Patch nu! Waarom BlueKeep-kwetsbaarheid een groot probleem is

  • 5 minuten
  • 3 juni 2019

Wat je moet weten over het kritieke beveiligingslek dat de volgende WannaCryptor mogelijk kan maken

Herinner je de paniek op 12 mei 2017 binnen organisaties wereldwijd toen machine na machine een scherm met WannaCryptor-ransom toonde? Nou, er is een mogelijkheid dat er de komende dagen, weken of maanden een soortgelijk incident plaats zal vinden als bedrijven hun oudere Windowssystemen niet updaten – of op andere manieren beschermen. De reden daarvoor is de Remote Code Execution-kwetsbaarheid (RCE) CVE-2019-0708 (beter bekend als BlueKeep). BlueKeep is een ‘wormable’ en gevaarlijke RCE-kwetsbaarheid in Remote Desktop Services die misbruikt kan worden voor het verspreiden van malware. Een patch is sinds 14 mei door Microsoft beschikbaar gemaakt voor zowel ondersteunde als enkele niet-ondersteunde besturingssystemen. 

De BlueKeep-kwetsbaarheid was ontdekt in Remote Desktop Services (vroeger bekend als Terminal Services). Wanneer dit in de toekomst succesvol wordt misbruikt, kunnen aanvallers toegang tot de gerichte computer verkrijgen zonder inloggegevens of gebruikersinteractie nodig te hebben. 

Microsoft waarschuwde echter ook dat het BlueKeep-lek ‘wormable’ is. Dat betekent dat hackers en malware de kwetsbaarheid mogelijk kunnen misbruiken om zichzelf te repliceren en te verspreiden. Dat is vergelijkbaar met hoe de EternalBlue-exploit misbruikt werd met WannaCry en NotPetya

Naar aanleiding van deze nieuwste patches van Microsoft waren securityonderzoekers in staat een aantal functionerende proofs-of-concept te creëren, maar ten tijde van publicatie zijn deze niet openbaar gemaakt en zijn er geen gevallen bekend waarin deze kwetsbaarheid in the wild wordt misbruikt. 

De kwetsbaarheid tast meerdere versies van Microsofts besturingssystemen aan, zowel ondersteunde en niet langer ondersteunde versies. Gebruikers van Windows 7, Windows Server 2008 R2 en Windows Server 2008 met automatische updates zijn beschermd. Microsoft heeft ook speciale updates uitgebrachte voor niet-ondersteunde versies, namelijk Windows XP en Windows Server 2003, welke gedownload kunnen worden via deze site. Windows 8 en Windows 10 worden niet aangetast door de kwetsbaarheid. 

Microsoft heeft geen patches gepubliceerd voor Windows Vista ondanks dat deze versie ook kwetsbaar kan zijn voor de exploit. De enige oplossing in dit geval is het volledig uitschakelen van Remote Desktop Protocol (RDP) of gebruik ervan alleen toelaten wanneer gebruikt via een VPN. 

Elk bedrijf dat slecht geconfigureerde RDP via het internet gebruikt, kan haar gebruikers en middelen in gevaar brengen; je loopt namelijk groot risico om gehackt te worden. Naast kwetsbaarheden als BlueKeep, stel je de server ook bloot voor ‘brute force’-aanvallen. 

De BlueKeep-situatie doet sterk denken aan de gebeurtenissen van twee jaar geleden. Op 14 maart 2017 heeft Microsoft oplossingen gepubliceerd voor een wormable kwetsbaarheid in het Server Message Block-protocol (SMB) met het advies aan alle gebruikers om zo snel mogelijk hun Windows-machines te patchen. De reden voor deze patches was de EternalBlue-exploit waarmee de kwetsbaarheid binnen het SMB-protocol misbruikt kon worden. Een maand later werd EternalBlue online gelekt om enkele weken later de twee meest schadelijke cyberaanvallen in recente geschiedenis mogelijk te maken: WannaCry(ptor) en NotPetya (Diskcoder.C)

Een soortgelijk scenario kan nu ontstaan door de wormable eigenschappen van BlueKeep. Werkende proofs-of-concept zijn inmiddels beschikbaar gemaakt en publiek toegankelijk. De kans is groot dat de malware erg populair wordt onder de minder bekwame cybercriminelen en ook een lucratieve zaak vormen voor de bedenker. 

BlueKeep zal ook demonstreren of organisaties wereldwijd een les hebben geleerd van de grote uitbraken en of ze hun beveiliging en updateroutines hebben verbeterd. Kortom, organisaties en gebruikers worden geadviseerd om het volgende te doen:

  1. Updaten, updaten en nog eens updaten. Als jij of je organisatie een ondersteunde versie van Windows gebruikt, zorg dat de nieuwste updates geïnstalleerd zijn. Zet indien mogelijk automatische updates aan. Als je om wat voor reden dan ook nog steeds een niet-ondersteunde versie gebruikt als Windows XP of Windows Server 2003, download en installeer de patches dan zo snel mogelijk. 
  1. Zet Remote Desktop Protocol uit. Ondanks dat RDP zelf niet kwetsbaar is, adviseert Microsoft organisaties om RDP uit te zetten tot de nieuwste patches zijn toegepast. Daarbij, om je algemene kwetsbaarheid te verminderen, zou RDP alleen aan moeten staan op apparaten waar het echt nodig is en gebruikt wordt. 
  1. Configureer RDP goed. Als je organisatie RDP écht moet gebruiken, stel dit dan niet bloot aan het openbare internet. Alleen apparaten op de LAN, of via VPN, zouden een remote sessie moeten kunnen starten. Een andere mogelijkheid is het filteren van RDP-toegang met een firewall en alleen een bepaalde IP-reeks te goedkeuren. De veiligheid van je remote sessies kunnen nog verder verbeterd worden door het gebruik van multifactorauthenticatie (MFA/2FA). 
  1. Network Level Authentication (NLA) aanzetten. BlueKeep kan deels beperkt worden door NLA aan te zetten omdat het om authenticatie van de gebruiker vraagt voor een remote sessie gestart kan worden: de kwetsbaarheid kan dus niet misbruikt worden. Microsoft voegt echt er wel toe dat “getroffen systemen nog steeds kwetsbaar zijn voor exploitatie van RCE als de aanvaller legitieme inloggegevens heeft die gebruikt kunnen worden voor succesvolle authenticatie.” 
  1. Gebruik een betrouwbare, meerlaagse beveiligingsoplossing die aanvallen door misbruik van de BlueKeep-kwetsbaarheid op netwerkniveau kunnen detecteren en afwenden.