Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft en NCSC waarschuwen voor twee ernstige kwetsbaarheden in Windows

Microsoft heeft beveiligingsupdates uitgebracht voor twee kwetsbaarheden in de Remote Desktop Services van Windows. Het Nationaal Cyber Security Centrum verwacht dat de lekken binnen zeer korte termijn worden misbruikt door aanvallers en omschrijft de updates als 'urgent'.

De kwetsbaarheden in de Remote Desktop Services van Windows maken het volgens het NCSC mogelijk om op afstand code uit te voeren zonder dat daarvoor een gebruikersnaam of wachtwoord nodig is. Kwaadwillenden zouden de computer daardoor volledig kunnen overnemen als het systeem niet is geüpdatet. Het NCSC stelt verder dat een dergelijk lek op grote schaal kan worden misbruikt.

Net als het BlueKeep-lek dat eerder dit jaar werd ontdekt, zitten de twee kwetsbaarheden in de Remote Desktop Services. In tegenstelling tot BlueKeep zijn de beveiligingsrisico’s, aangeduid als CVE-2019-1181 en CVE-2019-1182, echter ook aanwezig in Windows 10, inclusief de serverversies, en Windows Server 2012 en 2012 R2. Andere kwetsbare systemen zijn Windows 7 SP1, Windows Server 2008 R2 SP1 en Windows 8.1. Volgens Microsoft lopen computers met Windows XP, Windows Server 2003 en Windows Server 2008 geen risico, en zou het Remote Desktop Protocol zelf ook niet kwetsbaar zijn.

Gebruikers kunnen de benodigde beveiligingspatches sinds dinsdagavond downloaden via de Windows Update-functie of via deze Microsoft-webpagina. Microsoft heeft naar eigen zeggen geen bewijzen dat de lekken, op het moment dat ze werden ontdekt en gepatcht, bij derde partijen bekend waren.

Door Michel van der Ven

Nieuwsredacteur

14-08-2019 • 09:57

62 Linkedin Google+

Submitter: pc-freakz

Reacties (62)

Wijzig sortering
Defence in depth
Koppel nooit je management interfaces rechtstreeks aan het internet. Maak ze alleen toegankelijk via een VPN oplossing. Het risico van deze zeer ernstige vulnerability wordt daardoor in een klap beperkt tot alleen de mensen die bij het netwerk kunnen waarop je RDP interface luistert.

Toen ik jaren terug in de security werkte, kon ik een machine zo overnemen met een vulnerability (directory traversal) juist omdat RDP open stond. Anders was het niet gelukt.

Edit: voor wie dit interessant vindt (eigen blogpost):

https://louwrentius.com/s...th-openvpn-and-linux.html

[Reactie gewijzigd door Q op 14 augustus 2019 14:06]

Eens met wat je schrijft, maar wat ik mij serieus afvraag: OpenVPN is toch ook een stuk SW dat kwetsbaarheden kan bevatten? In dat geval ben je binnen op het complete home network
Een VPN vergt óók onderhoud. Het is geen set-it-and-forget-it.

De meeste mensen met een thuisnetwerk hebben ook geen inkomende VPN mogelijkheid wat de meesten hebben dat niet nodig.

Dan heb je nog de mensen met kennis ervan die het opzetten en zelf ook regelmatig patchen.

Dan heb je ook nog een categorie waar een aardige kennis ooit een VPN ingang heeft gemaakt maar dat er daarna nooit mee iets aan wordt gedaan, dus geen updates en controles, die zijn op termijn kwetsbaar.
Een klik op een Asus router en je bent echt helemaal klaar hoor, is echt heel erg simpel
Dat snap jij, dat snap ik, maar 90% van de 'normale' mensen logt niet in op zijn router om hem te updaten. Als het werkt, dan werkt het. Dat is nu eenmaal zoals het is.
Nee, dan ben je niet klaar.
Je mag namelijk ook nog in de gaten houden of (optie1) en wanneer (optie2) je vendor firmware updates uitbrengt om oude kwetsbaarheden te fixen.
Er zijn maar bitter weinig vendors die 3rd party libs zoals OpenSSL (voor je VPN) of Samba op tijd, of uberhaupt up to date houden.
Mwa, dan ken je blijkbaar asus-merlin niet. Wordt iedere keer keurig geupdate
Dat klopt, maar het aanvalsoppervlak is kleiner. Liever 1 VPN ingang dan 100 RDP/SSH services op het internet.

Maar dat je toegang heb tot het netwerk via VPN, dat ligt er ook maar aan hoe jij je firewall inregelt. Maar dan nog, met RDP ben je ook binnen op het hele netwerk, dus dat maakt niet zoveel uit.

[Reactie gewijzigd door Q op 14 augustus 2019 13:11]

Weet jij ook hoe je RDP via VPN laat lopen en welke VPN daar het beste voor geschikt is? Ik wou het graag toepassen op mijn thuispc, maar ik kon hierover geen informatie vinden en Private Internet Access werkt hier ook niet goed voor.
Een andere optie is een SSH server, met private/public keypairs (dus geen keyboard/passwords toegestaan) en vervolgens een SSH tunnel opzetten met port-forwarding naar de RDP server. Dat is hoe ik mijn netwerk over het internet benader. Moet je alsnog wel zelf die SSH installatie onderhouden. Je zou deze kunnen overwegen: https://www.bitvise.com/ssh-server-download

[Reactie gewijzigd door DwarV op 14 augustus 2019 13:16]

OpenVPN installeren op een raspberry PI of als je router de functionaliteit ingebouwd heeft de openVPN server daar op draaien. Remote Desktop, de ingebouwde variant van Windows iig, werkt standaard alleen op je eigen netwerk ;).
OpenVPN is best wel irritant op te zetten.
Ik prefereer SoftEther, maar ondersteund ook OpenVPN communicatie.
Daarnaast, heeft het een zwaardere encryptie dan OpenVPN en is naar mijn mening simpeler te beheren, vanwege de manager die het heeft.
Wat doet SoftEther meer dan AES256? Veel "zwaarder" heeft gewoon geen zin.
RC4-MD5
RC4-SHA
AES128-SHA
AES256-SHA
DES-CBC-SHA
DES-CBC3-SHA
DHE-RSA-AES128-SHA
DHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES256-GCM-SHA384
AES256-SHA256
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384

Zover ik weet, is de encryptie beveiliging van SoftEther uitgebreider.
En daarnaast, zeggen dat veel zwaarder dan AES256 geen zin heeft, klinkt hetzelfde als destijds werd gezegd dat niemand meer dan 640K geheugen nodig zou hoeven....

Daarnaast, SoftEther is optimaler met de snelheid:
The throughput speed of the two is maybe the most important difference – while OpenVPN barely reaches 100Mbps, SoftEther can go up to 900Mbps and even higher. Therefore, if you consider speed to be the most important factor when it comes to choosing the software, SoftEther is the definite winner in this interesting competition.
En dat is wel zo fijn als je een 1gbit of snellere netwerk hebt ;)

Naast dit alles, is dat SoftEther ook gewoon op poort 443 functioneert met een SSL certificaat, waardoor je ook direct een boel filters die outgoing poort 1194 blokkeren omzeilt. Er zijn bedrijven die dit poort blokkeerd, dus heb je er weinig aan, tenzij je geforceerd poort 80 of 443 voor OpenVPN gaat gebruiken.

[Reactie gewijzigd door Power2All op 14 augustus 2019 13:16]

RC4-MD5
RC4-SHA
AES128-SHA
[...]

DES-CBC3-SHA
DHE-RSA-AES128-SHA
DHE-RSA-AES256-SHA
De vraag was 'zwaarder'. Dan moet je geen deprecated & weak ciphers opnoemen.
Ik post alleen alle bestaande crypto's die je kan kiezen.
Je vraag staat tussen alle crypto's, inclusief ook zwakkere, die ongetwijfeld OpenVPN ook als keuze heeft. Aangezien SoftEther ook OpenSSL library gebruikt, zijn de crypto's voor beiden in te stellen, al moet je bij OpenVPN opzoeken wat voor string je moet meegeven om die crypto's specifiek te gebruiken.
Daarnaast, mijn beweeg reden om SoftEther te gebruiken is het simpele configuratie methode, en de throughput is gewoon heel fijn van SoftEther, aangezien ik met 500mbit glasfiber zit, en OpenVPN maar tot max 100mbit gaat.
Sowieso komt het bij mij meer neer op gebruiksgemak, waar ik tot nu toe met SoftEther uitstekend vind.

[Reactie gewijzigd door Power2All op 15 augustus 2019 13:59]

OpenVPN kan prima op poort 443 runnen hoor, geen enkel probleem.

En dus de conclusie is dat beide dezelfde ciphers gebruiken (wie had dat gedacht he). Waarschijnlijk gebruiken ze ook dezelfde library om het voor elkaar te krijgen.

OpenVPN support iedere cipher die wordt ondersteund door OpenSSL.
Correct, heb je gelijk in, maar SoftEther ondersteund wel meer VPN Protocols dan OpenVPN:
The number of supported VPN protocols is much higher with SoftEther VPN. The VPN protocol supported by OpenVPN is just theirs while SoftEther supports EtherIP, Microsoft SSTP, L2TP/Ipsec and many others.
Shibby tomato op je router en je hebt eenvoudig OpenVPN beschikbaar.
Mja, maar wat als je niet zo'n custom router hebt.
Sowieso, draai ik het op een dedicated server, en doet het prima op Alpine Linux (SoftEther).
En heb meer throughput in SoftEther dan OpenVPN, check de benchmarks maar.
Waar OpenVPN max 100mbit kan throughputten, kan met SoftEther up to 900mbit.
Is best wel een groot verschil.
The throughput speed of the two is maybe the most important difference – while OpenVPN barely reaches 100Mbps, SoftEther can go up to 900Mbps and even higher. Therefore, if you consider speed to be the most important factor when it comes to choosing the software, SoftEther is the definite winner in this interesting competition.

[Reactie gewijzigd door Power2All op 14 augustus 2019 13:12]

Easy met dit script:

https://raspberrytips.nl/...m-openvpn-te-installeren/

En anders de betaalde applicance installeren (applicance werkt alleen met x64)

https://openvpn.net/virtual-appliances/
Er zijn ook 'scrips gemaakt voor het makkelijk instaleren van openvpn. Bijvoorbeeld pivpn is een simpele oplossen die ook makkelijk in gebruik is
3rd party tools dus nodig.
Zo heeft SoftEther ook scripts die het al makkelijke systeem, nog makkelijker en automatisering toepast.
Dat heb je voor veel producten die moeilijk te configureren zijn, maar er zijn altijd personen die het proberen makkelijker te maken voor de gebruikers, maar standaard worden die scripts niet meegeleverd.
Erg kort door de bocht. Werkt prima mits je de power forward op je router. Hoef je op de desktop zelf niets voor te doen.

Overigens, re.ote desktop werkt niet (standaard) op de home versies van W7 en W10.
Als je een RDP server vanaf buiten wil bereiken kan je het beste gebruik maken van een Remote Desktop Gateway server. De RDS server is zit dan achter een HTTP server en staat niet direct open vanaf buiten.
Meer correct: je portal site kun je dan via TLS benaderen waaroverheen het RDP traffic getunneld wordt.
Dat komt omdat in het geval van PIA en andere VPN providers hun als server fungeren en jouw pc als cliënt. Van buiten ga jij dus nooit via hun VPN service bij je eigen netwerk komen.

Wat je moet doen is een VPN server opzetten op je eigen netwerk (server) waar je vanaf bv je telefoon of laptop (cliënt) naar kan verbinden van een netwerk buiten je eigen huis.

De meeste simpele manier om een OpenVPN server te draaien zonder extra hardware of kosten is pfsense in virtual box draaien. Nadeel is wel dat je pc dan de hele tijd moet aan staan. In mijn geval had ik het draaien op een NUC die ook Emby als mediaserver draaide en daarom toch al 24/7 aanstond. Google pfsense OpenVPN server en je hebt guides die je screenshot voor screenshot laten zien wat je moet doen.

De wat duurdere routers ondersteunen tegenwoordig ook OpenVPN geloof ik. Sommige NAS ook. Anders kan je zoals een andere poster al aangaf ook een Raspberry pi kopen maar de performance van OpenVPN daarop is denk niet al te best.
Klein beetje router kan dat probleemloos.

Heb zelf een 6 jaar oud low budget Asus toetje staan, met 1 klik heb je vpn
Door een router op het netwerk te zetten die daar voor kan zorgen, prive kan een R7000 dat al, semiprofessioneel zou je dat met een draytec router kunnen doen.
Bijna iedere Asus ook de hele goedkope kunnen dat ook allemaal
Dat is niet iets wat je met een 'VPN provider' doet.
http://pivpn.io :)

Heb het een poos gedraaid op een Orange Pi Zero. Nu virtueel in Hyper-V, werkt perfect!
Als een VPN en protocol gateway goed zijn moet, of tenminste vertrouwd, dan zou ik zoiets nemen: https://www.secunet.com/e...-und-ethernet-encryptors/. Deze zijn gecertificeerd (common criteria, NATO Secret etc.). Ik denk dat je daar wel een eindje mee komt.
Ik ben allergisch voor de term Military Grade overigens. Maar dat terzijde.
Ieder z'n mening.

Los van het "Military"-element, is het voordeel is wel, dat er transparante certificerings processen zijn gevolgd. Dit is bijna nooit het geval bij commerciele VPN kastjes. Alle documenten zijn gewoon openbaar voor bijvoorbeeld Common Criteria: https://www.commoncriteriaportal.org/.

Common Criteria zegt trouwens niets over "Military"; taxi meters en pin automaten zijn ook gewoon CC gecertificeerd.

edit: "CISCO" als negatief voorbeeld weggehaald. Cisco heeft wel degelijk gecertificeerde routers.

[Reactie gewijzigd door WienerBlut op 14 augustus 2019 11:22]

Ik schrijf je een militairy grade anti-histamine voor, dan ben je er zo vanaf.
Even zoeken op het forum.
Microsoft geeft aan dat er 'wormable' lekken in RDP services zit. Of te wel, ook al zit je in een VPN je nog steeds de sjaak kan zijn als je niet update. Er hoeft maar één machine te zijn die geïnfecteerd is en je hele netwerk is alsnog de pineut. Denk nooit veilig te zijn met een VPN / firewall oplossing, zeker niet niet in een BYOD omgeving.

Citaat Microsoft:
These two vulnerabilities are also ‘wormable’, meaning that any future malware that exploits these could propagate from vulnerable computer to vulnerable computer without user interaction.

[Reactie gewijzigd door IPrange.net op 14 augustus 2019 13:21]

Dat is waar maar een VPN is dus nog steeds een hele goede mitigatie methode om het risico te beperken.

Met een VPN zijn de machines nog steeds kwetsbaar, maar er valt veel minder te 'wormen' als de kwetsbare systemen niet rechtstreeks vanaf het internet te benaderen zijn.

Het rest-risico is de mensen die ook toegang hebben tot de VPN. Afhankelijk van de grootte van je organsatie (thuisgebruiker tot MKB, enterprise) maakt dat erg uit voor je risico profiel.

Natuurlijk is een VPN geen substituut voor het patchen, maar ik wil benadrukken dat een VPN al heel veel risico weg kan nemen.
Defence in depth
Koppel nooit je management interfaces rechtstreeks aan het internet. Maak ze alleen toegankelijk via een VPN oplossing.
Zolang het geen SSL VPN is want in dezelfde periode dat dit gepubliceerd wordt heeft zo'n beetje elke VPN vendor (Cisco, Juniper/Pulse, Fortinet, Checkpoint) een shitload aan RCEs uit staan.
DefCon was 'leuk' dit keer.
Maar hoe ga je je VPN server beheren? 🤔

Die server moet wel benaderbaar naar het grote boze internet staan. En als iets benaderbaar is, is het compromised-baar.

[Reactie gewijzigd door RoestVrijStaal op 14 augustus 2019 11:16]

De keuze kan zijn om:

1. Deze expliciet alleen on-prem toegankelijk te maken in case of emergency.
2. Wel aan internet hangen maar met alleen white-listed IP-addressen met toegang.
3... er zijn zoveel opties.

Punt is: liever 1 ingang verdedigen dan 100.
Ik vind dat toch nog niet zo ernstig als het recente bericht dat volgens beveiligingsonderzoekers héél veel drivers (ook door MS gecertificeerde!) behoorlijk kwetsbaar blijken te zijn: https://eclypsium.com/201...-signed-sealed-delivered/
Vormt deze kwetsbaarheid ook een dreiging als RDP-services uitgeschakeld staan?
In het stuk van zowel het NCSC als dat van Microsoft zelf vind ik daar geen verdere uitleg over (wat doet vermoeden dat ook systemen met die instellingen kwetsbaar zijn).
Vormt deze kwetsbaarheid ook een dreiging als RDP-services uitgeschakeld staan?
Nee. Je kan ook controleren of RDS echt uitstaat door te kijken naar open poorten op de server. Als de server aangeeft dat er lokaal niets luistert op TCP poort 3389, dan staat RDS effectief uit.

Snelle one-liner om dit te controleren in Command Prompt:
netstat -ano | find ":3389"

Dat laat ook al je RDP verbindingen als client zien. Als je echter niets met 'LISTEN' ziet (of het equivalent in de taal waarin Windows is ingesteld), dan is je systeem niet kwetsbaar. Als je het wel ziet, dan houdt het in dat Remote Desktop Services staat ingeschakeld. Of je systeem dan daadwerkelijk kwetsbaar is hangt af van je lokale firewall configuratie. Volgens mij is het zo dat bij netwerken geoormerkt als 'publiek' Windows standaard geen inkomende verbindingen toelaat. Controleer echter zeker je configuratie.

[Reactie gewijzigd door The Zep Man op 14 augustus 2019 10:48]

Handiger is natuurlijk om te kijken of de service zelf draait, dat kan via de management console of:
Commandline:
sc query termservice

Of powershell:
Get-Service termservice
Tenzij je RDP op een ander poort staat natuurlijk ;) Geen slecht idee, houdt een hoop scriptkiddies alvast buiten.
Of als de service handmatig is uitgezet, dan staat er ook geen poort open, maar bij de volgende herstart wel. Controleren of de standaard RDP poort openstaat is dus niet afdoende.

@boratnl
Installeer gewoon de beveilingsupdate (die is beschikbaar). Als je geen RDP gebruikt, zet het dan op de normale manier uit. Eventueel kan de Remote Desktop Services op disabled worden gezet om te voorkomen dat het per ongeluk vanuit een programma of script wordt aangezet.
Dan zul je met PowerShell altijd nog de StartType als property terug krijgen.
Kun je alsnog zien of ie op hoort te starten, scripting die de services in- of uitschakelen daargelaten.

Get-Service termservice | ft displayname,status,starttype

[Reactie gewijzigd door Lampiz op 14 augustus 2019 12:23]

Daar heb je gelijk in. Het kan ook met sc. Het is ook geen beveiliging.
Yes, het queried alleen de System.ServiceProcess Namespace.
Je zou ook de service kunnen proben op de status :).
Tenzij je RDP op een ander poort staat natuurlijk ;)
Als je zulke wijzigingen hebt gemaakt op een lokaal systeem dan heb je mijn post niet nodig. ;)
Geen slecht idee, houdt een hoop scriptkiddies alvast buiten.
Als je daarvan afhankelijk bent om je infrastructuur te beschermen leg dan je spullen neer en huur een IT beveiligingsexpert, want dat ben je zelf echt niet. ;)

[Reactie gewijzigd door The Zep Man op 14 augustus 2019 10:56]

Bedankt voor dit antwoord, was ik ook naar op zoek.
Is het voldoende om RDP volgens de reguliere weg uit te schakelen (computer,eigenschappen,instellingen voor remote) of moet je ook services killen.
Heren (en/of dames) bedankt voor alle enorm duidelijke antwoorden!

Natuurlijk ga ik z.s.m. de update installeren (en controleren of dit ook bij andere collega's al is gebeurd), maar voor de gemoedsrust wel fijn om te weten dat mijn pc geen direct gevaar loopt omdat de service niet draait.

Ik zal de reacties die ik mag/kan plussen, plussen.
In veel gevallen biedt Network Level Authentication bescherming tegen misbruik van lekken in Remote Desktop Services door ongeauthenticeerde gebruikers. Het is dus sowieso aan te bevelen om dit te verplichten.

NLA biedt geen bescherming tegen misbruik van lekken door geauthenticeerde gebruikers, dus sowieso is het belangrijk om je systemen up-to-date te houden. ;)

[Reactie gewijzigd door The Zep Man op 14 augustus 2019 10:29]

Gelukkig automagisch de update binnen gehaald vanochtend.
Weet ik ook weer waarom de pc gereboot was. ;)
Afgezien daarvan: Begrijp ik het goed dat deze kwetsbaarheid altijd ‘aan staat’. Als in je hoeft niet remote desktop services eerst te activeren?
Ook leuk Guacamole ;) gebruiken of op je raspberry zetten, kun je via http https , RDP / VNC en SSH gebruiken. https://klim.dev/archives/88 of https://www.youtube.com/watch?v=_QNYIKeZgDg voor een walkthrough installatie !

[Reactie gewijzigd door onedutch op 14 augustus 2019 11:40]

En het vergeten besturingssysteem Windows Vista is ook niet vatbaar?
tenminste, ik zie dat Windows Server 2008 ook niet vatbaar is. Heb ik even mazzel _/-\o_
Je kunt ook voor jouw specifieke build naar de KB kijken en in de Windows updates geschiedenis bekijken of je hem al hebt.

[Reactie gewijzigd door Balder© op 14 augustus 2019 14:31]


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True