen om dat soort kwetsbaarheden van belang te laten zijn.

Mijn Dèjá vu gevoel kwam meer voort uit het feit dat een gepatched lek nog steeds zo'n grote kwetsbaarheid bevat.
Dat een patch nog een probleempje kan bevatten komt vaker voor maar alleen bij Microsoft zie je dat patches voor zo'n gigantisch lek achteraf nog steeds zo gigantisch lek zijn.

Het betreft in dit geval ook de nieuwere versies van Windows, waar dat eerder nog de oudere versies waren.
16-08-2019, 14:49 door Anoniem
Door Anoniem: Waarom zie ik in deze artiekelen nergens terugkomen dat dit ook opgevangen kan worden door NLA aan te zetten?
Dit heeft geen Reboot nodig en kan dus direct.

Natuurlijk moet je ook patchen, maar die kunnen vaak niet direct en hebben veel meer impact...
Inderdaad, en behalve deze, mitigeerde je ook al BlueKeep en hoogstwaarschijnlijk ook toekomstige RDP-lekken waarbij authenticatie op RDP niet nodig is.
18-08-2019, 14:13 door Anoniem
Door Anoniem:
Door Anoniem: Waarom zie ik in deze artiekelen nergens terugkomen dat dit ook opgevangen kan worden door NLA aan te zetten?
Dit heeft geen Reboot nodig en kan dus direct.

Natuurlijk moet je ook patchen, maar die kunnen vaak niet direct en hebben veel meer impact...
Inderdaad, en behalve deze, mitigeerde je ook al BlueKeep en hoogstwaarschijnlijk ook toekomstige RDP-lekken waarbij authenticatie op RDP niet nodig is.

Uhm, NLA blokkeert de RDP aanval op een niet gepatched systeem indien uitgevoerd zonder geldige credentials. Dus niet als een op een andere manier overgenomen computer het interne netwerk gaat aanvallen vanuit een account die wel kan authentiseren.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
Workarounds
The following workaround may be helpful in your situation. In all cases, Microsoft strongly recommends that you install the updates for this vulnerability as soon as possible even if you plan to leave these workarounds in place:
1. Enable Network Level Authentication (NLA)
You can enable Network Level Authentication to block unauthenticated attackers from exploiting this vulnerability. With NLA turned on, an attacker would first need to authenticate to Remote Desktop Services using a valid account on the target system before the attacker could exploit the vulnerability.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.