Microsoft heropent kritiek Windows-gat
In de lading patches die Microsoft vandaag uitbrengt zit ook een kritieke update die in maart al is uitgebracht. De oorspronkelijke fix voor Windows is per ongeluk door SP1 overschreven.
Het in Windows ingebouwde Remote Desktop bevat een gat waarmee aanvallers op afstand eigen code kunnen uitvoeren op pc's en pc-servers. Dit gebeurt dan op systeemniveau waardoor computers geheel zijn over te nemen. Alle Windows-versies en -varianten zijn kwetsbaar, inclusief de uitgeklede servervariant Server Core die juist op afstand wordt beheerd. Microsoft heeft voor dit grote gat in maart dit jaar al de noodklok geluid.
Oude versie teruggezet
Exact ditzelfde gat krijgt nu opnieuw een patch. Microsoft heeft namelijk ontdekt dat service pack 1 (SP1) voor Windows 7 en Windows Server 2008 R2 (release 2) een kernbestand voor Remote Desktop overschrijft met een oudere versie van die .dll. Daardoor is het gedichte gat weer geopend, meldt de softwareproducent nu in het security bulletin voor de opnieuw uitgebrachte update.
SP1 is weliswaar eind februari uitgekomen, maar niet alle gebruikers hebben het direct geïnstalleerd. Met name op servers kan dit meer testwerk vereisen. De oorspronkelijke patch voor het RDP-gat (Remote Desktop Protocol) is zo'n twee weken na SP1 uitgekomen. Terwijl die update kritiek is (waarbij Microsoft toen ook adviseerde het meteen te installeren), geldt dat niet voor SP1. Een service pack is normaliter slechts een verzameling van patches, hotfixes en kleine verbeteringen.
Exploitcode uitgelekt
Exploitcode om misbruik te maken van dit gat is al maanden beschikbaar en wordt ook actief ingezet door malwaremakers. RDP staat standaard niet aan op Windows en hoort ook niet zomaar toegankelijk te zijn buiten een eigen bedrijfsnetwerk. In de praktijk wordt Microsofts remote-beheertool veel gebruikt door bedrijven, waarbij er ook miljoenen systemen openstaan naar het internet toe.
Het oorspronkelijke security-bulletin over dit gat is van maart dit jaar. Kort daarna is exploitcode opgedoken, die rechtstreeks gebaseerd bleek te zijn op de code van de eigenlijke ontdekker. Hij had het stilletjes gemeld aan de Windows-maker, die de bewuste informatie vervolgens deelde met securitypartners die lid zijn van Microsofts beschermingsprogramma MAPP. Eén van die partners heeft gelekt.
Álle Windows-versies
Opvallend genoeg brengt Microsoft de RDP-patch van maart niet alleen opnieuw uit voor Windows 7 en Server 2008 R2. De kritieke update die in de patchronde van deze maand weer meegaat, wordt ook aangeboden voor (alle varianten van) Windows XP, Vista en Server 2003. Webwereld heeft Microsoft gevraagd waarom het de patch opnieuw uitbrengt voor alle ondersteunde Windows-versies.
Bron: Webwereld.nl