Alvorlig sikkerhetshull i Windows

Alvorlig sikkerhetshull i Windows

Angriper kan kjøre skadekode over nettverket uten å bli spurt om brukernavn og passord.

Sikkerhetshullet er funnet i RDP-ptorokollen (Remote Desktop Protocol) som brukes til fjernstyring av pc-er, ifølge Computerworlds nyhetstjeneste.

Protokollen er avslått som standard i Windows, men mange virksomheter benytter protokollen til å fjernstyre pc-er og servere.

Sikkerhetshullet er en gavepakke til ondsinnede hackere, og er forholdsvis enkelt å utnytte. Sikkerhetseksperter regner med å se flere angrep forsøke å utnytte sikkerhetshullet i løpet av en måneds tid.

Oppdatering MS12-020 er klar til nedlasting, og Microsoft anbefaler at alle Windows-brukere gjennomfører en Windows Update så snart som mulig.

Helt åpen for angrep

Sikkerhetshullet åpner for at en angriper kan kjøre skadekode over nettverket uten å bli spurt om brukernavn og passord, og tilbyr alle ingrediensene en orm trenger for å trives.

- Jeg er spesielt skremt av dette sikkerhetshullet. Hackere vil helst ha sårbarheter som ikke krevet verifisering av rettigheter på systemet og som er en mye brukt, integrert del av Windows. Jeg garanterer at angripere kommer til å studere denne sårbarheten svært nøye, sier Jason Miller, forsknings- og utviklingsleder i Vmware.

I følge Microsoft vil det være en utfordring å utvikle et program som kan utnytte sårbarheten, selv på tross av lett tilgjengelighet.

Selskapet regner med at det er sannsynlig å se skadevare som utnytter dette sikkerhetshullet i løpet av en måneds tid.

Både Telenors sikkerhetssenter og Danmarks CERT varsler også om hullet via Twitter.

NorCERT (Norwegian Computer Emergency Response Team) har sendt ut et varsel til sine samarbeidspartnere.

- Det er viktig å identifisere og patche systemer som kjører RDP, og det er viktig å få gjort det raskt. Dette er en sårbarhet som er enkel å utnytte for å få tilgang til mange maskiner, sier Kjetil Berg i Norcert.

Han viser til den omfattende skaden ormen Conficker klarte å gjøre i 2009. Ormen utnyttet nemlig en sårbarhet som heller ikke krevde verifisering av brukerrettigheter.

Workaround for virksomheter

Oppdateringen fra Microsoft krever omstart av maskinen, noe som kan være vanskelig å gjøre i datasenter og lignende. Men på grunn av høy risiko ved ikke å gjøre noe, tilbyr Microsoft en midlertidig løsning.

Løsningen kan utføres uten behov for nedetid, og man på denne måten sikre serverene sine umiddelbart, og heller utføre oppdatering på vanlig måte senere.

Dette er en trygg, rask og enkel måte å sikre seg på.

Microsoft har automatisert denne løsningen med verktøyet Fix-it, som legger ett ekstra nettverkslag på toppen av RDP-protokollen. Nettverkslaget NLA (Network Level Authentication) krever verifisering av brukerrettigheter før man får lov å koble seg mot RDP-protokollen, og tetter på den måten sikkerhetshullet.

Merk at Windows XP og Windows Server 2003 ikke har støtte for NLA, så her må man oppdatere Windows på vanlig måte.

Les om:

Sikkerhet