Kritieke lekken Windows systemen zoals CryptoAPI en Windows Remote Desktop Gateway

Kritieke lekken in Windows-systemen gevonden afgelopen week

Er zijn deze week kritieke lekken gevonden in Windows-systemen. Het gaat om een lek die gebruikmaakt van Crypto-API en een lek in Windows Remote Desktop Gateway. True heeft alle Windows-systemen van klanten snel en succesvol gepatcht. Hieronder meer achtergrondinformatie over het lek. Wat is er lek en wat zijn de risico’s?

Bekijk onze Security Audit dienst

Wat is er ontdekt?

Op maandag 14 januari liet Microsoft weten met een patch te komen voor een kwetsbaarheid die cryptografische functies uitvoert binnen alle ondersteunde versies van Windows 10 maar ook Windows Server 2016 en Windows Server 2019.

De kwetsbaarheid (CVE-2020-060) zit in de zogenoemde CRYPT32.DLL-module, een module die verantwoordelijk is de afhandeling van certificaat- en cryptografische functies binnen de CryptoAPI van Windows. Deze CryptoAPI wordt gebruikt om gegevens te versleutelen en te ontsleutelen. Dat kunnen allerlei gegevens zijn, zoals wachtwoordgegevens of andere vertrouwelijke gegevens.

Kritiek lek

Diverse bronnen melden dat het lek ‘zeer kritiek is’ en geadviseerd wordt dan ook om zo snel mogelijk updates te installeren. Met het lek is bijvoorbeeld malware of spyware te installeren. Certificaten kunnen ‘echt’ lijken, maar in werkelijkheid vervalst zijn.

Twittergebruiker Saleem Rachid laat zien hoe de kwetsbaarheid in praktijk werkt. In onderstaande tweet is het certificaat van Github.com zogenaamd gevalideerd, maar wat we zien is een klassieke rickroll.

Microsoft zelf heeft het lek zeer serieus genomen en op afgelopen Patch Tuesday (de gebruikelijke dag dat Microsoft alle patches uitbrengt voor alle Microsoft-software) een aanvullende patch uitgebracht voor de CryptoAPI-kwetsbaarheid. Op dat moment was er nog geen proof-of-concept (PoC’s) bekend, inmiddels is er wel een proof-of-concept bekend, aldus Security.nl.

Windows Remote Desktop Gateway ook lek

Naast het CryptoAPI-lek in Windows 10 (en Windows Server varianten 2016 tot 2019) zijn er deze week ook drie kritieke lekken (CVE-2020-0609, CVE-2020-0610 en CVE-2020-0612) gevonden in de Microsoft software Windows Remote Desktop Gateway (ook wel: RD Gateway).

Met een Remote Desktop Gateway wordt het mogelijk om een virtuele desktops aan externe gebruikers te bieden, zodat er toegang is voor interne bronnen van een bedrijf. Het is een van de diensten die een gevirtualiseerde desktop mogelijk maakt van Windows.

Met de gevonden kwetsbaarheden is onder ander code uit te voeren op RD Gateway servers, waardoor een kwaadwillende toegang kan krijgen tot een intern netwerk van een bedrijf en de daaraan gekoppelde systemen. Ook is met een van de kwetsbaarheden een DoS-aanval uit te voeren, waardoor een server mogelijk uit kan vallen.

Ook deze kwetsbaarheden zijn als zeer kritiek bestempeld en patches zijn inmiddels uitgebracht. Het advies van Microsoft is om de patches zo snel mogelijk te installeren.

Lees ook: Nieuw speculative execution lek ontdekt: CacheOut

De aanpak van True

Op het moment dat het lek bekend werd hebben de security-engineers van True direct stappen ondernomen. Wat is de schaal van het probleem en hoe groot zijn de risico’s?

Het ging om vrij belangrijke patches. Op dezelfde dag van de bekendmaking zijn de patches op testservers van klanten geïnstalleerd zonder problemen te veroorzaken. Na alle dubbelchecks zijn ook alle overige servers gepatcht.

Er zijn met name patches doorgevoerd om de CryptoAPI-kwetsbaarheid op te lossen, maar ook klanten die gebruikmaken van RD Desktop Gateway zijn proactief gepatcht. Klanten van True zijn dus beschermd tegen de risico’s.

Heeft u vragen naar aanleiding van dit achtergrondartikel? Stel ze dan via ons ticketsysteem TrueCare.

Kritieke lekken Windows systemen zoals CryptoAPI en Windows Remote Desktop Gateway
Kilian Drewel
Techblogger

schrijf je in voor de nieuwsbrief

Ontvang de nieuwste blogs van True elke twee weken in je mail

Security - 15.04.2020

Het verplichte thuiswerken is voor veel organisaties inmiddels gewoongoed geworden. De meeste thuiswerkers beginnen hun draai te vinden en hoewel het niet altijd even ideaal is, ‘werkt’ het thuiswerken wel. Maar gebeurt dat thuiswerken eigenlijk wel veilig genoeg? In dit artikel een aantal tips voor IT-afdelingen om veilig thuiswerken voor de thuiswerkers te stimuleren. Lees […]

Security - 01.04.2020

De derde week van verplicht thuiswerken is voor een groot gedeelte van kantoorwerkend Nederland volop aan de gang. De meeste thuiswerkers beginnen hun draai te vinden en hoewel het niet altijd even ideaal is, ‘werkt’ het thuiswerken wel. Maar gebeurt dat thuiswerken eigenlijk wel veilig genoeg? In dit artikel een aantal algemene security-tips van de […]

Security - 29.01.2020

Er is recentelijk een nieuwe kwetsbaarheid gevonden in de speculative execution functie van de Intel-processoren. De aanval is dit keer gericht op het lekken van data via Cache Evictions, waarmee een aanvaller in potentie zelf kan selecteren welke data er gelekt mogen worden. Dit in tegenstelling tot eerdere kwetsbaarheden MDS/RIDL, waar de aanvaller eerst moest […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief

Vraag offerte aan

Vul onderstaand formulier in. True neemt zo snel mogelijk contact met u op.