Utskriftsvennlig versjon

Nasjonal sikkerhetsmyndighet advarer mot "Kritisk sårbarhet i Windows"

Publisert: 15.03.2012 Saken oppdatert: 27.01.2015

Microsoft publiserte i går et varsel om en sårbarhet i Remote Desktop Protocol. Sårbarheten vurderes som kritisk på alle støttede versjoner av Microsoft Windows.

Hentet fra https://www.nsm.stat.no/Aktuelt/Nytt-fra-NSM/Kritisk-sarbarhet-i-Windows/ 

Sårbarheten kan utnyttes over nett uten noen form for autentisering. Det betyr at den kan spre seg ukontrollert mellom alle sårbare systemer som står i samme nettverk. Dette gjør sårbarheten spesielt attraktiv å utnytte for aktører som ønsker å bygge store botnet, eller målrettet kompromittere store deler av en enkeltbedrift.

Enkel å utnytte

Microsoft uttaler også at sårbarheten er relativt enkelt å skrive stabil utnyttelseskode for. På bakgrunn av hvor attraktiv sårbarheten er for en angriper, vurderer både NorCERT og Microsoft det som sannsynlig at slik utnyttelseskode vil bli utviklet i løpet av kort tid.

Så godt som alle Windows-maskiner med RDP aktivert vil være sårbare. Ofte er dette tilfelle for virksomhetskritiske servere som krever fjernadministrasjon, som domenekontrollere og mailservere. Det er heller ikke uvanlig at RDP-tilgang til slike servere er satt opp liberalt i brannmurer, for at slik fjernadministrasjonen skal være praktisk. Dermed kan slike sentrale servere være spesielt utsatt for angrep via denne sårbarheten.

Anbefaler strakstiltak

På bakgrunn av dette er det NorCERTs klare anbefaling at det iverksettes strakstiltak for å beskyttes denne typen systemer mot sårbarheten.

Det forrige store utbruddet av skadevare som spredde seg ukontrollert via nettverk var Conficker. Utbruddet av conficker påførte flere norske virksomheter mye nedetid og store kostnader. NorCERT vurderer ikke det driftsmessige skadepotensialet ved CVE-2012-002 som like stort som sårbarheten som ble utnyttet av Conficker, da RDP i større grad kan stenges ned uten alvorlige konsekvenser.

Viktig med rask patching

NorCERT foreslår følgende strakstiltak for å ruste seg mot utnyttelse av CVE-2012-002:

- Identifisering av kritiske systemer som kjører RDP.

- Utrulling av patch for CVE-2012-002 gis høyeste prioritering.

- Deaktivering av RDP på alle systemer som ikke kan patches umiddelbart.

- Identifisering av ikke-kritiske systemer som kjører RDP.

- Krafting innstramming for RDP (typisk port 3389) i alle brannmurer.

- Økt monitorering av RDP-trafikk i egne nett, for å avdekke evt angrep.

NorCERT vil gå ut med nytt varsel dersom det blir kjent at sårbarheten blir aktivt utnyttet.