een unpatched testmachine met W7 of XP er op aan het net en wachten maar ...
Net als een pot honing in het bos (of een jonge vrouw om een spion of regeringsafgevaardigde geheimen te ontfutselen)
Een unpatched testmachine is niet altijd even handig, vooral als je de nodige tools niet hebt. Een testmachine binnen je eigen netwerk is sowieso niet aan te raden als je wilt experimenteren mer virussen en/of exploits.
Een exploit kan ook in je netwerk nestelen als je bijv. een NAS of een HTPC hebt en vanuit daar je exploit verder uitbreiden binnen je thuis netwerk. Een exploit als Wannacry zoekt juist binnen je netwerk af naar bestanden die belangrijk voor je zijn (foto's, video's, documenten e.d.). Ik weet alleen niet of er ook ransomware voor NAS systemen daadwerkelijk bestaat, maar de kans acht ik juist wel groot dat het bestaat.
een unpatched testmachine wordt ook wel als een zombie device gezien. Als je een fysieke machine hebt, dan mag de ISP waar je zit, je afsluiten omdat je verdachte verkeer binnenhaalt en ze niet willen dat door iemand de gehele netwerk gaat platleggen (botnet).
Daarnaast komen virussen en exploits niet zo maar binnen, je moet eerst geïnfecteerd worden. Dit kan gebeuren door zowel advertenties die geïnfecteerd zijn of waarbij sites gekaapt worden en voordat de site geladen is, al een script inladen. Andere manier is om een geïnfecteerde bestand naar binnen te halen of sites te bezoeken waarbij er geen geldige certificaat is en dus niet achterhaald kan worden of de verbinding wel veilig verloopt. Het kan ook zijn dat malafide sites een geldige certificaat hebben, waardoor je denkt dat de site wel bonafide is, terwijl het niet zo is.
Met een unpatched Windows XP en W7 machine kom je het web al niet op, omdat de browsersupport EOL is, tenzij je Chrome of IE11 erop zet. Ook heb je vanaf Windows 7 de ingebouwde Windows Defender.
Echter is het niet aan de raden om zelf virussen en exploits te zoeken als je er zelf geen verstand van hebt. Onderzoekers daarentegen weten meestal wat ze doen en hebben altijd logging en monitoring aan staan.
Zoals vermeld in het artikel gaat het om een vulnerability in de RDP services van Windows, iets wat meestal een doel is van kwaadaardige exploits, gezien een RDP sessie toegang geeft tot meer machines. Voor zover ik het weet zijn er in het verleden wel exploits en zero days in de RDP services gevonden, echter weet ik niet of die exploits ook daadwerkelijk werden misbruikt en hoeveel mensen daadwerkelijk slachtoffer van zijn geworden.
Naar mijn inziens zou dit ook betekenen dat bijv. door nep Microsoft mensen je wordt gebeld en dat er een vulnerability is gevonden en dat hun jouw machine moeten updaten, zo kunnen zij dus er voor zorgen dat zij een vulnerability alsnog plaatsen en toegang hebben tot jouw gegevens en netwerk.
OT:
Hoeveel procent van alle machines zouden nog op Windows XP zitten? Windows 7 begint wel langzamerhand af te bouwen en steeds meer mensen gaan dan naar Windows 10. Ik ben dan ook benieuwd of deze exploit ook Windows 10 treft, of alleen oudere Windows versies die EOL zijn en alleen zeer kritische updates krijgen.