www.belgium.be Logo of the federal government

Bluekeep: Windows RDP Remote Code Execution Kwetsbaarheid V2

Referentie: 
Advisory #2019-013
Versie: 
2.0
Geïmpacteerde software: 
Windows 7
Windows 2008 & 2008 R2
Windows XP
Windows 2003
Alle ondersteunde versies van Microsoft Windows 10 inclusief server versies
Type: 
Remote Code Execution
CVE/CVSS: 

CVE: CVE-2019-0708, CVE-2019-118, CVE-2019-11821, CVE-2019-1222, CVE-2019-1226 - CVE Score: 9.8

Bronnen

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

 

Risico’s

Deze kwetsbaarheid voor RDP is "Bluekeep" genoemd. Er is een proof-of-concept code beschikbaar. Dit verhoogt het risico op misbruik van de kwetsbaarheid. CERT.be raadt aan om kwetsbare systemen onmiddellijk te patchen.

De kwetsbaarheid heeft een impact op de beschikbaarheid, confidentialiteit en/of integriteit van getroffen systemen. Verder valt het niet uit te sluiten dat gecompromitteerde systemen kunnen opgenomen worden als deel van een botnet om samen een grootschalige aanval uit te voeren, zoals bijvoorbeeld bij de Wannacry campagne in 2017.

Beschrijving

Een ongeautoriseerde aanvaller kan vanop afstand willekeurige code uitvoeren. De code van de aanvaller exploiteert verschillende kwetsbaarheden binnen de Windows RDP service. De keuze van Microsoft om patches voor Windows 2003 en Windows XP aan te bieden, toont aan hoe belangrijk deze kwetsbaarheid is, en hoe dringend het is dat systeembeheerders de nodige patches toepassen.
Enkel versies ouder dan windows 8 en Windows Server 2013 worden getroffen. Recentere versies werden niet getroffen door de kwetsbaarheid.

Update 14/08/2019: Alle versies van Microsoft Windows, behalve Windows XP and 2003 zijn getroffen door de volgende kwetsbaarheden (CVE’s):

•     CVE-2019-1181

•     CVE-2019-1182

•     CVE-2019-1222

•     CVE-2019-122

Aanbevolen acties

CERT.be raadt systeembeheerders aan om hun Microsoft Windows systemen zo snel mogelijk te updaten met de laatste beschikbare patches, of de ondersteaande maatregelen toe te passen:

 

 

Update 14/08/2019:

Indien deze patches niet onmiddellijk kunnen worden toegepast, kunnen verschillende andere maatregelen genomen worden om het risico te verlagen:

  • Schakel RDP uit, indien het niet gebruikt wordt (best practice).
  • Schakel Network Level Authentication (NLA) in op systemen met ondersteunde versies van Windows 7, Windows Server 2008 en Windows Server 2008 R2. Hiervoor zou een aanvaller een geldig systeemaccount moeten compromitteren om deze kwetsbaarheden te kunnen benutten.
  • Het blokkeren van TCP poort 3389 bij de perimeter firewall van de onderneming zal het misbruik op afstand beperken. Merk op dat dit geen beperking biedt voor de exploitatie vanuit het bedrijfsnetwerk.
  • Configureer host-gebaseerde firewallpolicies om RDP-verbindingen te beperken tot een set van IP-adressen zodat alleen systeembeheerders verbinding kunnen maken.