4,1 miljoen Windows RDP-doelwitten op internet

door

rdp

door

Nieuws - Het door Microsoft heropende RDP-gat in alle Windows-versies staat ook open op internet. Een scan van Dan Kaminsky levert 4,1 miljoen bevestigde doelwitten op. Een tweede RDP-gat is net onthuld.

Kaminsky heeft zijn Remote Desktop-internetscan van maart dit jaar afgerond. Hij was in staat om succesvol RDP-sessies (Remote Desktop Protocol) op te zetten met ongeveer 4,1 miljoen hosts, antwoordt hij op vragen van Webwereld. Dat is minder dan zijn aanvankelijke schatting van wel 5 miljoen Windows-computers die RDP open en bloot hebben staan voor internet.

'Populaire service'

“De foutmarge van 20 procent lijkt afkomstig van een foute aanname dat de laatste byte in een ip-adres ook was 'bevolkt' [door een RDP-server - red.]." Dat bleek toch niet het geval, waardoor Kaminsky's extrapolatie van zijn eerste scanresultaten te hoog uitviel. Het is waarschijnlijker dat een ip-adres als x.x.x.1 een RDP-server draait dan bijvoorbeeld y.y.y.255, mailt hij nu aan Webwereld.

Toch is 4,1 miljoen open Remote Desktop-systemen op internet een groot aantal. “Dit is een populaire service", zegt Kaminsky die wereldwijd bekend is als ontdekker van het grote gat in internetadresboek DNS. De security-onderzoeker is zijn internetscan gestart naar aanleiding van het in maart ontdekte kritieke beveiligingsgat in Microsofts RDP.

SP1 maakt kritieke patch ongedaan

De Windows-producent heeft toen een kritieke update uitgebracht die dit gat dicht, maar gisteren is aan het licht gekomen dat de kwetsbaarheid per ongeluk weer is 'geactiveerd'. Installatie van een patchpakket ná de kritieke update heropent het beveiligingsgat in RDP.

Door een fout van Microsoft controleert SP1 (service pack 1) voor Windows 7 en Windows Server 2008 R2 (release 2) componenten niet goed. SP1 installeert een oudere versie van een RDP-kernbestand en vervangt daarmee de nieuwere, gefixte versie. Microsoft heeft nu de update van maart opnieuw uitgebracht, opvallend genoeg voor alle Windows-versies.

Voor zover Kaminsky weet, zijn er geen hackers die dit RDP-gat daadwerkelijk weten te benutten. “We hebben ongelofelijk veel geluk gehad: dit was een bug die serieus genoeg is om een defensieve reactie uit te lokken, maar niet virulent genoeg om echt de aanvallen op te leveren die de meesten van ons [security-experts - red.] hadden verwacht."

Tweede kritieke RDP-gat

Tegelijk met de opnieuw uitgebrachte RDP-patch heeft Microsoft ook een andere kwetsbaarheid (MS12-036) in dat remote-beheerprotocol onthuld en aangepakt. Dit gat geeft kwaadwillenden de mogelijkheid Windows-desktops plat te leggen met een DoS-aanval (denial of service), maar laat op Windows-servers eigen code uitvoeren.

Kaminksy geeft aan niet te weten of MS12-036 makkelijker is te misbruiken dan het RDP-gat uit maart (MS12-020). “Maar zelfs als dat niet zo is, dan moeten mensen echt veel voorzichtiger zijn met wat voor RDP-diensten ze blootstellen [aan het internet - red.]. Er komt veel ellende aan", waarschuwt de security-consultant. Hij merkt nog op dat hij consultingwerk doet voor Microsoft, en dat hij in zijn reactie aan Webwereld geen geheime informatie vrijgeeft.

Aanbevolen artikelen

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

Consumerization Event: Early Bird Actie
 
dagen
:
 
uren
:
 
minuten
:
 
seconden

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.