NSA verwacht snel misbruik van crypto-lek in Windows
De Amerikaanse geheime dienst NSA verwacht dat er op korte termijn misbruik zal worden gemaakt van het crypto-lek in Windows waarvoor gisteren een beveiligingsupdate verscheen. Het beveiligingslek in Windows 10 en Server 2016/2019 werd door de NSA gevonden en aan Microsoft gerapporteerd.
Via de kwetsbaarheid is het mogelijk om man-in-the-middle-aanvallen op versleutelde verbindingen uit te voeren, en zo vertrouwelijke informatie te achterhalen, en malware te signeren waardoor het van een betrouwbare partij afkomstig lijkt. Volgens de NSA lopen Windowssystemen door de kwetsbaarheid risico om op meerdere manieren te worden aangevallen. Tevens stelt de Amerikaanse geheime dienst in een advisory dat aanvallers de onderliggende kwetsbaarheid "zeer snel" zullen begrijpen (pdf).
"De gevolgen van het niet patchen zijn ernstig en wijdverbreid. Remote aanvalstools zullen waarschijnlijk zeer snel en breed beschikbaar worden gemaakt. Het snel installeren van de update is de enige oplossing op dit moment en zou de primaire focus van alle netwerkeigenaren moeten zijn", aldus advies van de NSA. Organisaties en beheerders worden dan ook opgeroepen om de beschikbaar gemaakte beveiligingsupdates zo snel als mogelijk te installeren.
In de praktijk komt het nog altijd voor dat organisaties dergelijke waarschuwingen negeren en updates niet tijdig installeren. Voordat de WannaCry-ransomware zich via een kwetsbaarheid kon verspreiden waren organisaties gewaarschuwd voor het beveiligingslek, het online verschijnen van exploits die misbruik van de kwetsbaarheid maakte en daadwerkelijke aanvallen. Toch hadden tal van organisaties twee maanden na het uitkomen van de beveiligingsupdates die nog altijd niet geïnstalleerd.
daarnaast, als ik een omgeving heb waar uitvoerbare bestanden geblokkeerd worden voor executie, en aannemelijk heb dat een booswicht geen rogue WSUS server kan installeren/redirecten (want die zou een gesignede malware kunnen pushen),
dan zit ik toch goed?
ernstig, wijdverbreid, snel, en ook nog breed... ik wordt er bijna bang van.
Dat wil niet zeggen, dat je dit kunt versnellen. Maar het is heel normaal dat het updates pas een week later pas geïmplementeerd is/wordt in de productie infrastructuur.
Als je dit soort opmerkingen gaat maken, dan mis je bepaalde ervaringen hoe de meeste bedrijven werken. Maar dat zien we wel vaker hier.
daarnaast, als ik een omgeving heb waar uitvoerbare bestanden geblokkeerd worden voor executie, en aannemelijk heb dat een booswicht geen rogue WSUS server kan installeren/redirecten (want die zou een gesignede malware kunnen pushen),
dan zit ik toch goed?
ernstig, wijdverbreid, snel, en ook nog breed... ik wordt er bijna bang van.
Je zou bijna denken dat er geld mee gemoeid zou kunnen zijn. En waarom waarschuwt de NSA ipv MS?
Dat wil niet zeggen, dat je dit kunt versnellen. Maar het is heel normaal dat het updates pas een week later pas geïmplementeerd is/wordt in de productie infrastructuur.
Als je dit soort opmerkingen gaat maken, dan mis je bepaalde ervaringen hoe de meeste bedrijven werken. Maar dat zien we wel vaker hier.
Dat hoeft dus helemaal niet het geval te zijn. Mijn werkgever (en dat is niet bepaald een klein bedrijf) heeft versneld deze update getest en al uitgerold op alle W10 Enterprise pc's met een begeleidende email om vooral je pc te herstarten zodra deze daarom vraagt.
https://www.schneier.com/blog/archives/2020/01/critical_window.html
citaat: And -- seriously -- patch your systems now: Windows 10 and Windows Server 2016/2019. Assume that this vulnerability has already been weaponized, probably by criminals and certainly by major governments. Even assume that the NSA is using this vulnerability -- why wouldn't it?
In ons geval is het proces nu versneld en testen we 48 uur en gaan dan live. Dit gebeurt voor alle critical updates, zoals de RDP velnerabilities van enkele maanden gelden, en nu dit.
In de OTAP omgeving hebben we een mix van alle werkstation OS, server 2012-2019 en applicaties als IIS en SQL.
In ons geval is het proces nu versneld en testen we 48 uur en gaan dan live. Dit gebeurt voor alle critical updates, zoals de RDP velnerabilities van enkele maanden gelden, en nu dit.
In de OTAP omgeving hebben we een mix van alle werkstation OS, server 2012-2019 en applicaties als IIS en SQL.
In ons geval is het proces nu versneld en testen we 48 uur en gaan dan live. Dit gebeurt voor alle critical updates, zoals de RDP velnerabilities van enkele maanden gelden, en nu dit.
In de OTAP omgeving hebben we een mix van alle werkstation OS, server 2012-2019 en applicaties als IIS en SQL.
1) en door blind zonder een risico analyse dat protocol elke keer maar te volgen voelen we ons veilig... nietwaar?
2) waarom is dat uitgebreid protocol en OTAP testen uberhaupt uit voortgevloeid? zit daat niet het diepere oorsprong van een probleem?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
