Nieuws

Microsoft waarschuwt voor twee zeer ernstige Windows-lekken

14-08-2019

Microsoft waarschuwt gebruikers van Windows voor twee zeer ernstige beveiligingslekken waardoor een aanvaller op afstand kwetsbare systemen zonder enige interactie van de gebruiker kan overnemen. Vanavond zijn beveiligingsupdates voor de kwetsbaarheden uitgekomen en gebruikers krijgen het advies die zo snel als mogelijk te installeren. Net als het recente BlueKeep-lek zitten de twee kwetsbaarheden in de Remote Desktop Services van Windows, dat voorheen als Terminal Services bekendstond.

In tegenstelling tot BlueKeep zijn de twee nieuwe kwetsbaarheden, aangeduid als CVE-2019-1181 en CVE-2019-1182, ook in Windows 10 en Server 2012 aanwezig. Microsoft merkt op dat Windows XP, Server 2003 en 2008 niet kwetsbaar zijn. Ook het Remote Desktop Protocol (RDP) zelf is niet kwetsbaar. Om de lekken te misbruiken hoeft een aanvaller alleen verbinding via RDP met een computer te maken. Geldige inloggegevens zijn niet vereist.

De softwaregigant heeft de kwetsbaarheden gevonden bij het extra beveiligen van Remote Desktop Services en heeft geen aanwijzingen dat derde partijen van de beveiligingslekken afwisten. Aangezien de twee kwetsbaarheden door een worm zijn te misbruiken adviseert Microsoft om de beschikbaar gemaakte updates zo snel als mogelijk uit te rollen. Een gedeeltelijke oplossing is het inschakelen van Network Level Authentication (NLA). In dit geval moet een aanvaller zich wel eerst authenticeren.

Windows kwetsbaar door lekken in DHCP, LNK en Word

Windows-gebruikers worden dringend geadviseerd om Microsofts beveiligingsupdates van augustus zo snel als mogelijk te installeren. Naast verschillende kwetsbaarheden in Windows Remote Desktop Services die door een worm zijn te misbruiken bevat het besturingssysteem verschillende andere lekken waardoor een aanvaller op afstand kwetsbare systemen zonder interactie van gebruikers kan overnemen.

Tijdens de patchdinsdag van augustus kwam Microsoft met updates voor in totaal 93 kwetsbaarheden. De belangrijkste beveiligingslekken zijn vier kwetsbaarheden in Remote Desktop Services die op afstand zijn te misbruiken. Voor twee van deze lekken gaf Microsoft zelfs een aparte waarschuwing omdat ze door een worm gebruikt kunnen worden om zich van de ene naar de andere machine te verspreiden, zonder dat er enige interactie van gebruikers is vereist. Hiervoor hoeft een aanvaller alleen via RDP met de computer verbinding te maken.

Een ander beveiligingslek dat de aandacht verdient is een kwetsbaarheid in de Windows DHCP Client. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller de computer van zijn slachtoffer overnemen. Net als bij de kwetsbaarheden in Remote Desktop Services is er geen interactie van de gebruiker vereist. Volgens het Zero Day Initiativekan een worm zich in theorie ook via dit lek verspreiden.

De Stuxnetworm die negen jaar geleden werd ontdekt maakte misbruik van een lek in de manier waarop Windows met LNK-bestanden omging. In 2019 wordt het besturingssysteem opnieuw door een soortgelijke kwetsbaarheid geplaagd. Door het slachtoffer een kwaadaardig LNK-bestand te laten openen kan een aanvaller kwetsbare systemen overnemen. Een aanvaller zou een dergelijk bestand op een usb-stick kunnen plaatsen. "Het is een handige manier om een air-gapped systeem aan te vallen", zo stelt het Zero Day Initiative.

Gebruikers van Microsoft Word zijn daarnaast gewaarschuwd voor een kwetsbaarheid die op afstand is te misbruiken. De meeste Word-lekken vereisen dat het slachtoffer een kwaadaardig document met een exploit opent. In dit geval is dat niet nodig. Via de voorbeeldweergave (preview pane) in Outlook is het mogelijk om de kwetsbaarheid op afstand aan te vallen en kwaadaardige code uit te voeren.

Van de 93 kwetsbaarheden die Microsoft heeft gepatcht zijn er 29 als ernstig aangemerkt, wat inhoudt dat een aanvaller die kan gebruiken om systemen over te nemen. Deze meeste van deze kwetsbaarheden zijn aanwezig in Microsoft Edge en Graphics. In het geval van dit laatste onderdeel wordt de kwetsbaarheid veroorzaakt door de manier waarop Windows fonts verwerkt. De beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd.
 

Wil je meer weten over de mogelijke risico's of een beleid omtrent security neem dan contact met ons op door te bellen naar 088-5665443 of via een mail naar info@successfully.nl.

 

bron: security.nl