Veiligheid begint bij bewustzijn. Daarom neemt Networking4all één keer per maand een nieuwe vulnerability onder de loep en geven we advies over het voorkomen of genezen ervan.

In een recente security advisory van Microsoft werd een kwetsbaarheid aangekaart in de zoekfunctie van Windows, die een aanvaller in staat kon stellen om gebruikersprivileges op te schroeven en eigen code remote te runnen. De Windows Search vulnerability werd intern ontdekt bij Microsoft door het Vulnerabilities & Mitigations team, en is van toepassing op alle ondersteunde versies van Microsoft Windows.

Wat is het: CVE-2017-8620
De ontdekte vulnerability CVE-2017-8620 is een zogenaamde ‘remote code execution vulnerability’ die te misbruiken is wanneer Windows Search objecten in het geheugen afhandelt. De vulnerability stelt aanvallers vervolgens in staat zichzelf toegang te verstrekken tot het systeem en zichzelf de rechten geven om software te installeren, aan te passen of te verwijderen, data aan te passen of te verwijderen, of nieuwe user accounts aan te maken met volledige gebruikersrechten. Wanneer een aanvaller binnen is, kan hij dus binnen een mum van tijd de computer volledig in handen hebben.

Mocht de aanvaller toegang hebben gekregen tot een computer binnen een netwerk, kan hij via een SMB-verbinding de vulnerability misbruiken op andere computers binnen het netwerk. Deze kant van de vulnerability biedt aanvallers dus de mogelijkheid om het te combineren met een worm-virus. De gevolgen van een dergelijke aanval waren eerder dit jaar goed te zien toen wereldwijd duizenden computers werden geïnfecteerd met het WannaCry virus. Dit virus maakte ook misbruik van het SMB protocol om hele netwerken in één keer te besmetten.

Wat kunt u doen?
De oplossing voor de CVE-2017-8620 vulnerability is een vrij eenvoudige: zorg ervoor dat uw Windows installatie gepatched is naar de nieuwste versie. Omdat de bug werd ontdekt door het interne vulnerability team heeft Windows de oplossing voor de vulnerability meteen opgenomen in hun maandelijkse security patch. Daarnaast heeft Microsoft aangeraden om de Windows Search functie uit te zetten als tijdelijke oplossing, wanneer patchen niet direct mogelijk is.

Om ervoor te zorgen dat u altijd op de hoogte bent van de status van uw server software, is het ook verstandig om gebruik te maken van een risico assessment tool die een inventaris bijhoudt van de software en producten die draaien op uw servers, automatisch updaten wanneer dat mogelijk is, en u op de hoogte stellen van actiepunten die opgelost kunnen worden.

Een goed voorbeeld van een dergelijke oplossing is te vinden binnen de Qualys security solutions. Met een combinatie van hun security producten kunt u uw systeem eenvoudig voorbereiden, monitoren en bijhouden, en altijd op de hoogte blijven van gevaren met een hoge prioriteit. Zo kunt u beginnen met het inventariseren van uw omgeving met Vulnerability Management (VM), en de status van uw omgeving bijhouden met Continuous Monitoring (CM) en Asset Inventory (AI). Deze producten zijn eenvoudig toe te voegen aan de Qualys Cloud Suite in een overzichtelijk dashboard. Daarnaast kunt u Threat Protection (TP) toevoegen, zodat u altijd op de hoogte blijft van actuele kwetsbaarheden en threats en een goed onderbouwde overweging kunt maken welke patches u het eerst moet installeren.

Lees relevante artikelen

Categorie  SSL & Security Vulnerability of the Month | Tags  Security vulnerability of the month windows