Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ook Amerikaanse overheid waarschuwt voor gevaren BlueKeep-kwetsbaarheid

De Amerikaanse overheid waarschuwt in navolging van bedrijven en inlichtingendiensten voor mogelijke 'WannaCry-achtige toestanden' naar aanleiding van de BlueKeep-kwetsbaarheid. Daarvoor is een patch beschikbaar, maar niet iedereen heeft die doorgevoerd.

De waarschuwing komt van het Department of Homeland Security, het Amerikaanse ministerie van Binnenlandse Veiligheid. Daarin waarschuwt de Amerikaanse overheid dat aanvallers een kwetsbaarheid in oudere versies van Windows kunnen misbruiken om een virus naar andere systemen te verspreiden. De aanval wordt 'wormable' genoemd en heeft daarom het risico net zoveel schade te veroorzaken als bijvoorbeeld WannaCry, de ernstige ransomware uit 2017.

Het ministerie waarschuwt systeembeheerders dat zij hun systemen moeten patchen. Microsoft heeft inmiddels een patch uitgebracht voor de kwetsbaarheid, maar nog lang niet iedereen heeft die doorgevoerd. Daarom zijn miljoenen computersystemen over de hele wereld nog steeds kwetsbaar. De waarschuwing van het ministerie is de eerste van de Amerikaanse overheid zelf. Hiervoor waarschuwden ook Microsoft zelf en de inlichtingendienst NSA.

Door Tijs Hofmans

Redacteur privacy & security

18-06-2019 • 09:33

33 Linkedin Google+

Reacties (33)

Wijzig sortering
De vragen die overblijven na het lezen van dit artikel:
1. Wat is de kwetsbaarheid?
2. Welke systemen zijn vatbaar?
3. Hoe los je het op?

En hierbij direct uit het artikel van de CISA:

1. BlueKeep (CVE-2019-0708) exists within the Remote Desktop Protocol (RDP) used by the Microsoft Windows OSs listed above. An attacker can exploit this vulnerability to perform remote code execution on an unprotected system.

2. De volgende systemen zijn vatbaar:
  • Windows 2000
  • Windows Vista
  • Windows XP
  • Windows 7
  • Windows Server 2003
  • Windows Server 2003 R2
  • Windows Server 2008
  • - Windows Server 2008 R2
3. Hoe los je het op?
Install available patches. Microsoft has released security updates to patch this vulnerability. Microsoft has also released patches for a number of OSs that are no longer officially supported, including Windows Vista, Windows XP, and Windows Server 2003. As always, CISA encourages users and administrators to test patches before installation.

Link van Microfsoft met alle mogelijke patches:
https://portal.msrc.micro...ce/advisory/CVE-2019-0708

En als een systeem niet gepatcht kan worden:
For OSs that do not have patches or systems that cannot be patched, other mitigation steps can be used to help protect against BlueKeep:
  • Upgrade end-of-life (EOL) OSs. Consider upgrading any EOL OSs no longer supported by Microsoft to a newer, supported OS, such as Windows 10.
  • Disable unnecessary services. Disable services not being used by the OS. This best practice limits exposure to vulnerabilities.
  • Enable Network Level Authentication. Enable Network Level Authentication in Windows 7, Windows Server 2008, and Windows Server 2008 R2. Doing so forces a session request to be authenticated and effectively mitigates against BlueKeep, as exploit of the vulnerability requires an unauthenticated session.
  • Block Transmission Control Protocol (TCP) port 3389 at the enterprise perimeter firewall. Because port 3389 is used to initiate an RDP session, blocking it prevents an attacker from exploiting BlueKeep from outside the user’s network. However, this will block legitimate RDP sessions and may not prevent unauthenticated sessions from being initiated inside a network.
Misschien omdat dat in de afgelopen twee weken al meerdere keren langs is gekomen, zo ook hier op Tnet?

In de "lees meer" staan zo al twee artikelen; de originele over "de onderzoekers" en het bericht dat de NSA er voor waarschuwt.

Mooie opsomming, daar niet van, maar dat is dus al vrij uitgebreid langsgekomen.
Dus een probleem voor ouwe meuk. Gewoon die oude servers uitfaseren.
Dat gaat helaas niet altijd op.
Ik heb hier ook een situatie voor handen waarbij opdrachtgever niet af kan stappen van een Windows 2003 server.
Er loopt traject om de betreffende software om te zetten naar een ander systeem, echter dat duurt altijd.
Geen kwestie van geld of wil, maar de mogelijkheden zijn vanwege het maatwerk zeer beperkt.
En wanneer een applicatie zo diepgeworteld in de organisatie zit is afschrijven niet zomaar mogelijk.
Tot die tijd is het enige wat kan proberen die omgeving zo veilig mogelijk af te bakenen.
In dat geval kun je wellicht RDP dichtzetten, of op zijn minst achter een gode firewall.
Of de uitgebrachte patch installeren.
Je hebt gelijk, in dit geval kan dat. Eigenlijk ook alleen maar omdat Microsoft nog bereid was een patch uit te brengen voor iets dat al lang EoL is.
Ja, dat is een hand die microsoft dan nog wil uitsteken. De lijst met OSen die dat betreft, zie je nog best veel in het veld.

Er zijn ook best veel bedrijven die nog een flinke zak geld hebben betaald voor o.a. extra support voor Windows XP etc.
Klopt, 2003 kom ik zelf niet meer tegen, maar 2008 (R2) nog wel veel. Die gaan er nu in rap tempo uit.

XP kom ik ook nog regelmatig tegen.
Tnx, nuttige info!
Netjes opgesomd. Beter dan het artikel inderdaad, en dat voor Tweakers :/
Customer guidance for CVE-2019-0708 van Microsoft voor oudere systemen:
https://support.microsoft...uidance-for-cve-2019-0708
Hoezo? Als je vaker op Tweakers.net zit dan weet je dat dit al vaker naar voren is gekomen in andere artikelen. De meerderheid van de Tweakers die dit interessant vinden weten dat en zitten niet te wachten op al bekende informatie in een nieuw artikel.
Er zit geen context aan het T.net artikel. Er had op zijn minst een linkje in kunnen staan met 'lees hier meer' en de informatie die ik erbij haalde. Nu versnippert het continu.

Dit is een algemeen probleem op T.net de laatste tijd: artikelen zonder echte context en/of diepgang. Ja, het is vaker voorbij gekomen en ja, als je vaker komt dan had je dit kunnen weten. Maar... kijk eens naar andere reacties hieronder. Daar wordt ook meermaals om context gevraagd. Hoeveel werk is het om het artikel uit te breiden met een 'how to', zodat iemand die niet zo vaak komt niet alsnog alles bij elkaar moet zoeken?
T.Net had eigenlijk een artikel moeten maken over BlueKeep en daarin een opsomming maken die ik al aangaf en daar dan naar verwijzen.
Het NSA-artikel staat gelinkt in het artikel zelf.
"Lees meer" staat (altijd) direct onder het artikel. Zo nu ook.

[Reactie gewijzigd door HMC op 18 juni 2019 11:07]

Er staat gewoon onder het ertikel "Lees meer". Guess what, daar kan je meer lezen ;-)
Het gaat er niet om, dat jij, ik of andere Tweakers, drie weken geleden al op de hoogte waren van dit lek. Er zijn genoeg gebruikers die hier niet dagelijks komen en geen idee hebben, waar het oorspronkelijke artikel over gaat.
@Robbemans , heeft dit netjes en bondig uitgelegd.
Edit:typo

[Reactie gewijzigd door Jean luc Picard op 18 juni 2019 10:47]

Ik begrijp nooit waarom je RDP direct zou willen openzetten zonder iets van een VPN ertussen. Waarom zou je dat risico willen lopen? De poort veranderen helpt ook al vaak om aanvallen af te slaan, maar dat lijkt me meer een slechte workaround.
Overigens niet alleen RDP staan vaak direct open, ook genoeg camera's, routers, etc.

Jammer dat er btw. zoveel nog op oudere OS'en draaien, ook al is het Enterprise, je hebt jaren de tijd om er iets (aan te laten) doen. Desnoods draai je die bakken los van het netwerk, al begrijp ik wel dat geld hierin nu eenmaal een rol speelt. Misschien moeten managers maar eens worden wakkergeschud als al hun data is gecryptolocked. Achja, geven we de IT-mensen toch de schuld?

[Reactie gewijzigd door foxgamer2019 op 18 juni 2019 10:03]

Poort veranderen aan de buitenkant heeft geen zin. Dat is security by obscurity. Wanneer ik wel eens een penetrantie test deed dan deed ik het volgende:

Test of RDP poort open staat. Nee tel er even 1000 bij op of 10000. Hey ik zie RDP reactie op 13389 of 23389 en hopsa binnen. En zo doen hackers dat ook. Port remapping is geen oplossing.
Ik gebruik daarvoor meestal een random nummer generator met hoge nummers die dus buiten de gereserveerde lijst zitten. Het is best grappig om dan te zien dat SSH scans/penetratie stoppen door deze scripts.

Hackers kunnen ook gebruikmaken van een tool als nmap, al is dat wel heel erg langzaam, maar daarmee krijg je meestal wel de juiste poorten mee te pakken. Vandaar gewoon een VPN of zoals @The Zep Man NLA ertussen hangen met bruteforce protectie.

[Reactie gewijzigd door foxgamer2019 op 18 juni 2019 17:18]

Ik begrijp nooit waarom je RDP direct zou willen openzetten zonder iets van een VPN ertussen.
Of als men geen VPN gebruikt, waarom men niet Network Level Authentication inschakelt. Met NLA is deze kwetsbaarheid niet te misbruiken als men niet is ingelogd.

[Reactie gewijzigd door The Zep Man op 18 juni 2019 15:12]

Gaat dit om het lek in het RDP protocol waarvan een tijdje terug ook al een melding was gemaakt dat er een miljoen computers niet gepatched waren. Terwijl die patch al lang beschikbaar is. En dat het vooral voor systemen kwetsbaar is die direct vanaf het internet te bereiken zijn?
Als het veiligheid betreft kun je niet "vaak" genoeg even herhalen welke oplossingen er zijn en waar ze beschikbaar zijn.
De patch van Microsoft :

https://portal.msrc.micro...ce/advisory/CVE-2019-0708

Voor degene met een moeder die nog steeds tevreden is met Windows7. O-)
dus waarom een gewone gebruiker nog op 7 zou kunnen zitten ontgaat mij volledig.
Wellicht omdat ze geen zin hebben om opnieuw Windows 10 te kopen als ze hun hardware upgraden?

Wat Microsoft er niet bij vertelde bij hun "gratis" upgrade is dat je retail Win7 ineens een OEM win10 werd.
Dus als je een stevige hardware upgrade doet, dan moet je ineens Win10 kopen, terwijl je dat met win7 niet hoeft te doen.
Tja ik snap eigenlijk niet dat mensen geen geld willen uitgeven voor een OS wat continu gebruikt wordt en je afschrijft in 5 jaar. Maar wel een game kopen van 70 euro en dat een paar keer spelen en afschrijft in een dag en dat een paar keer in 5 jaar en hardware kopen voor 1000-2000 euro waarvan de capaciteit maar gemiddeld hooguit 20% gebruikt wordt.
Gebruik je win 7 key, die werkt ook voor win 10.
Tenminste mijn win 7 Enterprise key gebruik ik nu voor win 10 pro.
Onbegrijpelijk dat iemand je op -1 gemodereerd heeft want je geeft goed bedoeld advies.

Ik had al een gratis upgrade gedaan. Ik denk niet dat je dan bij nieuwe hardware met dezelfde oude win7 licentie opnieuw een gratis upgrade kunt doen.

Ik heb vervolgens inderdaad zo'n online key gebruikt. Ik heb artikelen gevonden dat het in Duitsland volledig legaal is, dus ik denk ook voor Nederland. (En gekocht bij een Nederlandse verkoper)
Alleen weet ik niet waar jij 13 euro gevonden hebt. Ik kom eerder op 20 tot 25 euro uit. Nog steeds een prima bedrag vergeleken met 200 euro. :)

Ik begrijp niet waarom Microsoft een consument uitmelkt voor 200 euro terwijl grote bedrijven kortingen tot 90% krijgen op Microsoft licenties.
Er zijn veel bedrijven die online een key verkopen. En soms heten ze zo: onlinekeys.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Ryzen

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True