Ook Amerikaanse overheid waarschuwt voor gevaren BlueKeep-kwetsbaarheid

De Amerikaanse overheid waarschuwt in navolging van bedrijven en inlichtingendiensten voor mogelijke 'WannaCry-achtige toestanden' naar aanleiding van de BlueKeep-kwetsbaarheid. Daarvoor is een patch beschikbaar, maar niet iedereen heeft die doorgevoerd.

De waarschuwing komt van het Department of Homeland Security, het Amerikaanse ministerie van Binnenlandse Veiligheid. Daarin waarschuwt de Amerikaanse overheid dat aanvallers een kwetsbaarheid in oudere versies van Windows kunnen misbruiken om een virus naar andere systemen te verspreiden. De aanval wordt 'wormable' genoemd en heeft daarom het risico net zoveel schade te veroorzaken als bijvoorbeeld WannaCry, de ernstige ransomware uit 2017.

Het ministerie waarschuwt systeembeheerders dat zij hun systemen moeten patchen. Microsoft heeft inmiddels een patch uitgebracht voor de kwetsbaarheid, maar nog lang niet iedereen heeft die doorgevoerd. Daarom zijn miljoenen computersystemen over de hele wereld nog steeds kwetsbaar. De waarschuwing van het ministerie is de eerste van de Amerikaanse overheid zelf. Hiervoor waarschuwden ook Microsoft zelf en de inlichtingendienst NSA.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 18-06-2019 09:33 33

18-06-2019 • 09:33

33

Lees meer

Securitybedrijf zet exploit voor BlueKeep-kwetsbaarheid op GitHub
Securitybedrijf zet exploit voor BlueKeep-kwetsbaarheid op GitHub Nieuws van 7 september 2019
Hackers maken 7,5TB data buit bij zakelijk contact Russische inlichtingendienst
Hackers maken 7,5TB data buit bij zakelijk contact Russische inlichtingendienst Nieuws van 21 juli 2019
Nieuw ontdekte ransomware richt zich op nas-systemen van QNAP
Nieuw ontdekte ransomware richt zich op nas-systemen van QNAP Nieuws van 11 juli 2019
Opnieuw betaalt Amerikaanse stad losgeld na ransomware-infectie
Opnieuw betaalt Amerikaanse stad losgeld na ransomware-infectie Nieuws van 26 juni 2019
Amerikaanse stad betaalt 534.000 euro losgeld na ransomwareaanval
Amerikaanse stad betaalt 534.000 euro losgeld na ransomwareaanval Nieuws van 20 juni 2019
Nederlandse politie gaat onlineaangifte ransomware mogelijk maken
Nederlandse politie gaat onlineaangifte ransomware mogelijk maken Nieuws van 14 juni 2019
NSA waarschuwt systeembeheerders om BlueKeep-patch toe te passen
NSA waarschuwt systeembeheerders om BlueKeep-patch toe te passen Nieuws van 5 juni 2019
Onderzoekers vinden zero-daylek in remote desktop protocol
Onderzoekers vinden zero-daylek in remote desktop protocol Nieuws van 5 juni 2019
Meer producten en artikelen
Networking en security Malware NSA Ransomware Verenigde staten

Reacties (33)

-Moderatie-faq
33
29
12
2
1
6
Wijzig sortering
Robbemans 18 juni 2019 09:48
De vragen die overblijven na het lezen van dit artikel:
1. Wat is de kwetsbaarheid?
2. Welke systemen zijn vatbaar?
3. Hoe los je het op?

En hierbij direct uit het artikel van de CISA:

1. BlueKeep (CVE-2019-0708) exists within the Remote Desktop Protocol (RDP) used by the Microsoft Windows OSs listed above. An attacker can exploit this vulnerability to perform remote code execution on an unprotected system.

2. De volgende systemen zijn vatbaar:
  • Windows 2000
  • Windows Vista
  • Windows XP
  • Windows 7
  • Windows Server 2003
  • Windows Server 2003 R2
  • Windows Server 2008
  • - Windows Server 2008 R2
3. Hoe los je het op?
Install available patches. Microsoft has released security updates to patch this vulnerability. Microsoft has also released patches for a number of OSs that are no longer officially supported, including Windows Vista, Windows XP, and Windows Server 2003. As always, CISA encourages users and administrators to test patches before installation.

Link van Microfsoft met alle mogelijke patches:
https://portal.msrc.micro...ce/advisory/CVE-2019-0708

En als een systeem niet gepatcht kan worden:
For OSs that do not have patches or systems that cannot be patched, other mitigation steps can be used to help protect against BlueKeep:
  • Upgrade end-of-life (EOL) OSs. Consider upgrading any EOL OSs no longer supported by Microsoft to a newer, supported OS, such as Windows 10.
  • Disable unnecessary services. Disable services not being used by the OS. This best practice limits exposure to vulnerabilities.
  • Enable Network Level Authentication. Enable Network Level Authentication in Windows 7, Windows Server 2008, and Windows Server 2008 R2. Doing so forces a session request to be authenticated and effectively mitigates against BlueKeep, as exploit of the vulnerability requires an unauthenticated session.
  • Block Transmission Control Protocol (TCP) port 3389 at the enterprise perimeter firewall. Because port 3389 is used to initiate an RDP session, blocking it prevents an attacker from exploiting BlueKeep from outside the user’s network. However, this will block legitimate RDP sessions and may not prevent unauthenticated sessions from being initiated inside a network.
HMC @Robbemans18 juni 2019 09:55
Misschien omdat dat in de afgelopen twee weken al meerdere keren langs is gekomen, zo ook hier op Tnet?

In de "lees meer" staan zo al twee artikelen; de originele over "de onderzoekers" en het bericht dat de NSA er voor waarschuwt.

Mooie opsomming, daar niet van, maar dat is dus al vrij uitgebreid langsgekomen.
PageFault @Robbemans18 juni 2019 10:06
Dus een probleem voor ouwe meuk. Gewoon die oude servers uitfaseren.
TBK001 @PageFault18 juni 2019 11:31
Dat gaat helaas niet altijd op.
Ik heb hier ook een situatie voor handen waarbij opdrachtgever niet af kan stappen van een Windows 2003 server.
Er loopt traject om de betreffende software om te zetten naar een ander systeem, echter dat duurt altijd.
Geen kwestie van geld of wil, maar de mogelijkheden zijn vanwege het maatwerk zeer beperkt.
En wanneer een applicatie zo diepgeworteld in de organisatie zit is afschrijven niet zomaar mogelijk.
Tot die tijd is het enige wat kan proberen die omgeving zo veilig mogelijk af te bakenen.
Anoniem: 169091 @TBK00118 juni 2019 11:36
In dat geval kun je wellicht RDP dichtzetten, of op zijn minst achter een gode firewall.
PageFault @Anoniem: 16909118 juni 2019 12:24
Of de uitgebrachte patch installeren.
Anoniem: 169091 @PageFault18 juni 2019 12:52
Je hebt gelijk, in dit geval kan dat. Eigenlijk ook alleen maar omdat Microsoft nog bereid was een patch uit te brengen voor iets dat al lang EoL is.
PageFault @Anoniem: 16909118 juni 2019 13:34
Ja, dat is een hand die microsoft dan nog wil uitsteken. De lijst met OSen die dat betreft, zie je nog best veel in het veld.

Er zijn ook best veel bedrijven die nog een flinke zak geld hebben betaald voor o.a. extra support voor Windows XP etc.
PageFault @TBK00118 juni 2019 12:24
Klopt, 2003 kom ik zelf niet meer tegen, maar 2008 (R2) nog wel veel. Die gaan er nu in rap tempo uit.

XP kom ik ook nog regelmatig tegen.
hspenkelink @Robbemans18 juni 2019 09:50
Tnx, nuttige info!
DrPoncho @Robbemans18 juni 2019 09:50
Netjes opgesomd. Beter dan het artikel inderdaad, en dat voor Tweakers :/
Legi0n @Robbemans18 juni 2019 10:34
Customer guidance for CVE-2019-0708 van Microsoft voor oudere systemen:
https://support.microsoft...uidance-for-cve-2019-0708
adje123 @Jean luc Picard18 juni 2019 10:12
Hoezo? Als je vaker op Tweakers.net zit dan weet je dat dit al vaker naar voren is gekomen in andere artikelen. De meerderheid van de Tweakers die dit interessant vinden weten dat en zitten niet te wachten op al bekende informatie in een nieuw artikel.
Robbemans @adje12318 juni 2019 10:45
Er zit geen context aan het T.net artikel. Er had op zijn minst een linkje in kunnen staan met 'lees hier meer' en de informatie die ik erbij haalde. Nu versnippert het continu.

Dit is een algemeen probleem op T.net de laatste tijd: artikelen zonder echte context en/of diepgang. Ja, het is vaker voorbij gekomen en ja, als je vaker komt dan had je dit kunnen weten. Maar... kijk eens naar andere reacties hieronder. Daar wordt ook meermaals om context gevraagd. Hoeveel werk is het om het artikel uit te breiden met een 'how to', zodat iemand die niet zo vaak komt niet alsnog alles bij elkaar moet zoeken?
T.Net had eigenlijk een artikel moeten maken over BlueKeep en daarin een opsomming maken die ik al aangaf en daar dan naar verwijzen.
HMC @Robbemans18 juni 2019 11:06
Het NSA-artikel staat gelinkt in het artikel zelf.
"Lees meer" staat (altijd) direct onder het artikel. Zo nu ook.

[Reactie gewijzigd door HMC op 23 juli 2024 08:38]

adje123 @Robbemans18 juni 2019 11:23
Er staat gewoon onder het ertikel "Lees meer". Guess what, daar kan je meer lezen ;-)
Jean luc Picard @adje12318 juni 2019 10:44
Het gaat er niet om, dat jij, ik of andere Tweakers, drie weken geleden al op de hoogte waren van dit lek. Er zijn genoeg gebruikers die hier niet dagelijks komen en geen idee hebben, waar het oorspronkelijke artikel over gaat.
@Robbemans , heeft dit netjes en bondig uitgelegd.
Edit:typo

[Reactie gewijzigd door Jean luc Picard op 23 juli 2024 08:38]

HollowGamer 18 juni 2019 10:00
Ik begrijp nooit waarom je RDP direct zou willen openzetten zonder iets van een VPN ertussen. Waarom zou je dat risico willen lopen? De poort veranderen helpt ook al vaak om aanvallen af te slaan, maar dat lijkt me meer een slechte workaround.
Overigens niet alleen RDP staan vaak direct open, ook genoeg camera's, routers, etc.

Jammer dat er btw. zoveel nog op oudere OS'en draaien, ook al is het Enterprise, je hebt jaren de tijd om er iets (aan te laten) doen. Desnoods draai je die bakken los van het netwerk, al begrijp ik wel dat geld hierin nu eenmaal een rol speelt. Misschien moeten managers maar eens worden wakkergeschud als al hun data is gecryptolocked. Achja, geven we de IT-mensen toch de schuld?

[Reactie gewijzigd door HollowGamer op 23 juli 2024 08:38]

Wim-Bart @HollowGamer18 juni 2019 17:07
Poort veranderen aan de buitenkant heeft geen zin. Dat is security by obscurity. Wanneer ik wel eens een penetrantie test deed dan deed ik het volgende:

Test of RDP poort open staat. Nee tel er even 1000 bij op of 10000. Hey ik zie RDP reactie op 13389 of 23389 en hopsa binnen. En zo doen hackers dat ook. Port remapping is geen oplossing.
HollowGamer @Wim-Bart18 juni 2019 17:17
Ik gebruik daarvoor meestal een random nummer generator met hoge nummers die dus buiten de gereserveerde lijst zitten. Het is best grappig om dan te zien dat SSH scans/penetratie stoppen door deze scripts.

Hackers kunnen ook gebruikmaken van een tool als nmap, al is dat wel heel erg langzaam, maar daarmee krijg je meestal wel de juiste poorten mee te pakken. Vandaar gewoon een VPN of zoals @The Zep Man NLA ertussen hangen met bruteforce protectie.

[Reactie gewijzigd door HollowGamer op 23 juli 2024 08:38]

The Zep Man
@HollowGamer18 juni 2019 10:51
Ik begrijp nooit waarom je RDP direct zou willen openzetten zonder iets van een VPN ertussen.
Of als men geen VPN gebruikt, waarom men niet Network Level Authentication inschakelt. Met NLA is deze kwetsbaarheid niet te misbruiken als men niet is ingelogd.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 08:38]

maxxie85 18 juni 2019 09:50
Gaat dit om het lek in het RDP protocol waarvan een tijdje terug ook al een melding was gemaakt dat er een miljoen computers niet gepatched waren. Terwijl die patch al lang beschikbaar is. En dat het vooral voor systemen kwetsbaar is die direct vanaf het internet te bereiken zijn?
Dick Ravestein 19 juni 2019 03:30
Als het veiligheid betreft kun je niet "vaak" genoeg even herhalen welke oplossingen er zijn en waar ze beschikbaar zijn.
-=bas=- 18 juni 2019 09:51
De patch van Microsoft :

https://portal.msrc.micro...ce/advisory/CVE-2019-0708

Voor degene met een moeder die nog steeds tevreden is met Windows7. O-)
mjtdevries @Het.Draakje18 juni 2019 16:43
dus waarom een gewone gebruiker nog op 7 zou kunnen zitten ontgaat mij volledig.
Wellicht omdat ze geen zin hebben om opnieuw Windows 10 te kopen als ze hun hardware upgraden?

Wat Microsoft er niet bij vertelde bij hun "gratis" upgrade is dat je retail Win7 ineens een OEM win10 werd.
Dus als je een stevige hardware upgrade doet, dan moet je ineens Win10 kopen, terwijl je dat met win7 niet hoeft te doen.
Wim-Bart @mjtdevries18 juni 2019 17:02
Tja ik snap eigenlijk niet dat mensen geen geld willen uitgeven voor een OS wat continu gebruikt wordt en je afschrijft in 5 jaar. Maar wel een game kopen van 70 euro en dat een paar keer spelen en afschrijft in een dag en dat een paar keer in 5 jaar en hardware kopen voor 1000-2000 euro waarvan de capaciteit maar gemiddeld hooguit 20% gebruikt wordt.
Jean luc Picard @mjtdevries18 juni 2019 22:36
Gebruik je win 7 key, die werkt ook voor win 10.
Tenminste mijn win 7 Enterprise key gebruik ik nu voor win 10 pro.
mjtdevries @Het.Draakje19 juni 2019 10:44
Onbegrijpelijk dat iemand je op -1 gemodereerd heeft want je geeft goed bedoeld advies.

Ik had al een gratis upgrade gedaan. Ik denk niet dat je dan bij nieuwe hardware met dezelfde oude win7 licentie opnieuw een gratis upgrade kunt doen.

Ik heb vervolgens inderdaad zo'n online key gebruikt. Ik heb artikelen gevonden dat het in Duitsland volledig legaal is, dus ik denk ook voor Nederland. (En gekocht bij een Nederlandse verkoper)
Alleen weet ik niet waar jij 13 euro gevonden hebt. Ik kom eerder op 20 tot 25 euro uit. Nog steeds een prima bedrag vergeleken met 200 euro. :)

Ik begrijp niet waarom Microsoft een consument uitmelkt voor 200 euro terwijl grote bedrijven kortingen tot 90% krijgen op Microsoft licenties.
Het.Draakje @mjtdevries19 juni 2019 12:16
Er zijn veel bedrijven die online een key verkopen. En soms heten ze zo: onlinekeys.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq