In mei waarschuwde Microsoft voor een RDP-gerelateerde kwetsbaarheid die een golf van ransomware kan opleveren. Inlichtingendienst NSA, niet geheel onbekend met misbruikte Windows-gaten, adviseerde organisaties van de zomer om dit gat zo snel mogelijk te dichten. Deze week patchte de softwarefabrikant opnieuw gaten die te maken hebben met dit probleem.

1. Waarom deze patches?

Het Britse NCSC ontdekte een probleem in Remote Desktop Protocol en meldde dat aan Microsoft die in mei patchte. Deze week bracht Microsoft opnieuw patches uit voor soortgelijke RDP-issues uit. Het oorspronkelijke RDP-gat werd BlueKeep genoemd, de nieuwe gaten hebben met een kwinkslag de naam DejaBlue gekregen. Twee van deze nieuwe patches zijn kritiek.

2. Is het Remote Desktop Protocol kwetsbaar?

Als je spijkers op laag water wil zoeken: de implementatie is kwetsbaar, maar met het protocol zelf is niets mis, zegt Microsoft. Maar aangezien het hier om een implementatie van Microsoft zelf van diens propriëtaire protocol gaat, is dat een verschil dat neerkomt op semantiek. Zonder patch is een machine waar RDP (zonder patch of mitigatie waar we hieronder op ingaan) op is ingeschakeld kwetsbaar.

3. Waarom hebben we het over een 'wormbaar' gat?

Er is geen gebruikersinteractie nodig om van het gat gebruik te maken. Daarom kan malware met een RDP-exploit automatisch van systeem naar systeem verspreiden als een organisatie dit systeem niet heeft gepatcht. Dat is al vaker gebeurd met malware: WannaCry kreeg systemen in zijn greep via het SMB-protocol en kon zich automatisch verspreiden naar eveneens ongepatchte pc's die SMBv1 gebruikten.

4. Welke systemen zijn vatbaar?

Het ging bij BlueKeep voornamelijk om oudere systemen, bijvoorbeeld Windows XP. Maar ook ondersteunde besturingssystemen als Windows Server 2008 (R2) en Windows 7 hebben het RDP-gat. Over vijf maanden vervalt de ondersteuning van deze besturingssystemen, maar omdat het gebruikersaandeel van bijvoorbeeld Windows 7 nog nabij de 30 procent hangt, zijn dat nog steeds vele miljoenen kwetsbare pc's. In Windows 10 is RDP overigens standaard uitgeschakeld.

Update 14.03 uur: Bij het nieuwere DejaBlue zijn juist alle moderne Windows-systemen kwetsbaar, inclusief Windows 10-systemen, maar nog oudere (al dan niet ondersteunde) versies zijn niet getroffen. Interessant genoeg ontdekte Microsoft deze kwetsbaarheden bij het zoeken naar oplossingen voor het eerdere RDP-gat.

5. Wordt dit in het wild misbruikt?

Momenteel niet. Maar net als met EternalBlue twee jaar geleden en de golf van Wannacry-ransomware die later volgde, is dat wellicht een kwestie van tijd. Beveiligingsbedrijven werken bijvoorbeeld al aan proof-of-concepts van een exploit, om aan te geven dat het patchen dringend is; criminelen doen waarschijnlijk hetzelfde.

6. Hoe beveilig je kwetsbare pc's?

De verschillende patches zorgen ervoor dat er niet zomaar RDP-verbindingen meer kunnen worden gestart waar geen authenticatie voor nodig is. Door een authenticatielaag aan RDP toe te voegen, zou een eventuele exploit niet meer te misbruiken zijn. Dat kan door in de RDP-configuratie Network Level Authentication (NLA) aan te vinken, dus dit kan een werkende work-around te zijn.

7. Wat gaat er de komende maanden gebeuren?

Beveiligingsonderzoekers hebben opgemerkt dat het gemakkelijker is om een exploit te bouwen van de deze week gepatchte gaten én dat deze meer systemen kunnen bereiken, dus er is haast geboden bij het patchen of het toepassen van work-arounds als het gebruik van NLA. Als we kijken naar EternalBlue in 2017: in maart bracht Microsoft een patch uit voor het SMB-gat en in mei volgde een eerste golf van ransomware (WannaCry) die van deze kwetsbaarheid gebruik maakte, ruim een maand later gevolgd door een tweede golf malware (NotPetya) die hetzelfde deed.