Kritieke Microsoft-kwetsbaarheden

14 januari 2020: Microsoft heeft vandaag zijn maandelijkse patches uitgebracht, waaronder drie kritieke problemen met ernst 1 die uw onmiddellijke aandacht vereisen. Bedrijven dienen het Vulnerability Alert Management Process te gebruiken om deze waarschuwingen te sorteren en zo snel mogelijk patches te plannen. Beschouw dit speciale blogadvies van CyberHoot als een zeer ongebruikelijke omstandigheid en neem zo snel mogelijk passende maatregelen. Om dit in perspectief te plaatsen: al mijn cybersecuritybronnen suggereren hetzelfde. Overheidsinstanties die toezicht houden op cybersecurity, zoals CISA, hebben pas hun tweede patch uitgegeven. Noodrichtlijn altijd voor deze kwetsbaarheden.  Dit is serieus.

Beïnvloede systemen:

CryptoAPI-spoofingkwetsbaarheid – CVE-2020-0601: Deze kwetsbaarheid treft alle machines met een 32- of 64-bits Windows 10-besturingssysteem, inclusief Windows Server versie 2016 en 2019.

Kwetsbaarheden in Windows RD Gateway en Windows Remote Desktop Client – CVE-2020-0609, CVE-2020-0610 en CVE-2020-0611: Deze kwetsbaarheden zijn van invloed op Windows Server 2012 en nieuwer. Daarnaast is CVE-2020-0611 van invloed op Windows 7 en nieuwer. 

Impact van kwetsbaarheid:

In dit deel van het advies worden de mogelijke gevolgen beschreven als deze kwetsbaarheden worden misbruikt.

CryptoAPI-spoofingkwetsbaarheid – CVE-2020-0601:

• Deze kwetsbaarheid maakt het mogelijk dat ongewenste of schadelijke software zich voordoet als legitieme software die authentiek is ondertekend door een vertrouwde of betrouwbare organisatie. Dit kan gebruikers misleiden en hen ertoe aanzetten schadelijke software te installeren die legitiem lijkt. Het kan ook verhinderen dat beveiligingssoftware zoals antivirusprogramma's dergelijke installaties als schadelijk detecteren. Bovendien zouden browsers die afhankelijk zijn van Windows CryptoAPI aanvallen niet kunnen detecteren, waardoor een aanvaller onopgemerkt gegevens over gebruikersverbindingen kan decoderen, wijzigen of injecteren.

Kwetsbaarheden in Windows RD Gateway en Windows Remote Desktop Client – CVE-2020-0609, CVE-2020-0610 en CVE-2020-0611: 

• Deze kwetsbaarheden maken het mogelijk om op afstand code uit te voeren, waarbij willekeurige code vrijelijk kan worden uitgevoerd op zowel de RD Web Gateway als elke client die verbinding maakt met een kwaadaardige gateway. De kwetsbaarheden in de server vereisen geen authenticatie [wat echt slecht is] of gebruikersinteractie en kan worden uitgebuit door een speciaal opgesteld verzoek. De kwetsbaarheid van de client kan worden uitgebuit door een gebruiker te overtuigen verbinding te maken met een kwaadaardige server. In combinatie kan elke RD-webgateway worden overgenomen als een kwaadaardige server die vervolgens alle verbindende clientmachines overneemt. [Heb ik gezegd dat dit echt slecht is?]

Is er goed nieuws?

Ja, dat is zeker waar.Oef!Deze kwetsbaarheden werden voor het eerst ontdekt en rechtstreeks aan Microsoft gemeld door de NSA. Dit betekent dat we een zeer korte periode hebben om deze patches te implementeren zonder een groot risico op inbreuk.

Een heel klein internettijdsbestek kan echter dagen of weken duren. 

Waarom is dat, vraag je je af? 

Door de patches te analyseren die Microsoft vandaag heeft uitgebracht, kunnen kwaadwillenden snel identificeren welke code is gewijzigd. De patches zijn als een schatkaart voor hackers die ze kunnen volgen, via broncodewijzigingen, en deze reverse engineeren, totdat ze de kwetsbaarheid vinden. Vervolgens gebruiken ze deze als wapen. it Er is momenteel een race gaande om deze kwetsbaarheden te identificeren en te gebruiken als wapen door staten en hackersgroepen. Het duurt nog dagen, misschien wel weken, voordat deze kwetsbaarheden als wapen worden gebruikt en uw systemen beginnen te exploiteren.

Wat moet ik doen voor mijn bedrijf?

1. Als u over een proces voor het beheer van kwetsbaarheidswaarschuwingen beschikt, volgt u de richtlijnen voor kwetsbaarheden met ernstgraad 1.
2. Houd totdat u al uw systemen hebt gepatcht de cybersecuritynieuwsblogs in de gaten voor tekenen van exploitcode die opduikt.
3. Als u geen VAMP hebt, breng dan uw technische team(s) bijeen en bedenk een plan om al uw kritieke systemen binnen 10 dagen te patchen (indien mogelijk eerder).
4. Voor degenen onder u zonder een gedefinieerd patchbeheerproces, moet u, nadat u deze vuuroefening hebt voltooid, Meld je aan voor CyberHoot, download onze VAMP en pas deze aan uw organisatie aan.

Wat moet ik persoonlijk voor mezelf doen?

Uw Windows-versienummer kan variëren, maar dit is de update die u wilt: ga naar Instellingen > Update en beveiliging > Windows update:

Referenties Artikelen:

https://cyber.dhs.gov/ed/20-02/ 

https://www.us-cert.gov/ncas/alerts/aa20-014a

Brian Krebs Cybersecurity Nieuwsblog

Sophos Cybersecurity Blog – Kritieke kwetsbaarheden van Microsoft = Nu patchen

Doet u genoeg om uw bedrijf te beschermen?

Meld u vandaag nog aan bij CyberHoot en slaap beter, wetende dat uw

Medewerkers zijn cyber getraind en op hun hoede!

Inscrivez-vous dès maintenant !