Beheer

Security
Digitale dreiging

RDP’s terminale gevolgen voor security

Groot alarm: groot gat. In oudere technologie, die niet weg gaat, niet vanzelf.

© Pixabay CC0
5 juni 2019

Het Remote Desktop Protocol (RDP) is een nuttig stukje ICT, ontwikkeld door Microsoft om Windows’ bureaublad via netwerkverbindingen toegankelijk en bedienbaar te maken. Remote toegang dus, voor geauthenticeerde derden. Alleen blijkt er een bug (BlueKeep) te zijn die toegang geeft aan onbevoegde derden, en daarbij ook diepgaande systeemrechten blootstelt. Patchen of geheel uitschakelen is het dringende advies. Niet voor iedereen zó gedaan.

Een nieuwe maand, een nieuwe patchronde voor Microsoft-software. Afgelopen maand was daar een kritieke update bij voor een groot, gapend gat. Het gevaar daarvan is dermate groot dat Microsoft zelfs antieke Windows-versies voorziet van een openbare, gratis patch. Daarmee is het gevaar niet geweken, nog lang niet.

Omgeving en doel

De kous is namelijk met het uitbrengen van een patch. Die moet dan wel geïnstalleerd worden. Dat is voor ICT-omgevingen bij grotere organisaties - al dan niet met bureaucratische procedures en processen - makkelijker gezegd dan gedaan. Beheerders hebben tijd nodig om te testen, in hun soms complexe omgevingen.

Maar ook na verloop van tijd (voor testen en implenteren) zijn actuele patchniveaus lang niet altijd realiteit. De praktijk heeft dit al vaak genoeg uitgewezen: genoeg nieuwe infecties door oudere malware die gebruik maakt van bekende bugs waar allang patches voor zijn. Zie maar het grote SMB-gat in Windows wat wereldwijd voor ransomware-infecties heeft gezorgd, en nog steeds zorgt. Dit dankzij diefstal van die 0-day plus bruikbare exploitcode ervoor bij de Amerikaanse inlichtingendienst NSA.

De hierdoor mogelijk gemaakte ransomware WannaCry is net iets meer dan twee jaar geleden opgedoken en heeft wereldwijd toegeslagen. Ondanks kritieke noodpatches die Microsoft toen snel heeft uitgebracht, vormen WannaCry en het daardoor misbruikte gat in filesharing-protocol SMB nog altijd een gevaar. Afgelopen maand kon Ars Technica berichten dat servers bij honderden Amerikaanse scholen nog altijd niet zijn gepatcht hiertegen. Een gedeeltelijke oorzaak hiervoor was dat copier/scanners van Ricoh en HP alleen SMB1 ondersteunen, wat dus kwetsbaar maakt.

Kleiner én groter gevaar

Nu met het gat in RDP dreigt eenzelfde scenario als toen met het SMB-gat, hoewel mogelijk minder wijdverbreid qua aantallen directe infecties. Tegenover die relativering staat echter weer slecht nieuws. Enerzijds doet RDP dienst bij organisaties en op systemen die interessanter zijn voor cybercriminelen en statelijke actoren dan gewone, willekeurige pc’s en servers.

Anderzijds geeft de BlueKeep-kwetsbaarheid meerdere aanvalsmogelijkheden, die interessant of zeer interessant zijn voor kwaadwillenden. Zo zijn Windows-systemen waarop RDP draait, lam te leggen of vergaand te hacken. Misbruik van de bug kan vastlopers (BSOD’s, blue screens of death) veroorzaken, maar kan bij betere aanvalscode ook de macht geven om eigen code te laten uitvoeren.

Dieper dan admin

Dit alles dus op afstand en zonder dat er authenticatie vereist is of een handeling door een lokale gebruiker. Bovendien kan deze remote code execution (RCE) gebeuren op diepgaand Windows-niveau, met rechten die verder gaan dan die van gewone admins. De uit te voeren code draait namelijk in de context van het gebruikersaccount NT Authority\SYSTEM. Bovendien zou het kinderspel zijn om dit te bereiken.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!