Er zijn deze week kritieke lekken gevonden in Windows-systemen. Het gaat om een lek die gebruikmaakt van Crypto-API en een lek in Windows Remote Desktop Gateway. True heeft alle Windows-systemen van klanten snel en succesvol gepatcht. Hieronder meer achtergrondinformatie over het lek. Wat is er lek en wat zijn de risico’s?
Bekijk onze Security Audit dienst
Wat is er ontdekt?
Op maandag 14 januari liet Microsoft weten met een patch te komen voor een kwetsbaarheid die cryptografische functies uitvoert binnen alle ondersteunde versies van Windows 10 maar ook Windows Server 2016 en Windows Server 2019.
De kwetsbaarheid (CVE-2020-060) zit in de zogenoemde CRYPT32.DLL-module, een module die verantwoordelijk is de afhandeling van certificaat- en cryptografische functies binnen de CryptoAPI van Windows. Deze CryptoAPI wordt gebruikt om gegevens te versleutelen en te ontsleutelen. Dat kunnen allerlei gegevens zijn, zoals wachtwoordgegevens of andere vertrouwelijke gegevens.
Kritiek lek
Diverse bronnen melden dat het lek ‘zeer kritiek is’ en geadviseerd wordt dan ook om zo snel mogelijk updates te installeren. Met het lek is bijvoorbeeld malware of spyware te installeren. Certificaten kunnen ‘echt’ lijken, maar in werkelijkheid vervalst zijn.
Twittergebruiker Saleem Rachid laat zien hoe de kwetsbaarheid in praktijk werkt. In onderstaande tweet is het certificaat van Github.com zogenaamd gevalideerd, maar wat we zien is een klassieke rickroll.
CVE-2020-0601 pic.twitter.com/8tJsJqvnHj
— Saleem Rashid (@saleemrash1d) January 15, 2020
Microsoft zelf heeft het lek zeer serieus genomen en op afgelopen Patch Tuesday (de gebruikelijke dag dat Microsoft alle patches uitbrengt voor alle Microsoft-software) een aanvullende patch uitgebracht voor de CryptoAPI-kwetsbaarheid. Op dat moment was er nog geen proof-of-concept (PoC’s) bekend, inmiddels is er wel een proof-of-concept bekend, aldus Security.nl.
Windows Remote Desktop Gateway ook lek
Naast het CryptoAPI-lek in Windows 10 (en Windows Server varianten 2016 tot 2019) zijn er deze week ook drie kritieke lekken (CVE-2020-0609, CVE-2020-0610 en CVE-2020-0612) gevonden in de Microsoft software Windows Remote Desktop Gateway (ook wel: RD Gateway).
Met een Remote Desktop Gateway wordt het mogelijk om een virtuele desktops aan externe gebruikers te bieden, zodat er toegang is voor interne bronnen van een bedrijf. Het is een van de diensten die een gevirtualiseerde desktop mogelijk maakt van Windows.
Met de gevonden kwetsbaarheden is onder ander code uit te voeren op RD Gateway servers, waardoor een kwaadwillende toegang kan krijgen tot een intern netwerk van een bedrijf en de daaraan gekoppelde systemen. Ook is met een van de kwetsbaarheden een DoS-aanval uit te voeren, waardoor een server mogelijk uit kan vallen.
Ook deze kwetsbaarheden zijn als zeer kritiek bestempeld en patches zijn inmiddels uitgebracht. Het advies van Microsoft is om de patches zo snel mogelijk te installeren.
Lees ook: Nieuw speculative execution lek ontdekt: CacheOut
De aanpak van True
Op het moment dat het lek bekend werd hebben de security-engineers van True direct stappen ondernomen. Wat is de schaal van het probleem en hoe groot zijn de risico’s?
Het ging om vrij belangrijke patches. Op dezelfde dag van de bekendmaking zijn de patches op testservers van klanten geïnstalleerd zonder problemen te veroorzaken. Na alle dubbelchecks zijn ook alle overige servers gepatcht.
Er zijn met name patches doorgevoerd om de CryptoAPI-kwetsbaarheid op te lossen, maar ook klanten die gebruikmaken van RD Desktop Gateway zijn proactief gepatcht. Klanten van True zijn dus beschermd tegen de risico’s.
Heeft u vragen naar aanleiding van dit achtergrondartikel? Stel ze dan via ons ticketsysteem TrueCare.