Windows Server bevat ernstige kwetsbaarheid

Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid waarschuwt Amerikaanse overheidsorganisaties voor een ernstige kwetsbaarheid in verschillende versies van Windows Server. Overheidsorganisaties krijgen vier dagen de tijd om een update te installeren waarmee deze kwetsbaarheid wordt verholpen.

Het gaat om een kwetsbaarheid dat wordt beoordeeld als kritiek. Het lek krijgt door Microsoft een CVSS score van 10 toegewezen, wat de hoogst haalbare score is. Het lek is ontdekt door het Nederlandse Secura en is op 18 september bekend gemaakt.

Domeinbeheerdersrechten

Secura waarschuwt dat aanvallers via ongepatchte domain controllers domeinbeheerdersrechten kunnen verkrijgen. Om de kwetsbaarheid uit te buiten hebben aanvallers toegang nodig tot het netwerk, maar hoeven zij niet over inloggegevens te beschikken. Secura stelt een testtool beschikbaar waarmee organisaties kunnen controleren of zij kwetsbaar zijn.

Het bedrijf brengt bewust geen werkende Proof-of-Concept van de kwetsbaarheid uit. Wel waarschuwt Secura dat kwaadwillenden deze op basis van de patch kunnen creëren.

Het CISA wijst op de ernst van het datalek. "We brengen geen noodrichtlijnen uit tenzij we nauwkeurig en gezamenlijk hebben beoordeeld dat dit noodzakelijk is. Indien ongepatch stelt deze kwetsbaarheid aanvallers in staat netwerkidentiteitsdiensten te compromitteren. We hebben overheidsorganisaties opgedragen de patch voor maandag 21 september te implementeren op hun infrastructuur en hebben instructies gegeven welke van hun velen systemen zij hierbij moeten prioriteren", schrijft het CISA.