Zeer gevaarlijk lek in Windows

hacker-3062252

Afgelopen dinsdag 14 mei gingen wereldwijd alarmbellen af: Microsoft bracht een patch uit voor Windows XP. En dat was zeer ongebruikelijk, omdat  de ondersteuning voor deze versie al sinds 2014 gestopt is. Tevens kwam er ook nog een patch voor Windows Server 2003 uit (ook al jaren geen ondersteuning meer). Wat is er aan de hand?

Het betrof een patch voor een probleem met 'Remote Desktop Services' (RDS) dat gebruikt wordt om op afstand de besturing van een pc over te nemen. Dat is natuurlijk enorm makkelijk voor beheer op afstand, maar kan natuurlijk ook misbruikt worden. Nu blijkt er een probleem met RDS te zijn, waardoor een hacker een pc kan overnemen zonder een wachtwoord te hoeven gebruiken en zonder dat de gebruiker van de pc iets hoeft te doen. Het is door een worm te gebruiken, en kan zich dus snel van de ene naar de andere pc verplaatsen, net zoals de WannaCry malware van een paar jaar geleden. Destijds was er voor WannaCry ook op tijd een patch beschikbaar, maar dat wil nog niet zeggen dat die ook overal geïnstalleerd was; en daarom kon WannaCry zijn gang gaan.

Microsoft heeft niet bekend gemaakt waar het probleem in RDS zit, alleen dat het in de 'pre-authenticatie' fase zat. Maar binnen een dag had iemand het lek zelf al gevonden en later volgde nog een melding. En de kwetsbaarheid  kan dan natuurlijk ook door kwaadwillende hackers bedacht worden, en dan is het hek van de dam, althans dat vreest de cybersecurity-gemeenschap. Gebruikers van de kwetsbare Windows-versies krijgen dan ook van alle kanten het dringende advies om de patch van Microsoft te installeren, of om compenserende maatregelen te nemen. Latere Windows-versies (8, 10) zijn niet kwetsbaar.

Maar wie gebruikt er nog steeds Windows XP? Nadat Microsoft op 8 april 2014 de ondersteuning ervan stopte, is het aantal gebruikers wel snel gedaald, maar desondanks zijn (volgens zoekmachine https://blog.binaryedge.io/2019/05/15/rdp-exposed-on-the-internet/) zo’n 3 miljoen pc’s rechtstreeks via internet op RDP bereikbaar, waaronder industriële besturingssystemen zonder wachtwoord. Beveiligingsbedrijf CyberX onderzocht 850 industriële installaties, en vond dat 53% nog werkte met niet meer ondersteunde Windows varianten.

Dossiers