Allvarlig sårbarhet i Windows Remote Desktop

Topic: It-säkerhet

Oliver Rickfors
15.05.2019

Ett antal versioner av Microsofts operativsystem har en allvarlig sårbarhet. Den kan även utnyttjas till att skapa maskar vilket gör att stora mängder datorer snabbt kan tas över. Uppdatera nu.

Microsoft gick den 14e maj ut med en sårbarhet i deras RDP-service som ingår i olika service packs för Windows 7, Windows Server 2008 och Windows Server 2008 R2.

Detta innebär att en attackerare oautentiserat kan utnyttja sårbarheten i "remote desktop"-servicen och få lokal kodexekvering på måldatorn, vilket leder till att attackeraren kan skapa egna konton, samt läsa och skriva till filer på disk bland annat.

Patchar har släppts för att mitigera sårbarheten på operativsystemen. Ytterligare rekommendationer finns, som att stänga av RDP på mottagande dator om det inte används samt aktivera NLA(Network Level Authentication) som extra säkerhetslager. För större nätverk kan det vara en god idé att blockera port 3389(Default-port för RDP-kommunikationer) i perimeterskyddet om sårbarheten misstänks finnas inom nätet.

Microsoft Security Response Center har gått ut med att dom inte fått några rapporterade incidenter genom den funna sårbarheten, däremot kommer attackerare med stor sannolikhet att kringgå nuvarande patch och utnyttja säkerhetshålet ändå, säger samma källa.

Det är också möjligt att implementera säkerhetshålet i skadlig kod, s.k. maskar, för att exempelvis sprida ransomware inom en organisations nätverk.

Microsoft har även gått ut med patchar till Windows XP SP3, Windows Server 2003 SP2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 och Windows Embedded Standard 2009 på grund av den nyligen funna sårbarheten. 

“RDP används brett och är standard för fjärråtkomst på många bolag. Även om sårbarheten är avgränsad till specifika operativsystem så kan en snabb sökning på shodan visa att åtgärder krävs för att minska risken på många bolag.” - Oliver Rickfors, penetrationstestare Knowit Insight, Cybersäkerhet & Juridik

"Helt isolerade system (helt utan nätverksanslutning) påverkas så klart inte, men XP används fortfarande i till exempel hissystem eller kassasystem, men man måste också vara säker på att en internetsladd inte blivit inkopplad." - Patrick Mattson, säkerhetskonsult på Knowit Insight, Cybersäkerhet & Juridik

Prenumerera på vårt nyhetsbrev

Cybersäkerhet & juridik

För att bli riktigt bra på cybersäkerhet krävs många infallsvinklar och erfarenheter. Dessa finns i gränslandet mellan it, juridik och affärer. Säkerhet är en strategisk fråga och här i vår blogg hittar du det senaste inom it- och informationssäkerhet.