Beveiligingslekken bij Microsoft Windows

Microsoft adviseert Windows-gebruikers om zo snel mogelijk de Microsoft beveiligingsupdates van augustus te installeren.

Remote Desktop Services

Er zijn verschillende kwetsbaarheden geconstateerd in Windows Remote Desktop Services, dat voorheen Terminal Services heette. Deze kwetsbaarheden zijn door een worm te misbruiken en maakt het mogelijk voor een aanvaller om op afstand systemen over te nemen, zonder dat hier interactie met gebruikers voor nodig is.
Voor de zwakheden bij Remote Desktop Services is gisteren al gewaarschuwd. Microsoft kwam met updates voor 93 kwetsbaarheden. De belangrijkste beveiligingslekken, zijn de vier gevonden kwetsbaarheden in Remote Desktop Services. Microsoft gaf voor twee van deze lekken zelfs een aparte waarschuwing, aangezien een aanvaller enkel via RDP een verbinding hoeft te maken met de computer.

Soorten Windows

In tegenstelling tot het recente BlueKeep-lek wat bij Windows was aangetroffen, zijn de Remote Desktop Services kwetsbaarheden nieuw, en worden ze weergegeven als CVE-2019-1181 en CVE-2019-1182. Deze zijn ook in Windows 10 en Server 2012 aanwezig. Wat Microsoft opmerkelijk vindt, is dat Windows XP, Server 2003 en Server 2008 niet kwetsbaar zijn. Ook het protocol (RDP, oftewel Remote Desktop Protocol) is niet kwetsbaar.

Updates

Er zijn van de 93 kwetsbaarheden die Microsoft heeft gevonden, 29 als ernstig aangemerkt. Dit houdt in dat een aanvaller deze zou kunnen gebruiken om systemen over te nemen. In Microsoft Edge en Graphist zijn de meeste kwetsbaarheden aanwezig. Er zullen op de meeste systemen automatisch beveiligingsupdates worden geïnstalleerd.

Windows DHCP Client-lek

De kwetsbaarheid die gevonden is in de Windows DHCP Client, is een andere beveiligingslek dat aandacht verdient. Een aanvaller kan door een speciaal geprepareerd pakket de computer van het slachtoffer overnemen. Hiervoor is net als bij de Remote Desktop Services geen interactie vereist. Volgens Zero Day Initiative is het in theorie ook mogelijk dat een worm zich via dit lek kan verspreiden.

LNK-lek

Negen jaar geleden werd er een Stuxnetworm ontdekt die misbruik maakte van een lek in LNK-bestanden. Momenteel wordt het besturingssysteem geplaagd door een soortgelijke kwetsbaarheid. Wanneer een slachtoffer een kwaadaardig LNK-bestand opent, kan een aanvaller systemen overnemen. Zo’n bestand zou door een aanvaller op een USB-stick kunnen worden gezet.

Kwetsbaarheid Microsoft Word

Daarnaast worden gebruikers van Microsoft Word gewaarschuwd voor kwetsbaarheden die op afstand zijn te misbruiken. Bij de meeste lekken openen slachtoffers een kwaadaardig document met een exploit. In dit geval is dat echter niet nodig. Door de voorbeeldweergave (preview pane) in Microsoft Outlookis het ook mogelijk om de kwetsbaarheid aan te vallen op afstand en kwaadaardige code uit te voeren.

Oplossing Remote Desktop Services kwetsbaarheid

Microsoft heeft tijdens het extra beveiligen van Remote Desktop Services de kwetsbaarheden gevonden en heeft verder geen aanwijzingen dat derde partijen afwisten van de beveiligingslekken. Windows-gebruikers kunnen het beste zo snel mogelijk de beschikbare updates te installeren. Het inschakelen van Network Level Authentication (NLA) is een gedeeltelijke oplossing voor dit probleem. Hierdoor moet een aanvaller zich namelijk eerst authenticeren.

Bron: Security.nl