Microsoft publiceerde op 14 januari een beveiligingsupdate voor twee ernstige kwetsbaarheden in de Windows Remote Desktop Gateway, maar twee weken later zijn er nog altijd meer dan 1100 kwetsbare servers in Nederland via het internet toegankelijk.

Dat meldt het Nederlands Security Meldpunt op basis van een scan. Wereldwijd gaat het om 16.000 servers waar de beschikbare beveiligingsupdate niet is geïnstalleerd. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk. Twee kwetsbaarheden in de software maken het mogelijk voor een aanvaller om kwetsbare gateways over te nemen.

Alleen het versturen van speciaal geprepareerde requests is voldoende. Het is niet nodig om over geldige inloggegevens te beschikken. Een verbinding via RDP volstaat. Inmiddels is er ook een proof-of-concept exploit ontwikkeld waarmee kwetsbare gateways zijn over te nemen. Een exploit waarmee gateways zijn plat te leggen staat inmiddels online. De onderzoeker die de remote code execution-exploit ontwikkelde komt binnenkort met een blogposting waarin hij meer informatie zal geven.

Organisaties krijgen het advies om de update zo snel als mogelijk te installeren en anders de gateway niet direct aan het internet te hangen en bijvoorbeeld een vpn te gebruiken. Vooralsnog zijn er geen aanvallen waargenomen die misbruik van de kwetsbaarheid maken, maar dat lijkt een kwestie van tijd. "Er is een grote waarschijnlijkheid dat de kwetsbaarheid misbruikt gaat worden door kwaadwillenden", aldus het Security Meldpunt.

Ladies and gentlemen, I present you a working Remote Code Execution (RCE) exploit for the Remote Desktop Gateway (CVE-2020-0609 & CVE-2020-0610). Accidentally followed a few rabbit holes but got it to work! Time to write a blog post ;)

Don't forget to patch! pic.twitter.com/FekupjS6qG

— Luca Marcelli (@layle_ctf) January 26, 2020