Ruim 1 miljoen computers vatbaar voor RDP kwetsbaarheid

Ruim 1 miljoen computers vatbaar voor RDP kwetsbaarheid

Er zijn nog bijna 1 miljoen Windows-systemen niet geüpdatet die een kritisch beveiligingslek bevatten. De systemen zijn kwetsbaar voor een recentelijk bekend, kritisch en extern beveiligingslek met betrekking tot code in het Windows Remote Desktop Protocol (RDP). Dit twee weken nadat Microsoft de beveiligingspatch heeft vrijgegeven.

Als het beveiligingslek wordt misbruikt, kan een aanvaller gemakkelijk over de hele wereld ravage aanrichten. Potentieel nog veel erger dan wat WannaCry en NotPetya voor chaos hebben veroorzaakt.

Het lek met de naam Dubbed BlueKeep wordt bijgehouden als CVE-2019-0708 en is van invloed op de volgende edities van Windows: Windows 2003; XP; Windows 7; Windows Server 2008; Windows Server 2008 R2; Wanneer besmet kan Dubbed BlueKeep zich makkelijk verspreiden naar niet beschermde systemen.

Welk risico neem Dubbed BlueKeep met zich mee?

Door het beveiligingslek kunnen niet geverifieerde, externe, kwaadwillenden gebruikers willekeurige code uitvoeren en zelf de besturing van een doelcomputer overnemen door speciale aanvragen via het RDP-protocol naar de Remote Desktop Service (RDS) van het apparaat te verzenden. Dit is mogelijk zonder tussenkomst van een gebruiker. Hierdoor is het mogelijk om malware te maken die dit lek gebruikt om binnen te komen op de doelcomputers. Wanneer dit gebeurt, is het mogelijk dat kwaadwillenden de volledige controle over de systemen overnemen.

De kwetsbaarheid Dubbed BlueKeep heeft zoveel potentieel om wereldwijd schade aan te brengen dat het Microsoft dwong om patches vrij te geven voor niet alleen de ondersteunde Windows-versies, maar ook Windows XP, Windows Vista en Windows Server 2003, die eigenlijk niet langer ondersteund worden. Dit benadrukt nogmaals de omvang en het risico van de kwetsbaarheid gezien er nog veel gebruikers zijn van deze verouderde software.

Ik gebruik de RDP Services in mijn organisatie, wat moet ik nu doen?

Als u de RDP-services gebruikt in uw organisatie en hier ook afhankelijk van bent, dan dient u zo snel mogelijk het beveiligingslek te dichten door de patch van Microsoft te installeren op uw Windows-systemen.

Als het oplossen van het beveiligingslek in uw organisatie op dit moment niet mogelijk is, of u niet afhankelijk bent van de RDP-services kunt u de volgende maatregelen treffen:

- Schakel RDP-services uit;
- Blokkeer poort 3389 met behulp van een firewall of maak deze alleen toegankelijk via een privé-VPN;
- Verificatie op netwerkniveau inschakelen (NLA), dit is een gedeeltelijke beperking om te voorkomen dat niet geverifieerde aanvallers dit beveiligingslek misbruiken;

Wist u dat?

Door Honeypots in uw netwerk te plaatsen bent u in staat om te controleren of kwaadwillende verbindingen op proberen te zetten op de RDP-porten. Wanneer een aanvaller uw netwerk binnen probeert te dringen, zal hij eerst op onderzoek uitgaan. Vind hij de open RDP port? Dan zal de aanvaller hoogstwaarschijnlijk hier een verbinding mee willen maken om verder tot de systemen binnen te dringen. Sinds het hier gaat om een nepsysteem (Honeypot) bent hier dan direct van op de hoogte! Lees hier meer over de Honeypot oplossing van SecurityHive.