Een week van kwetsbaarheden

In de week van 13 mei is een groot aantal security kwetsbaarheden aan het licht gekomen. Als we het nieuws moeten geloven de een nog heftiger dan de ander. Met zoveel verschillende kwetsbaarheden is het soms lastig om prioriteit te stellen. Zeker wanneer de media er voor kiezen om met name aandacht te besteden aan de meest spectaculaire issues. Gelukkig kan security over het algemeen worden teruggebracht naar een gedegen risicoafweging. Rik van Duijn, Ethical Hacker bij KPN Security en Sander Peters, Head of Security Research bij KPN Security werpen hun blik op afgelopen week.

Om die afweging te kunnen maken, is het belangrijk een overzicht te hebben van de verschillende kwetsbaarheden die deze week gepubliceerd zijn:

  • Windows RDP CVE-2019-0708
    Oudere versies van Windows zijn kwetsbaar via RDP, aangezien er geen menselijke interactie nodig is, kan een potentiele worm met deze exploit zich automatisch verspreiden op een soortgelijke manier als WannaCry in het verleden.

RDP

  • RIDL / MDS Intel 
    In diverse moderne processors van Intel zijn kwetsbaarheden ontdekt die door kwaadwillenden kunnen worden gebruikt om wachtwoorden en vertrouwelijke gegevens te stelen.

  • Lokale privilege escalation in bijna elke Linux kernel CVE-2019-11815 
    In de Linux kernel voor versie 5.0.8 is een kwetsbaarheid gevonden in de tcp stack. Deze maakt het mogelijk om van afstand kwaadwillige acties uit te voeren. 

  • WhatsApp kwetsbaarheid stelt aanvaller in staat code uit te voeren via een telefoongesprek
    Kritieke kwetsbaarheid ontdekt in WhatsApp, installeer de laatste update zo snel mogelijk. 

  • Groot aantal routers/appliances Cisco op afstand kwetsbaar
    In het security mechanisme van Cisco is een kwetsbaarheid gevonden welke het mogelijk maakt de security mechanismes te ontlopen. Daarnaast is er een tweede probleem gevonden welke het mogelijk maakt om van afstand kwaadwillige acties uit te voeren.

  • Amerikaanse en Japanse Anti-virus leveranciers gehackt, broncode gestolen.
    De firma Advintel claimt te beschikken over chatlogs met hackersgroep ‘fxmsp’ waaruit blijkt dat de hij/zij toegang hebben tot systemen van TrendMicro, McAfee en Symantec. Toegang en de buitgemaakte broncode wordt te koop aangeboden voor bedragen tussen de 50 en 350 duizend dollar.

Gehackt worden via een WhatsApp audiogesprek, en dat zelfs zonder op te nemen. De impact hiervan is met name voor een individu groot. Voor kwaadwillenden wordt het mogelijk om de microfoon van de telefoon af te luisteren of mee te kijken via de camera en/of zichzelf toegang te verschaffen tot tekstberichten, documenten en foto’s.

Exploitatie van de kwetsbaarheid is gericht ingezet door statelijke actoren op bepaalde individuen, waarbij de kans klein is dat Jan & Alleman ook slachtoffer is geworden. Gelukkig is de kwetsbaarheid niet breed beschikbaar en is het volgens ons door de kort cyclische noodzakelijke (anders werkt de app niet meer) patchrondes bij Whatsapp niet aannemelijk dat het zich door ontwikkelt in een worm of breed ingezet wordt in mobiele aanvallen.

De RIDL-kwetsbaarheid op Intel processoren kan gebruikt worden om gegevens van een systeem te stelen. Een kwetsbaarheid die lijkt op de eerder ontdekte Meltdown en Spectre kwetsbaarheden De impact van de kwetsbaarheden is in theorie groot, echter wijst de praktijk over de afgelopen anderhalf jaar uit dat dergelijke kwetsbaarheden in alledaagse aanvallen niet snel misbruikt worden. Het indrukwekkende onderzoek door de VU, zal in ieder geval zorgen voor veiligere hardware in de toekomst. 

Zoals al eerder aangegeven is de kans om doelwit te worden van een overheid, of een organisatie gelieerd aan de overheid klein. Het is aannemelijker dat de gemelde kwetsbaarheden in de systemen van Microsoft of Linux gebruikt gaan worden in de verschillende aanvalstechnieken. Zeker omdat patching van Microsoft en Linux wel gefaciliteerd, maar niet afgedwongen wordt. De functionaliteit blijft functioneren ook zonder het systeem bij te werken. Van de lokale privilege escalation (ongeautoriseerd verhogen van toegekende rechten) in de Linux kernel hebben we over jaren nog last. Denk naast alle servers en appliances ook aan de hoeveelheid en verscheidenheid aan IoT-systemen die ook op Linux draaien. Zouden die ook nog een update ontvangen? De kwetsbaarheid biedt geen directe toegang tot een systeem, maar kan wel gebruikt worden om beperkte toegang om te zetten tot volledige toegang.

Microsoft geeft aan dat de RDP-kwetsbaarheid de mogelijkheid biedt tot het creëren van een worm, zoals ook bij WannaCry het geval was. Met meer dan 2 miljoen RDP-services tegenover 1,3 miljoen SMB-services die via Internet benaderbaar zijn, zou de spreiding van een nieuwe worm mogelijk zelfs nog groter zijn dan die van WannaCry. Zeker wanneer malware of een nieuwe worm na succesvolle infectie het interne netwerk nog verder gaat scannen op meer kwetsbare systemen. Gelukkig is de kwetsbaarheid enkel van toepassing op Windows Server 2003 tot 2008 en Windows XP tot Windows 7. Ook is de exploit nog niet publiekelijk beschikbaar, waardoor het nog gissen is of de worm ontwikkeld zal worden. Potentie tot ontwikkeling van een worm is er zeker, maar pas zodra de exploit publiek beschikbaar wordt en deze eenvoudig te gebruiken is.

Ons advies is natuurlijk om uiteindelijk alle kwetsbaarheden te patchen, maar in een week waarin zoveel verschillende kwetsbaarheden aan het licht zijn gekomen, moeten er prioriteiten worden gesteld. Houd hierbij rekening met de moeilijkheidsgraad van exploitatie, of de exploitatie reeds beschikbaar en wijdverspreid is. Maar ook met welke systemen mogelijk geraakt kunnen worden en welke impact dit heeft op uw organisatie qua reputatie, informatie en operatie.


Rik van Duijn, Ethical Hacker KPN Security

Sander Peters, Head of Security Research

Gerelateerde artikelen