Kritieke lekken Windows systemen zoals CryptoAPI en Windows Remote Desktop Gateway

Kritieke lekken in Windows-systemen gevonden afgelopen week

Er zijn deze week kritieke lekken gevonden in Windows-systemen. Het gaat om een lek die gebruikmaakt van Crypto-API en een lek in Windows Remote Desktop Gateway. True heeft alle Windows-systemen van klanten snel en succesvol gepatcht. Hieronder meer achtergrondinformatie over het lek. Wat is er lek en wat zijn de risico’s?

Wat is er ontdekt?

Op maandag 14 januari liet Microsoft weten met een patch te komen voor een kwetsbaarheid die cryptografische functies uitvoert binnen alle ondersteunde versies van Windows 10 maar ook Windows Server 2016 en Windows Server 2019.

De kwetsbaarheid (CVE-2020-060) zit in de zogenoemde CRYPT32.DLL-module, een module die verantwoordelijk is de afhandeling van certificaat- en cryptografische functies binnen de CryptoAPI van Windows. Deze CryptoAPI wordt gebruikt om gegevens te versleutelen en te ontsleutelen. Dat kunnen allerlei gegevens zijn, zoals wachtwoordgegevens of andere vertrouwelijke gegevens.

Kritiek lek

Diverse bronnen melden dat het lek ‘zeer kritiek is’ en geadviseerd wordt dan ook om zo snel mogelijk updates te installeren. Met het lek is bijvoorbeeld malware of spyware te installeren. Certificaten kunnen ‘echt’ lijken, maar in werkelijkheid vervalst zijn.

Twittergebruiker Saleem Rachid laat zien hoe de kwetsbaarheid in praktijk werkt. In onderstaande tweet is het certificaat van Github.com zogenaamd gevalideerd, maar wat we zien is een klassieke rickroll.

Microsoft zelf heeft het lek zeer serieus genomen en op afgelopen Patch Tuesday (de gebruikelijke dag dat Microsoft alle patches uitbrengt voor alle Microsoft-software) een aanvullende patch uitgebracht voor de CryptoAPI-kwetsbaarheid. Op dat moment was er nog geen proof-of-concept (PoC’s) bekend, inmiddels is er wel een proof-of-concept bekend, aldus Security.nl.

Windows Remote Desktop Gateway ook lek

Naast het CryptoAPI-lek in Windows 10 (en Windows Server varianten 2016 tot 2019) zijn er deze week ook drie kritieke lekken (CVE-2020-0609, CVE-2020-0610 en CVE-2020-0612) gevonden in de Microsoft software Windows Remote Desktop Gateway (ook wel: RD Gateway).

Met een Remote Desktop Gateway wordt het mogelijk om een virtuele desktops aan externe gebruikers te bieden, zodat er toegang is voor interne bronnen van een bedrijf. Het is een van de diensten die een gevirtualiseerde desktop mogelijk maakt van Windows.

Met de gevonden kwetsbaarheden is onder ander code uit te voeren op RD Gateway servers, waardoor een kwaadwillende toegang kan krijgen tot een intern netwerk van een bedrijf en de daaraan gekoppelde systemen. Ook is met een van de kwetsbaarheden een DoS-aanval uit te voeren, waardoor een server mogelijk uit kan vallen.

Ook deze kwetsbaarheden zijn als zeer kritiek bestempeld en patches zijn inmiddels uitgebracht. Het advies van Microsoft is om de patches zo snel mogelijk te installeren.

De aanpak van True

Op het moment dat het lek bekend werd hebben de security-engineers van True direct stappen ondernomen. Wat is de schaal van het probleem en hoe groot zijn de risico’s?

Het ging om vrij belangrijke patches. Op dezelfde dag van de bekendmaking zijn de patches op testservers van klanten geïnstalleerd zonder problemen te veroorzaken. Na alle dubbelchecks zijn ook alle overige servers gepatcht.

Er zijn met name patches doorgevoerd om de CryptoAPI-kwetsbaarheid op te lossen, maar ook klanten die gebruikmaken van RD Desktop Gateway zijn proactief gepatcht. Klanten van True zijn dus beschermd tegen de risico’s.

Heeft u vragen naar aanleiding van dit achtergrondartikel? Stel ze dan via ons ticketsysteem TrueCare.

Kritieke lekken Windows systemen zoals CryptoAPI en Windows Remote Desktop Gateway
Kilian Drewel
Contentmarketeer
Deel dit artikel via sociale media:

Security - 29.01.2020

Er is recentelijk een nieuwe kwetsbaarheid gevonden in de speculative execution functie van de Intel-processoren. De aanval is dit keer gericht op het lekken van data via Cache Evictions, waarmee een aanvaller in potentie zelf kan selecteren welke data er gelekt mogen worden. Dit in tegenstelling tot eerdere kwetsbaarheden MDS/RIDL, waar de aanvaller eerst moest […]

Hosting - 21.01.2020

Internetprotocollen TLS 1.0 en 1.1 zijn in maart dit jaar end-of-life. Populaire browsers Chrome, Safari, Edge, Internet Explorer en Firefox zullen dan de verouderde protocollen niet meer ondersteunen. Dit heeft mogelijk effect op de beschikbaarheid van websites en (verouderde) applicaties die gebruikmaken van de verouderde versies. In deze blogpost leggen we uit wat er aan […]

Security - 11.12.2019

Gister werd een nieuw lek bekend gemaakt die gebruikmaakt van het fysieke component van Intel-processoren. Het lek draagt de naam Plundervolt. In deze blogpost geven we wat duiding, lees je onze reactie als hostingprovider hierop en vertellen we wat de impact is voor onze klanten. Fysieke manipulatie Computers van vandaag de dag zijn beschermd tegen […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief

Vraag offerte aan

Vul onderstaand formulier in. True neemt zo snel mogelijk contact met u op.