Nieuws

Microsoft dicht gapend gat in Windows Remote Desktop

Bron: Security.nl - 14-03-2012
Microsoft heeft een zeer ernstig lek in de Remote Desktop functie van Windows gepatcht, waardoor het zeer eenvoudig is voor cybercriminelen om computer over te nemen. De Remote Desktop laat gebruikers vanaf een andere locatie op de computer inloggen. Standaard staat deze optie niet ingeschakeld. Is dat wel het geval, dan volstaat het voor een aanvaller om een request naar de computer te sturen, waarna het mogelijk is om willekeurige code uit te voeren. Voor de aanval is geen enkele authenticatie vereist. Het probleem speelt in alle ondersteunde Windows-versies.

Zoals gezegd staat Remote Desktop (Extern Bureaublad in het Nederlands) standaard niet ingeschakeld. Vanwege de populariteit van de optie en de zeer aantrekkelijke aanvalsvector voor cybercriminelen, verwacht Microsoft dat er binnen een maand een exploit zal zijn ontwikkeld die het lek misbruikt. Volgens Microsoft is de ontwikkeling van een exploit niet eenvoudig.

'Het zou ons verrassen als we een exploit in de komende dagen zullen zien. We verwachten wel dat er binnen 30 dagen een exploit zal zijn ontwikkeld', zegt Jonathan Ness van MSRC Engineering. Microsoft, dat het lek direct gerapporteerd kreeg, zegt niet van misbruik op de hoogte te zijn.

Oplossing
Voor bedrijven die eerst de beveiligingsupdate willen testen, is er een workaround, namelijk het inschakelen van Network Level Authentication (NLA). Dit is aanwezig op Windows Vista en nieuwer en zorgt ervoor dat de gebruiker zich moet authenticeren voordat de remote desktop sessie wordt opgezet. Aangezien de kwetsbare code nog steeds op de computer aanwezig is, zou een aanvaller nog steeds willekeurige code kunnen uitvoeren, maar moet die zich eerst authenticeren.

Als tijdelijke oplossing heeft Microsoft een fix-it oplossing beschikbaar gesteld die NLA inschakelt. Dit heeft geen effect op Vista en nieuwere Windows-versies, maar zorgt ervoor dat Windows XP en Windows Server 2003 clients geen verbinding kunnen maken. In het geval dit toch nodig is, adviseert Microsoft om op elke Windows XP machine ondersteuning voor de Credential Security Support Provider (CredSSP) te installeren.

Worm
Vanwege de ernst van de situatie raadt Microsoft iedereen dringend aan om beveiligingsupdate MS12-020 zo snel als mogelijk te installeren. Dit kan via Windows Update en de Automatische Update functie.

Vorig jaar vond er nog een uitbraak van de Morto-worm plaats. Deze worm gebruikte zwakke wachtwoorden om toegang tot systemen te krijgen. Een potentiële worm zou via het huidige lek alleen verbinding met een computer hoeven te maken waarop Remote Desktop draait om die vervolgens over te nemen.

Is uw computer veilig? Laat uw computer checken door DigiProfs!

Meer nieuws? Meld u aan voor de maandelijkse nieuwsbrief van DigiProfs.

Overzicht Security Monitor

• 23-04-2012 DNS-virus kan internet deze zomer verstoren
• 20-04-2012 Ook inbrekers vieren vakantie, meestal van uw geld
• 19-04-2012 Hackers misbruiken kersvers Microsoft Office-lek
• 18-04-2012 Groeiend Mac-virus besmet 800.000 computers
• 16-04-2012 Microsoft Security Essentials mist meeste malware
• 10-04-2012 Microsoft: support Vista stopt nu
• 06-04-2012 Pornosites hotspot voor computerinfectie
• 23-03-2012 'Wij ondersteunen bedrijven bij het inrichten van thuiswerkplekken'
• 15-03-2012 100.000 NU.nl bezoekers mogelijk besmet met malware
• 14-03-2012 Microsoft dicht gapend gat in Windows Remote Desktop
• 12-03-2012 Cybercriminelen leggen zich toe op internetbankieren en smartphones
• 08-03-2012 Nederlander verprutst 8% werktijd aan ICT-problemen
• 06-03-2012 ‘Je merkt niet dat het een elektrische auto is’
• 02-03-2012 Trojaans paard kan 137 banken beroven
• 01-03-2012 Veel slachtoffers datingfraude