image

Ernstig lek in 1100 Nederlandse Remote Desktop Gateways

dinsdag 28 januari 2020, 10:06 door Redactie, 8 reacties

Microsoft publiceerde op 14 januari een beveiligingsupdate voor twee ernstige kwetsbaarheden in de Windows Remote Desktop Gateway, maar twee weken later zijn er nog altijd meer dan 1100 kwetsbare servers in Nederland via het internet toegankelijk.

Dat meldt het Nederlands Security Meldpunt op basis van een scan. Wereldwijd gaat het om 16.000 servers waar de beschikbare beveiligingsupdate niet is geïnstalleerd. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. Twee kwetsbaarheden in de software maken het mogelijk voor een aanvaller om kwetsbare gateways over te nemen.

Alleen het versturen van speciaal geprepareerde requests is voldoende. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP volstaat. Inmiddels is er ook een proof-of-concept exploit ontwikkeld waarmee kwetsbare gateways zijn over te nemen. Een exploit waarmee gateways zijn plat te leggen staat inmiddels online. De onderzoeker die de remote code execution-exploit ontwikkelde komt binnenkort met een blogposting waarin hij meer informatie zal geven.

Organisaties krijgen het advies om de update zo snel als mogelijk te installeren en anders de gateway niet direct aan het internet te hangen en bijvoorbeeld een vpn te gebruiken. Vooralsnog zijn er geen aanvallen waargenomen die misbruik van de kwetsbaarheid maken, maar dat lijkt een kwestie van tijd. "Er is een grote waarschijnlijkheid dat de kwetsbaarheid misbruikt gaat worden door kwaadwillenden", aldus het Security Meldpunt.

Image

Reacties (8)
28-01-2020, 13:39 door Anoniem
https://www.securitymeldpunt.nl/cases/DIVD-2020-00003/
"14-01-2020 Microsoft Patch Tuesday publiceert patches voor kwetsbaarheden CVE-2020-0609 en CVE-2020-0610"
"27-01-2020 POC (proof of concept) waarmee systeem kan worden overgenomen aangekondigd"
"27-01-2020 Er wordt gestart met informeren van Nederlandse systeem eigenaren"

Dit is een uitstekende actie van het Nederlands Security Meldpunt (DIVD Dutch Institute for Vulnerability Disclosure), zij springen in het gat dat het NCSC laat liggen. Het NCSC informeert namelijk alleen actief bedrijven en instellingen die behoren tot de "vitale infrastructuur".

Maar mijn "douze points" minpuntjes gaan naar de beheerders van de 1137 gevonden kwetsbare Microsoft RDP Gateway servers, die de Microsoft Patch van 14 januari (nog) niet hebben uitgevoerd, we zijn nu toch 14 dagen verder ....

Bijna een maand na het bekendworden van de Citrix-kwetsbaarheid hebben we nu te maken met deze Microsoft RDP Gateway server kwetsbaarheid. Zoek de verschillen en overeenkomsten. Ooops ...
28-01-2020, 19:50 door Anoniem
Door Anoniem: https://www.securitymeldpunt.nl/cases/DIVD-2020-00003/
"14-01-2020 Microsoft Patch Tuesday publiceert patches voor kwetsbaarheden CVE-2020-0609 en CVE-2020-0610"
"27-01-2020 POC (proof of concept) waarmee systeem kan worden overgenomen aangekondigd"
"27-01-2020 Er wordt gestart met informeren van Nederlandse systeem eigenaren"

Dit is een uitstekende actie van het Nederlands Security Meldpunt (DIVD Dutch Institute for Vulnerability Disclosure), zij springen in het gat dat het NCSC laat liggen. Het NCSC informeert namelijk alleen actief bedrijven en instellingen die behoren tot de "vitale infrastructuur".

Maar mijn "douze points" minpuntjes gaan naar de beheerders van de 1137 gevonden kwetsbare Microsoft RDP Gateway servers, die de Microsoft Patch van 14 januari (nog) niet hebben uitgevoerd, we zijn nu toch 14 dagen verder ....

Bijna een maand na het bekendworden van de Citrix-kwetsbaarheid hebben we nu te maken met deze Microsoft RDP Gateway server kwetsbaarheid. Zoek de verschillen en overeenkomsten. Ooops ...

Overeenkomst: Amerikaanse producten voorzien van standaard NSA backdoor, welke geupgrade is en de oude dus niet meer nodig is, en 'gepubliceerd' kan worden?
28-01-2020, 20:38 door Anoniem
Die lui vragen naar mijn inzicht iets te veel media aandacht en blazen dingen zoals het wildcard verhaal heel er op.

Natuurlijk moet je de certificaten vervangen (belangrijker nog, de private Keys) op een gehackt systeem. Maar je kan van een mug ook een olifant maken.
29-01-2020, 12:18 door Anoniem
CVE-2020-0609: To exploit this vulnerability, an attacker would need to send a specially crafted request to the target systems RD Gateway via RDP.
CVE-2020-0610: To exploit this vulnerability, an attacker would need to send a specially crafted request to the target systems RD Gateway via RDP.

Een Terminal Services Gateway of Remote Desktop Gateway benader je niet van buitenaf via RDP, maar via HTTPS, althans als je die RD Gateway goed hebt opgezet.

Dus van buitenaf exploiten lijkt me lastig ?
29-01-2020, 15:01 door Anoniem
Door Anoniem:
Door Anoniem: https://www.securitymeldpunt.nl/cases/DIVD-2020-00003/
"14-01-2020 Microsoft Patch Tuesday publiceert patches voor kwetsbaarheden CVE-2020-0609 en CVE-2020-0610"
"27-01-2020 POC (proof of concept) waarmee systeem kan worden overgenomen aangekondigd"
"27-01-2020 Er wordt gestart met informeren van Nederlandse systeem eigenaren"

Dit is een uitstekende actie van het Nederlands Security Meldpunt (DIVD Dutch Institute for Vulnerability Disclosure), zij springen in het gat dat het NCSC laat liggen. Het NCSC informeert namelijk alleen actief bedrijven en instellingen die behoren tot de "vitale infrastructuur".

Maar mijn "douze points" minpuntjes gaan naar de beheerders van de 1137 gevonden kwetsbare Microsoft RDP Gateway servers, die de Microsoft Patch van 14 januari (nog) niet hebben uitgevoerd, we zijn nu toch 14 dagen verder ....

Bijna een maand na het bekendworden van de Citrix-kwetsbaarheid hebben we nu te maken met deze Microsoft RDP Gateway server kwetsbaarheid. Zoek de verschillen en overeenkomsten. Ooops ...

Overeenkomst: Amerikaanse producten voorzien van standaard NSA backdoor, welke geupgrade is en de oude dus niet meer nodig is, en 'gepubliceerd' kan worden?

Zou kunnen, maar wie zal het zeggen?
Overeenkomst 2: Een Black box" is per definitie ondoorzichtig (een "clear box or glass box" is transparant).
Overeenkomst 3: Backdoors van de NSA worden ondersteund door "gag-orders" (dwangbevelen) ... zodat niemand praat.
29-01-2020, 21:17 door Anoniem
Dit is een uitstekende actie van het Nederlands Security Meldpunt (DIVD Dutch Institute for Vulnerability Disclosure), zij springen in het gat dat het NCSC laat liggen. Het NCSC informeert namelijk alleen actief bedrijven en instellingen die behoren tot de "vitale infrastructuur".

Eens dat dit inderdaad een prima actie is.
Maar NCSC laat niets liggen. Ze *mogen* het niet, want wetgeving, opdracht, enz.
29-01-2020, 22:22 door Anoniem
Gewoon UDP op je RD Gateway uitschakelen cq. Firewallen en het issue is opgelost. Naast de patch installeren uiteraard...
30-01-2020, 15:58 door Anoniem
Door Anoniem:
Dit is een uitstekende actie van het Nederlands Security Meldpunt (DIVD Dutch Institute for Vulnerability Disclosure), zij springen in het gat dat het NCSC laat liggen. Het NCSC informeert namelijk alleen actief bedrijven en instellingen die behoren tot de "vitale infrastructuur".

Eens dat dit inderdaad een prima actie is.
Maar NCSC laat niets liggen. Ze *mogen* het niet, want wetgeving, opdracht, enz.

Dat het NCSC geen bevoegdheid heeft om actief bedrijven en instellingen te informeren die niet behoren tot de "vitale infrastructuur", was ook precies wat Ronald Prins zei in Nieuwsuur.

Mijn formulering was dus inderdaad vollediger geweest als volgt: ".. zij (DIVD) springen in het gat dat het NCSC laat liggen. Het NCSC wordt beperkt door de huidige regelgeving .."

De oplossing zou zijn de bevoegdheid van het NCSC uit te breiden naar die sectoren, die volgens de huidige definitie niet onder de "vitale infrastructuur" vallen. De kennis, waakzaamheid en alertheid is al aanwezig, alleen de reikwijdte van de berichten van het NCSC is nu te beperkt door juridische regels. Daar kan de wetgever (Tweede Kamer) mogelijke knelpunten oplossen?

Want het is mij onduidelijk waarom het DIVD wel (en het NCSC niet) bedrijven en instellingen buiten de "vitale infrastructuur" mag waarschuwen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.