CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

Veiligheid Windows 10: lek Microsoft ontdekt

11 maart, 2020

microsoft-lek-windows-10-veiligheid

 

Windows 10 gebruikers opgelet: Microsoft waarschuwt voor een kritieke kwetsbaarheid in Microsoft Server Message Block 3.1.1 (SMBv3). Dit lek geeft aanvallers nieuwe mogelijkheden om computersystemen te ontwrichten. Helaas is er nog geen update die dit lek verhelpt. Of er andere manieren zijn om zelf deze kwetsbaarheid tegen te gaan? Gelukkig wel!


Wat is er volgens Microsoft bekend over dit lek?

Laten we het eerst hebben over de gevolgen. Op het moment is nog niet duidelijk wat de reikwijdte van deze kwetsbaarheid gaat zijn, maar Microsoft geeft zelf al aan dat er risico’s op de loer liggen. Microsoft bevestigt dat het gaat om een “remote code execution vulnerability” die zowel de Windows Sever als Windows 10 kwetsbaar maken.

Voor wie het interessant vind om te weten: Microsoft Server Message Block is een protocol dat bestanden, printers en serial poorten op afstand toegankelijk maakt. Nu zit er dus een lek in dit protocol. Deze kwetsbaarheid staat bekend als CVE-2020-0796.

Microsoft was overigens niet de eerste die het nieuws over dit lek de wereld in hielp. Door een blogpost van een ander security bedrijf kwam deze kwetsbaarheid onbedoeld te vroeg aan het licht. Inmiddels heeft Microsoft zelf een security advisory uitgebracht.


Wat zijn de gevolgen van een remote code execution vulnerability?

Een “remote code execution vulnerability” houdt in dat aanvallers op afstand zonder wachtwoord toegang kunnen krijgen tot uw systeem. Hiervoor hoeft er geen fysiek contact te zijn geweest met het apparaat. In het kort zijn aanvallers door dit lek in staat uw systeem compleet over te nemen zonder erbij in de buurt te hoeven zijn. Geen prettig idee.


Wormable

In de cyber security wereld klinkt het al dat deze kwetsbaarheid “wormable” kan zijn en zeer serieus genomen moet worden. WannaCry (gevaarlijke ransomware uit 2017) zit tenslotte nog vers in het geheugen. Die maakte gebruik van een soortgelijke kwetsbaarheid.

“Wormable” betekent dat via dit lek een computerworm kan worden aangebracht in je systeem. Een computerworm is een zichzelf vermenigvuldigend computerprogramma (vaak malware) dat veel schade aan kan richten.


Hoe bescherm ik mezelf?

Zoals ik aan het begin van het artikel al benoemde, is er helaas nog geen update die dit lek verhelpt beschikbaar. Daar is Microsoft nog mee bezig. Het ontbreken van deze patch komt waarschijnlijk doordat de informatie over deze kwetsbaarheid eerder is gelekt dan bedoeld.


De tijdelijke oplossing  

1. Onderzoek eerst of jouw Windows 10 Client of Server last heeft van deze kwetsbaarheid. Tot nu toe betreft het namelijk alleen de versies 1903 en 1909.

2. Schakel de powershell compressie op de SMB-server uit met het volgende powershell commando (Let op: dit commando verhelpt enkel het lek in de SMB Servers. Voor de Client is nog geen oplossing):

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

3. Voer de beveiligingsupdates direct uit wanneer Microsoft deze beschikbaar stelt. Nogmaals: het bovenstaande commando gaat alleen de kwetsbaarheid op de SMB Servers tegen. Voor de Client is er nog geen oplossing.


Blijf up-to-date van de ontwikkelingen rondom dit lek

De ontwikkelingen rondom deze kwetsbaarheid in de gaten houden? Hou dan deze pagina van Microsoft zelf in de gaten.

 

Meer vragen over kwetsbaarheden?
Neem dan contact met ons op:

Op de hoogte blijven van ontwikkelingen?
Klik hier om u in te schrijven voor onze nieuwsbrief.
Wij werken met veel plezier o.a. voor