www.belgium.be Logo of the federal government

Windows RDP Remote Code Execution Kwetsbaarheid

Referentie: 
Advisory #2019-013
Versie: 
1.0
Geïmpacteerde software: 
Windows 7
Windows 2008 & 2008 R2
Windows XP
Windows 2003
Type: 
Remote Code Execution
CVE/CVSS: 

CVE-2019-0708 - CVE Score: 9.8

Bronnen

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Risico’s

De kwetsbaarheid heeft een impact op de beschikbaarheid, confidentialiteit en/of integriteit van getroffen systemen. Verder valt het niet uit te sluiten dat gecomprommiteerde systemen kunnen opgenomen worden als lid van een botnet om samen een grootschalige aanval uit te voeren, zoals bijvoorbeeld bij de Wannacry campagne in 2017.

Beschrijving

Een ongeautoriseerde aanvaller kan vanop afstand willekeurige code uitvoeren. De code van de aanvaller exploiteert verschillende kwetsbaarheden binnen de Windows RDP service. De keuze van Microsoft om patches voor Windows 2003 en Windows XP aan te bieden, toont aan hoe belangrijk deze kwetsbaarheid is, en hoe dringend het is dat systeembeheerders de nodige patches toepassen.
Enkel versies ouder dan windows 8 en Windows Server 2013 worden getroffen. Recentere versies werden niet getroffen door de kwetsbaarheid.
 

Aanbevolen acties

CERT.be raadt systeembeheerders aan om hun Microsoft Windows systemen zo snel mogelijk te updaten met de laatste beschikbare patches, of de ondersteaande maatregelen toe te passen:

 

Indien deze patches niet onmiddellijk kunnen worden toegepast, kunnen verschillende andere maatregelen genomen worden om het risico te verlagen:

  • Schakel RDP uit, indien het niet gebruikt wordt (best practice).
  • Schakel Network Level Authentication (NLA) in op systemen met ondersteunde versies van Windows 7, Windows Server 2008 en Windows Server 2008 R2. Hiervoor zou een aanvaller een geldig systeemaccount moeten compromitteren om deze kwetsbaarheden te kunnen benutten.
  • Het blokkeren van TCP poort 3389 bij de perimeter firewall van de onderneming zal het misbruik op afstand beperken. (Merk op dat dit geen beperking biedt voor de exploitatie vanuit het bedrijfsnetwerk).
  • Configureer host-gebaseerde firewallpolicie's om RDP-verbindingen te beperken tot een beperkte set van IP-adressen zodat alleen systeembeheerders verbinding kunnen maken.