Microsoft luidt noodklok over nieuw Windows-gat

Microsoft slaat alarm over een beveiligingsgat in alle Windows-versies dat aanvallers systemen compleet laat overnemen. Het gat zit in Microsofts systeem voor remote beheer.

De Windows-producent heeft zojuist een patch (MS12-020) uitgebracht voor dit gat (CVE-2012-002). Microsoft adviseert beheerders met klem deze fix direct te installeren. Het is de enige kritieke update in de patchronde van deze maand, die in totaal zes updates brengt. De patch voor het RDP-gat (remote desktop protocol) is officieel 'kritiek' omdat Microsoft geen hogere kritische indeling heeft in zijn drietrapsmodel.

Exploitcode in 5, 4, 3
Kwaadwillenden kunnen via dit gat eigen code op systeemniveau uitvoeren en zo Windows-systemen volledig overnemen. Tenminste, als daarop de remote beheer-optie aanstaat. Default is dat niet het geval, benadrukt Microsoft. In de praktijk zijn veel Windows-servers, zeker bij hostingbedrijven, wel zo geconfigureerd. Met RDP kunnen beheerders onderhoud uitvoeren en wordt toegang geboden aan hostingklanten. Hackers en security-experts voorspellen dan ook dat het de komende maanden prijsschieten wordt.

Microsoft sust met de mededeling dat de twee beveiligingsgaten in RDP direct en stilletjes aan het bedrijf zijn gemeld door de ontdekkers. "We zijn ons niet bewust van enige aanvallen 'in the wild' [via dit gat]", voegt de Windows-fabrikant toe. "Echter, vanwege de aantrekkelijkheid van deze kwetsbaarheid voor aanvallers, verwachten we dat een exploit voor code-uitvoeren wordt ontwikkeld in de komende 30 dagen."

Desktop, server, 32- en 64-bit
Het gat is aanwezig in alle huidige ondersteunde Windows-versies, -varianten en uitvoeringen. Dus XP met service pack 3 (SP3), Vista en 7, in zowel de 32- als de semi-64-bit (x64) variant. Naast de desktopuitvoering van Windows zit het RDP-lek ook in Windows Server: vanaf versie 2003 met service pack 2 (SP2) tot en met de meest recente versie 2008 R2 (release 2) met SP2. Daarbij zijn alle uitvoeringen kwetsbaar: op 32-bit processors, semi-64-bit chips en op echte 64-bit Itanium-processors.

Met name servers zijn niet zomaar te patchen. Daarom biedt Microsoft naast de patch ook een noodoplossing. Deze zogeheten Fix It dekt het RDP-gat enigszins af door extra authenticatie toe te voegen. Een aanvaller moet zich dan eerst authenticeren op de doelserver voordat een RDP-sessie wordt gestart en hij het gat daarin kan misbruiken.

"We begrijpen en waarderen dat onze klanten vaak tijd nodig hebben om bulletins [Microsofts naam voor security-patches - red.] te evalueren en installeren, passend bij hun it-omgeving", schrijft Microsoft in een blogpost. "Voor systemen die RDP draaien zonder network-level authentication (NLA) geactiveerd, geeft deze post informatie over een beperkende maatregelen die toegepast kan worden voorafgaand aan het bulletin.

Twee uitzonderingen
Overigens zijn er twee Windows-opstellingen waarbij het gevaar minder groot is: servers die de Terminal Services Gateway-service draaien, en installaties van Windows Server 2008 R2 met service pack 1 die de RDP-toevoeging RemoteFX draaien. Bij eerstgenoemde opstelling vormt de Terminal Services Gateway een tussenstation die de eigenlijke RDP-sessie opzet.

Bij de tweede opstelling draait de RemoteFX-functie in user-mode met slechts de rechten van een netwerkservice. RDP zelf draait in de veel diepere kernel-mode met systeemrechten. Dat vormt nog steeds een risico, maar is een minder groot gevaar, legt Microsoft uit. Deze RemoteFX-opstelling is volgens de fabrikant veelgebruikt in gevirtualiseerde omgevingen.