De Amerikaanse inlichtingendienst NSA geeft Windows-systeembeheerders het dringende advies om hun computers te patchen tegen het gevaarlijke BlueKeep-gat. Het gaat om een grote kwetsbaarheid in Microsofts technologie voor remote toegang tot systemen waarmee kwaadwillenden binnen kunnen komen en diepgaande SYSTEM-rechten kunnen verkrijgen op kwetsbare computers.

NSA

Remote Desktop Services (RDP) op legacy Windows-versies moeten gepatcht worden, en wel meteen. Beheerders en gebruikers van Windows-computers krijgen het dringende advies van de NSA om ervoor te zorgen dat hun besturingssystemen volledig bij zijn qua patches en updates. Dit in het licht van "toenemende dreigingen", aldus de inlichtingendienst in een openbare advisory. Microsoft heeft zelf ook gewaarschuwd en adviseert beheerders ook om de medio mei uitgebrachte patches te installeren. Verder moet RDP indien het niet gebruikt wordt, geheel worden uitgeschakeld.

RCE, DoS, ransomware, exploitkits

Ondanks de ernst van de kwetsbaarheid zijn in potentie miljoenen systemen nog vatbaar voor BlueKeep, waarschuwt nu ook de NSA. Naast het uitvoeren van eigen, kwaadaardige code (remote code execution, RCE) kunnen aanvallers deze kwetsbaarheid ook simpelweg gebruiken om systemen lam te leggen. Zo'n DoS-aanval (denial of service) kan ook veel schade aanrichten. "Het is waarschijnlijk slechts een kwestie van tijd voordat remote exploitation code voor deze kwetsbaarheid algemeen verkrijgbaar is."

"De NSA is bezorgd dat kwaadwillende cyberactoren de kwetsbaarheid zullen gebruiken in ransomware en exploitkits die andere bekende exploits bevatten, waarmee de hackmogelijkheden tegen ongepatchte systemen worden vergroot." De waarschuwing van de NSA dat de tijd dringt, lijkt een tikje aan de late kant. Proof-of-concept (PoC) code die de kwetsbaarheid met succes weet te benutten, is eind mei al her en der gemeld door security-onderzoekers. Zij hebben hun bevindingen niet geopenbaard, maar professionele aanvallers kunnen eenzelfde niveau van expertise hebben en weten nu dat bruikbare exploitcode realiseerbaar is.

Internationaal miljoenenschade

De beruchte spionagedienst van de Verenigde Staten lijkt een herhaling van een eerdere grote securityramp te willen voorkomen. Naar buiten gekomen exploitcode van de NSA heeft geleid tot onder meer WannaCry en Petya, ransomware die wereldwijd grote schade heeft aangericht. De door de NSA ontwikkelde exploit EternalBlue is de onderliggende facilitator van infecties die internationaal slachtoffers heeft gemaakt. Microsoft is na de exploitdiefstal wel geïnformeerd, maar de NSA heeft toen niet het grote gevaar duidelijk gemaakt.

Het geval van BlueKeep (CVE-2019-0708) nu is niet te wijten aan de NSA, maar valt qua risico wel te vergelijken met EternalBlue. Dit ondanks het verschil dat laatstgenoemde misbruik maakt van een kwetsbaarheid in het wijdverbreid gebruikte SMB-protocol voor bestandsdeling, terwijl eerstgenoemde een gat in het minder massaal gebruikte RDP. Bovendien is BlueKeep niet van toepassing op moderne Windows-versies 10 en 8, maar raakt het alleen oudere Windows-versies.

Ouder, maar veel in gebruik

Het gaat daarbij echter wel om wereldwijd veelgebruikte versies van Microsofts besturingssysteem: Windows 7, Server 2008, Server 2008 R2, en ook voorgangers Windows XP en Server 2003. Die laatstgenoemde twee Windows-releases, respectievelijk de client- en serveruitvoering, krijgen officieel geen support meer van Microsoft. Toch heeft de softwareproducent als forse uitzondering publieke patches uitgebracht voor ook de legacy-generatie van Windows XP en Server 2003. Dit vanwege het dreigende gevaar van een worm (zelfreplicerende malware) die het RDP-gat gebruikt om binnen te komen en zichzelf weer verder te verspreiden.

#Cybersecurity Advisory: we urge Microsoft Windows administrators and users to patch systems to address the #Bluekeep vulnerability.