Microsoft waarschuwt gebruikers van Windows voor twee zeer ernstige beveiligingslekken in het systeem om op afstand te werken, de zogeheten RD-diensten waardoor een aanvaller op afstand kwetsbare systemen zonder enige interactie van de gebruiker kan overnemen. Er zijn inmiddels ‘pleisters’ voor de kwetsbaarheden uitgekomen en gebruikers krijgen het advies die zo snel mogelijk te installeren. Omdat de kwetsbaarheden lijken op het vrij recente BlueKeep-lek hebben onderzoekers ietwat ironisch het nieuwe lek de naam DejaBlue gegeven.
In tegenstelling tot BlueKeep zijn de twee nieuwe kwetsbaarheden, aangeduid als CVE-2019-1181 en CVE-2019-1182, ook in Windows 10 en Server 2012 aanwezig. Microsoft stelt dat Windows XP, Server 2003 en 2008 niet zijn getroffen. Ook het Remote Desktop Protocol (RDP) zelf zou niet kwetsbaar zijn. Om de lekken te misbruiken hoeft een aanvaller echter alleen verbinding via RDP met een computer te maken. Geldige inloggegevens zijn niet vereist.

De softwaregigant heeft de kwetsbaarheden zelf gevonden bij het extra beveiligen van de op-afstanddienst en heeft geen aanwijzingen dat derde partijen van de beveiligingslekken weet hebben. Aangezien de twee kwetsbaarheden door een worm zijn te misbruiken adviseert Microsoft om de beschikbaar gemaakte reparaties zo snel mogelijk binnen te halen. Een gedeeltelijke oplossing is het inschakelen van Network Level Authentication (NLA). In dit geval moet een aanvaller zich wel eerst aanmelden.

BlueKeep

Maanden zijn systeembeheerders bezig geweest om BlueKeep op hun systemen de pas af te snijden. Via de ‘afstandbediening’ (RDS) kunnen medewerkers van bedrijven en organisaties op hun eigen systeem werken, maar door de kwetsbaarheden was het via die verbinding mogelijk een kwalijke progje op de computer van het netwerk te installeren. Die worm kon dan andere computers in het netwerk besmetten.
Ook DejaBlue doet dat kennelijk ook bij de jongste versie van Windows (10). Het zou om verschillende kwetsbaarheden gaan, waarvan er twee bijzonder ernstig zijn. Het (web)blad Wired houdt het, anders dan Microsoft aangeeft, overigens op kwetsbaarheden van het verbindingsprotocol.
Volgens beveiligingsonderzoeker Marcus Hutchins, die de kwestie actief volgt, zijn er meer machines kwetsbaar voor DejaBlue dan voor BlueKeep. Je zou veilig kunnen stellen dat vrijwel elke Windowscomputer de ‘pleister’ moeten binnenhalen. “Mensen die de zaken lang niet hebben bijgewerkt zouden een beetje veiliger kunnen zijn, maar er zijn veel meer machines vatbaar voor een aanval door derden.” Ik vraag me alleen af of dat ook geldt voor mensen die die ‘afstandsbediening’ niet gebruiken.

Makkelijker

Volgens Hutchins zou DejaBlue iets makkelijker te misbruiken zijn dan BlueKeep. Bij BlueKeep had hij daar een week voor nodig om de juiste (aanvals)code te schrijven. Het lastigste deel was om het computergeheugen zo te manipuleren dat die de code van de aanvaller accepteert in plaats van dat de computer vastloopt. Als DejaBlue de computer laat vastlopen dan zal het eerder om de ‘afstandsbediening’ gaan dan om de computer zelf, stelt Hutchins, waardoor een aanvaller stiekemer zou kunnen werken. “BlueKeep vereiste speciale kennis. Dit lijkt bruikbaar voor een grotere groep misbruikers.”
Het nieuwe lek zal in zijn idee eerder worden gedicht, aangezien gebruikers van nieuwere versies van besturingssystemen eerder geneigd zijn het systeem bij te houden (gebeurt bij mijn Windows 10 nagenoeg automatisch). Hij durft geen voorspelling te doen hoe en waar het mis zal gaan.

Bronnen: Wired, security.nl