Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 92, views: 62.521 •
Submitter: Metalrick

Microsoft waarschuwt voor twee kritieke beveiligingslekken in het remote desktop protocol in Windows. Het bedrijf verwacht dat binnen een maand exploits voor de lekken verschijnen en raadt dringend aan de patches te installeren.

Alleen Windows-systemen die remote desktop protocol hebben ingeschakeld zijn vatbaar voor misbruik. Standaard staat het protocol uit, maar in zakelijke omgevingen wordt het veel gebruikt en ook it-beheerders maken vaak gebruik van rdp, waarmee systemen op afstand zijn te beheren. Het wordt echter afgeraden om ze rechtstreeks aan het internet te hangen.

De kwetsbaarheden, die Microsoft CVE-2012-0002 heeft gedoopt, zijn te misbruiken met speciaal vervaardigde datapakketjes. Authenticatie is verder niet vereist, waarna het uitvoeren van kwaadaardige code op afstand mogelijk is. De verwachting is dan ook dat het verschijnen van nieuwe wormen die er misbruik van maken niet lang op zich laten wachten. Microsoft zegt echter geen aanwijzingen te hebben dat het lek nu al in de praktijk wordt misbruikt.

De rdp-kwetsbaarheden zitten in Windows XP, Windows Vista en Windows 7, terwijl ook Windows Server 2003 en 2008 kwetsbaar zijn. Microsoft raadt aan Security Bulletin MS12-020 te installeren om het lek te dichten, terwijl het ook een work-around voorstelt. Het is het enige kritieke lek van de zeven die Microsoft bij zijn patchronde van maart onder handen neemt.

Reacties (92)

Reactiefilter:-192088+158+211+30
Als hackers in een remote desktop een gaatje hebben, is het wel Úrg makkelijk kwaad uit te halen..
Wat ik apart hieraan vind is dat de exploit al in november 2011 bekend was?

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0002
"This candidate has been reserved by an organization or individual that will use it when announcing a new security problem"

Kan het niet zijn dat MS vantevoren gewoon een aantal nummertjes claimt?
wat ik apart aan jouw comment vind is dat je het woord Phase vertaald met datum.
Dat word dus even een avondje patches installeren op systemen.
Als je Network Level Authentication (NLA) aan hebt staan op je systemen is het probleem al veel minder ernstig.

Als je nog geen NLA hebt aanstaan op je systemen dan kan dat eenvouding met een fix:
Microsoft Fix it 50844
NLA zit standaard in vista,W7 en W2K8 in xp kan het worden gepatcht.
In W2K3 is NLA niet mogelijk.
Ik heb maar direct de updates op mijn servers ge´nstalleerd. Het is ook wel op te maken uit de MS12-020 pagina, maar misschien wel handig om "KB2621440" erbij te melden. Dit is het KB nummer van de update die je moet installeren.
Geld dit ook voor 2008 R2?
Als je onderstaande link uit het artikel even volgt en doorneemt dan zie je dat 2008 R2 dit lek ook heeft....

http://technet.microsoft....ecurity/bulletin/ms12-020
Gelukkig moeten hacker in de meeste gevallen al toegang hebben tot het interne netwerk, direct of via VPN. Elke systeembeheerder die RDP toegankelijk maakt voor buitenaf zonder VPN moet direct ontslagen worden.
Denk dat er genoeg Tweakers zijn die een port-mapping hebben aangemaakt, zodat ze makkelijk op hun thuissysteem kunnen komen. Die hebben echt geen VPN of ingewikkelde firewall aangemaakt. Zelf heb ik dat vroeger wel zo gedaan, iig..

Hopelijk gebruiken ze dan nog wel een niet-standaard poort, maar dat is security through obscurity, dus niet echt effectief.

Daarnaast, zo moeilijk is het vaak ook weer niet om binnen een corporate netwerk te komen. De beveiliging van RDP is gewoon weer onderdeel van je defense-in-depth, dus hoort ook op orde te zijn.

[Reactie gewijzigd door Keypunchie op 14 maart 2012 11:16]

3389 direct doormappen op je router, als je dan gehackt wordt vraag je er echt zelf om.
Klopt maar dan heb je nog altijd mensen die prive een servertje draaien en niet VPN tunnels e.d. opzetten :) (O.a. omdat je ook lang niet altijd overall VPN kan opzetten) Als me servers plat gaan is het ook niet zo erg maar leuk is anders :)
Maar daar gebruik je toch iets als SSH voor en geen remote desktop?
Alsof er nooit security issues zijn geweest met SSH... Daarnaast zit Remote desktop netjes ge´ntegreerd in Windows en werkt het behoorlijk efficiŰnt.

[Reactie gewijzigd door Deem op 14 maart 2012 12:39]

Issues met openSSH doen zich 9 van de 10 keer voor in de vorm van denial of service. Voor zover ik terug kon vinden zelfs nog nooit in de vorm zoals het hier nu beschreven wordt.

Een denial of service is toch even iets anders dan de mogelijkheid om malicious code te kunnen runnen op de target machine. Andere schaal dus lijkt mij :)

[Reactie gewijzigd door EnigmA-X op 14 maart 2012 13:38]

Misschien moet je de Matrix Reloaded nog een keer kijken ? Daarin zit toch echt een bestaande OpenSSH hack met code-execution erin hoor. Zie hier voor de details (oldschool 2001 !).
Ik heb mijn computers van buitenaf bereikbaar gemaakt maar wel op een andere poort dan standaard het geval is. Of is dit heel makkelijk te omzeilen?
Tuurlijk, Gewoon even de hack uitvoeren op die andere poort en hop, men is binnen. Security through obscurity is wat jij nu hebt, en zoals we allemaal weten is dat eigenlijk geen security.
Moet je natuurlijk wel eerst de poort weten...
Een beetje goeie router/firewall laat jou echt geen poortscans uitvoeren.
Maar die hebben mensen thuis natuurlijk niet; meeste thuis-routers laten prima portscans toe, zeker half-open stealth-scans. Maar daar heb je eventueel weer Port-knocking truukjes voor; dat wordt steeds beter ondersteunt en is een aardige 'extra beveiliging' (maar helaas niet zo transparent / gebruiksvriendelijk als een SSL/VPN tunnel) ...
Ik vind dat voor een thuissituatie wel makkelijk gezegd.
Natuurlijk is een andere poort pakken geen security, en natuurlijk kunt je als je die poort weet die hack uitvoeren. Maar zo'n andere poort draagt wel heel effectief bij aan het ontspringen van de ranges in portscans die standaard gebruikt worden.

Er zijn tig mensen die het zo geregeld hebben, zelfs bedrijven. En hoewel je van die laatste groep zou mogen verwachten dat ze een VPN opzetten, vind ik dat een thuisgebruiker toch wel een beetje mag vertrouwen op het authenticatiesysteem van RDP (toch in ieder geval met NLA), zonder een extra laag toe te hoeven voegen.

[Reactie gewijzigd door Jochem_ op 14 maart 2012 12:12]

Als er een lek in de VPN oplossing zit komen ze alsnog binnen dus het enige wat je doet is het probleem verschuiven, een ge´nfecteerde PC kan ook via de VPN de boel exploiten.

Je moet gewoon zorgen dat de beveiliging van de RDP servers zelf op orde is, o.a. door te patchen en traffic monitoring.
Je achter een firewall/VPN verschuilen en denken dat je klaar bent is pas dom.
Als er een lek in de VPN oplossing zit heb je waarschijnlijk grotere problemen dan deze.
Goede beveiliging is gebaseerd op meerdere lagen. Elk protocol heeft in potentie zwakheden. De beste manier om te voorkomen dat iemand binnen komt doordat er een zwakheid gevonden is die nog niet gepatcht is, is om een extra laag te hebben. In dit geval is RDP kwetsbaar. Mocht je een VPN hebben is RDP nog steeds kwetsbaar maar is de impact een stuk kleiner aangezien men eerst in het VPN moet komen. De kans op 2 0-day exploits (1 voor de RDP en 1 voor het VPN) is een stuk kleiner dan de kans op 1.

Meerdere lagen heeft dus als voordeel dat je minder kwetsbaar bent bij een 0-day exploit en dat je patches kan plannen in plaats van direct te moeten reageren op een issue.

Dit neemt niet weg dat je natuurlijk moet zorgen dat je patches uitvoert maar 1 enkele beveiligingslaag is in feite nauwelijks een beveiliging te noemen. Het opzetten van RDP (of SSH) toegang tot een server zonder VPN is voor productiesystemen dan ook redelijk riskant te noemen. Het gaat in de meeste gevallen vast goed, maar een systeem zonder patches en met een wachtwoord als 12345678 kan ook jaren draaien zonder gehackt te worden. In beide gevallen ben je echter kwetsbaar.
Elke systeembeheerder die RDP toegankelijk maakt voor buitenaf zonder VPN moet direct ontslagen worden.
Ben het 110% met je eens.

en voor de medetweakers, gebruik dan logmein of teamviewer, wordt vaak geupdate, werkt minimaal net zo goed en is een stuk veiliger op basis van encryptie tussen je twee end points. (en t is nog gratis ook).
Is niet gratis voor bedrijven alleen voor particulier gebruik. Team viewer werk helemaal niet goed met windows 7 met UAC. Kan misschien iets aangedaan worden maar heb ik niet achter gezocht.
Met de vele nieuwe Cloud server opties, ontkom je vaak niet aan een dergelijke opzet. Zelfs bij grote partijen als Amazon en Rackspace.
Het was mijn taak niet, maar bij mijn vorige job was het wel gebruikelijk om het zo in te stellen bij klanten. Ik denk dat ze deden uit gemakzucht, en eerst inloggen via VPN is een stap te veel. 8)7
Waarom is een VPN veiliger dan een goed opgezette RDP ?
Met beide kan je encryptie gebruiken en heb je genoeg aan een programmaatje , een inlogcode en een wachtwoord om in te loggen.
Het is een andere manier van werken, of je op een computer inlogt of op een netwerk, maar qua veiligheid zie ik geen verschil. Of denken jullie er anders over ?
Het gaat om rdp via een vpn. Een extra beveiligingslaag dus, meer niet. Het idee is dat er dan 2 dingen gekraakt moeten worden voor het systeem gecompromiteerd is.
Ik draai thuis een VPN waar alleen mijn private key op werkt, op die key zit vervolgens ook nog eens een wachtwoord. Het gaat jou ten eerste heel wat moeite kosten om die key uberhaupt te krijgen, en daarnaast om ook het wachtwoord daarvan te achterhalen.

En mocht het je lukken, dan zie ik in de logs dat iemand heeft lopen kloten en verwijder ik de public key van mijn server. In dat geval heb je inderdaad wel dingen stuk kunnen maken, maar ik acht de kans klein dat het uberhaupt zo ver zal komen...
Heeft dit gevolgen voor OSX gebruikers die via de RDC client van Microsoft verbinden met een externe desktop?
Nee, want dat is een client. De kwetsbaarheid zit hem in de RDP-serverzijde software.

Dus de externe desktop die je benadert is kwetsbaar tot je hem patcht. Je (Mac)-client is niet kwetsbaar voor deze exploit.

Pas als je op een computer de RDP-service aanzet dan ben je ook kwestbaar (Onder Windows 7 in het "System Control Panel" -> Remote settings en dan een firewall exception maken voor RDP).

[Reactie gewijzigd door Keypunchie op 14 maart 2012 11:26]

"De rdp-kwetsbaarheden zitten in Windows XP, Windows Vista en Windows 7, terwijl ook Windows Server 2003 en 2008 kwetsbaar zijn."

Windows XP? Betekend dat deze bug er al zolang in zit?
Of komt deze bug mee als je laatste RDP client installeerd op oude machine.

Vraag me af of dit nieuws is, windows zit al van dag 1 bugs in.
Misschien wel goed nieuws voor hackers, nu weten ze waar ze moeten zoeken?
Ik denk zelf dat het er al in zat, Microsoft kennende.

Wat ik dan wel weer goed vind is dat we nu voor de verandering eens lezen dat mensen de patch moeten installeren alvorens we berichten lezen van "Bug in RDP massaal misbruikt.".

Of misschien komt dat nog wel nu iedere hacker op de hoogte is van deze exploit :+
Het wordt echter afgeraden om ze rechtstreeks aan het internet te hangen.
Bron? Dat is niet meer van toepassing met Network Level Authentication waarbij eerst gevalideerd wordt of gebruiker bekend is voor verbinding opgezet wordt.
Encryptie is 128 bit RC4, maar dan moeten er natuurlijk geen kritieke gaten in vallen :)

Hmm dat is ook exact wat ze als work around stellen:
Enable Network Level Authentication on systems running supported editions of Windows Vista, Windows 7, Windows Server 2008, and Windows Server 2008 R2
Als het goed is doe je dat alsnog via een tunnel, isa server, security gateway, whatever.

Een server rechtstreeks vanaf het internet op de RDP poort kunnen benaderen is gewoon stompzinnig en vragen om problemen. NLA of niet, dat is gewoon niet handig.
Hartstikke handig, nooit problemen mee gehad :)
Goed wachtwoord(vergrendelings) beleid.
RDP kwetsbaarheden zijn ook zeldzaam.
Handig is het zeker.

Maar zonder helm en pak op de motor is ook super handig, veel sneller even naar de shop enzo. Toch doe je dat als je slim bent niet ;)

Bij me thuis heb ik het wel, maar op het werk gaat dat toch ff anders hoor.
Jouw argument geldt dan ook voor alle SSH-enabled servers die rechtstreeks vanaf internet benaderbaar zijn. Kan ook een vulnerability voor bekend worden immers.

Het toevoegen van een extra beveiligingsschil is net als een extra ketting om je fiets: het maakt het net iets lastiger, maar de ene ketting kan net zo goed doorgeslepen worden als de ander.

Zeggen dat RDP per definitie niet via een public netwerk / internet toegankelijk moet zijn vind ik dus te kort door de bocht.

[Reactie gewijzigd door Jochem_ op 14 maart 2012 12:17]

"Zeggen dat RDP per definitie niet via een public netwerk / internet toegankelijk moet zijn vind ik dus te kort door de bocht. "

Voor bedrijven vind ik toch echt niet kunnen. Dat je thuis RDP zo beschikbaar zet kan ik me nog inbeelden, maar als bedrijf kan dit echt niet.
Met de vele nieuwe Cloud server opties, ontkom je vaak niet aan een dergelijke opzet. Zelfs bij grote partijen als Amazon en Rackspace.

Natuurlijk kun je er vervoglens een IP-filter etc opzetten. Maar de machines die je opgeleverd krijgt, zijn wel zo uitgerust. Dus dan kun je er bijna op vertrouwen dat een flink percentage nog steeds zo ingesteld zal staan.
RDP, SSH, VNC of Telnet, geen van deze methoden wordt door mijn firewall naar binnen doorgestuurd. Je maakt maar een VPN, en die VPN maakt gebruik van SSTP en certificaten i.p.v. een wachtwoord / user id.
Gebruik het zelf ook wel om mijn thuismachine even snel te bereiken.
Gelukkig installeer ik regelmatig de updates, dat ga ik aankomende weken dus nog vaker doen, daarnaast gebruik ik de standaard poort niet dus dat maakt het al iets minder kwetsbaar.
En Windows 2000? Ok, out of support maar wordt nog VEEL gebruikt...
Zoals je zegt: Out of Support.

Maar ga er maar gewoon vanuit dat deze bug er altijd in heeft gezeten.
Dus daarop RDP af zetten (voor van buitenaf in ieder geval) eb eeb andere oplossing vinden voor beheer op afstand.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013