image

Windows-servers via kritieke kwetsbaarheden op afstand over te nemen

woensdag 10 juli 2024, 11:14 door Redactie, 4 reacties

Drie kritieke kwetsbaarheden maken het mogelijk om Windows-servers op afstand over te nemen als die de Remote Desktop Licensing Service hebben draaien. Microsoft heeft gisterenavond updates uitgebracht om de problemen te verhelpen. Daarnaast adviseert Microsoft organisaties die de service niet nodig hebben om die uit te schakelen. De licensing service is nodig om gebruikers toegang tot remote desktop services te geven.

Door het versturen van een speciaal geprepareerd netwerkpakket naar een server die is ingesteld als Remote Desktop Licensing-server kan een ongeautoriseerde aanvaller op afstand willekeurige code op het systeem uitvoeren. De impact van de drie kwetsbaarheden (CVE-2024-38074, CVE-2024-38076 en CVE-2024-38077) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Microsoft verwacht dat misbruik 'Less Likely' is. Volgens Dustin Childs van securitybedrijf ZDI is misbruik eenvoudig en hij denkt dat als veel van dergelijke servers vanaf het internet benaderbaar zijn, er snel misbruik zal plaatsvinden. Microsoft heeft updates uitgebracht voor alle ondersteunde versies van Windows Server. Ook organisaties die de Remote Desktop Licensing Service hebben uitgeschakeld worden door Microsoft aangeraden de updates zo snel mogelijk te installeren.

Reacties (4)
10-07-2024, 13:09 door Joep Lunaar
Een goed voorbeeld van hoe een (anti-)feature een extra aanvalsoppervlak oplevert.
10-07-2024, 16:02 door Anoniem
Enige oplossing: je Windows machines nooit exposed aan het internet. En als het dan toch moet, reverse proxy er tussen of een enterprise grade loadbalancer. RDP en dat soort zaken moet je gewoon niet exposen.
15-07-2024, 11:16 door Anoniem
Door Anoniem: Enige oplossing: je Windows machines nooit exposed aan het internet. En als het dan toch moet, reverse proxy er tussen of een enterprise grade loadbalancer. RDP en dat soort zaken moet je gewoon niet exposen.

Je eerste punt is correct maar je twee punt laat precies zien waarom het keer op keer verkeerd gaat....
Als het dan toch moet: laat iemand anders het doen... Wees professioneel en weiger gewoon.
Maar dat is het probleem, management drukt en men doet het alsnog... Meestal omdat men ook geen idee heeft wat voor monster men creëert.

Loadbalancers zijn tevens helemaal geen beveiligingsapparaten. Je voegt dus gewoon een extra exploit punt toe...
En dan helemaal geen 'enterprise grade' gebruiken, die dingen vallen om van de beveiligingsproblemen. Zie Citrix Netscalers...
15-07-2024, 11:18 door Anoniem
Door Anoniem: Enige oplossing: je Windows machines nooit exposed aan het internet. En als het dan toch moet, reverse proxy er tussen of een enterprise grade loadbalancer. RDP en dat soort zaken moet je gewoon niet exposen.

https://www.security.nl/posting/849288/Citrix+dicht+kritiek+lek+dat+toegang+tot+NetScaler+Console+mogelijk+maakt
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.