image

16.000 kwetsbare Windows Remote Desktop Gateways online

maandag 27 januari 2020, 10:29 door Redactie, 5 reacties
Laatst bijgewerkt: 27-01-2020, 12:22

Onderzoekers hebben op internet ruim 16.000 Windows Remote Desktop Gateways gevonden die kwetsbaar voor aanvallen zijn. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk.

Microsoft kwam eerder deze maand met updates voor twee ernstige kwetsbaarheden in de Remote Desktop Gateway, aangeduid als CVE-2020-0609 en CVE-2020-0610. Via deze lekken kan een aanvaller door het versturen van speciaal geprepareerde requests het systeem overnemen. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP is voldoende.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die beide met een 9,8 beoordeeld. Microsoft spreekt dan ook over een kritiek beveiligingslek, omdat het aanvallers systemen laat overnemen. Daarnaast is er nog een derde kwetsbaarheid die met de twee beveiligingslekken in de Remote Desktop Gateway verband houdt. Het gaat om een lek in de Remote Desktop Client, die thuisgebruikers gebruiken om via RDP op het bedrijfsnetwerk in te loggen.

Een aanvaller die een gebruiker verbinding met een kwaadaardige RDP-server laat maken kan het systeem van de gebruiker in het ergste geval volledig overnemen. De kwetsbaarheden in de Remote Desktop Gateway en Remote Desktop Client zijn te combineren, zodat aanvallers niet alleen kwetsbare Gateways kunnen overnemen, maar ook gebruikers die daarmee verbinding maken.

Op 14 januari publiceerde Microsoft zoals gezegd beveiligingsupdates voor de kwetsbaarheden. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid besloot zelfs een aparte waarschuwing voor de kwetsbaarheden te versturen. Inmiddels is er een exploit online verschenen waarmee kwetsbare Gateways op afstand zijn over te nemen. Het Dutch Institute for Vulnerability Disclosure voerde een scan uit op internet en ontdekte nog ruim 16.000 kwetsbare, ongepatchte Remote Desktop Gateways, zo meldt beveiligingsonderzoeker Victor Gevers.

Image

Reacties (5)
27-01-2020, 11:27 door buttonius - Bijgewerkt: 27-01-2020, 11:28
s/Dekstop/Desktop/
(3x)
27-01-2020, 12:04 door Anoniem
DiVD doet een Shodan scannetje en maakt nieuws? Interessant.
27-01-2020, 14:24 door Anoniem
Frapant dat in deze het NCSC nog niet de noodklok heeft geluid in dezelfde hoedanigheid als bij Citrix. Minstens net zo erg en deze patches zitten in een cumulatieve update van Microsoft.

Ook hier is de noodzaak nu hoog om deze met spoed door te voeren aangezien er een exploit is.
27-01-2020, 20:12 door Anoniem
Door Anoniem: Frapant dat in deze het NCSC nog niet de noodklok heeft geluid in dezelfde hoedanigheid als bij Citrix. Minstens net zo erg en deze patches zitten in een cumulatieve update van Microsoft.

Ook hier is de noodzaak nu hoog om deze met spoed door te voeren aangezien er een exploit is.
De service wordt aanzienlijk minder gebruikt en er zijn volgens mij nog geen known exploits.
En er is al een update voor beschikbaar.
27-01-2020, 22:04 door Anoniem
Door Anoniem:
Door Anoniem: Frapant dat in deze het NCSC nog niet de noodklok heeft geluid in dezelfde hoedanigheid als bij Citrix. Minstens net zo erg en deze patches zitten in een cumulatieve update van Microsoft.

Ook hier is de noodzaak nu hoog om deze met spoed door te voeren aangezien er een exploit is.
De service wordt aanzienlijk minder gebruikt en er zijn volgens mij nog geen known exploits.
En er is al een update voor beschikbaar.

Citaat : "Inmiddels is er een exploit online verschenen waarmee kwetsbare Gateways op afstand zijn over te nemen"

Dus er zijn known exploits

zie ook:
https://twitter.com/layle_ctf/status/1221514332049113095

Dat is dan de informatie die ik er zover over vind. En ja er is een update (bij citrix was er ook een mitigerende maatregel) maar het blijkt (zie het citrix voorbeeld) dat niet altijd en iedereen even snel is met het patchen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.