Iedereen heeft er last van, maar het is een security must en is vandaag belangrijker dan gisteren, en wel hierom.
We hebben het allemaal al meegemaakt, het besturingssysteem vraagt om een herstart voor de levensnoodzakelijke updates. En elke security analist kan minstens één horrorverhaal vertellen waarom die vraag zeer terecht is.
Maar het computer besturingssysteem is niet het enige onderdeel dat updates verdient: smartphones, veiligheidscameras, TV’s, router, Wi-Fi Access Points, switches … worden té vaak vergeten in een gewoon huishouden, maar vermenigvuldigen het security risico bij gebrek aan patches.
Bij bedrijven kan dit nogmaals vermenigvuldigd worden, en dit om meerdere redenen.
Het probleem in 2021
Microsoft Windows 10, Microsoft Server DNS, Microsoft Server Active Directory, Microsoft Exchange Server (alle versies), VMware vCenter Server, VMware ESXi …
Als slechts één van deze systemen géén updates ontving in de laatste 12 maanden én het is aanwezig in eender welk bedrijf: dan is het risico vandaag hoger dan ooit. Bij élk van deze systemen werd namelijk het voorbije jaar een kwetsbaarheid gepatched die qua score de allerhoogste mogelijk risico én impact score kreeg: Remote Code Execution. Op één na zelfs zonder authenticatie en op één na met volledige exploit code beschikbaar.
De specifieke kwetsbaarheden hebben soms interessante namen gekregen: “zerologon” (AD, CVE-2020-1472), “SigRed” (DNS, CVE-2020-1350) of “SMBGhost” (Windows 10, CVE-2020-0796)
Soms zijn deze te vaak onder de radar gebleven: nog héél veel Exchange Servers zijn kwetsbaar aan CVE-2020-0688, wat een Remote Code Execution is na aanmelden. Maar doordat Exchange vaak lokaal staat en gast accounts vaak worden aangemaakt is het het vermelden meer dan waard.
Nog meer dankzij een nog nieuwere kwetsbaarheid in MS Exchange (CVE-2021-26855, zelfde impact).
Doordat veel bedrijven hun servers hebben geupdate begin 2021 kan het zijn dat deze bedrijven onterecht denken veilig te zijn. Verifieer dus zeer nauwkeurig uw Exchange server!
En tot slot hebben deze kwetsbaarheden soms een nog grotere impact dan alles hierboven, maar is de software bij de gewone gebruiker minder bekend: VMware vCenter had met CVE-2020-3952 en CVE-2021-21972 zelfs twee zéér kritische kwetsbaarheden die een individu ongeautoriseerde en totale toegang gaf tot elke virtuele machine in het hele bedrijf. En dat is dus meer dan waarschijnlijk óók elk systeem dat hierboven werd aangehaald. Het heeft geen nut om een Windows Server update uit te voeren als de onderliggende infrastructuur even kwetsbaar is en ongelimiteerde toegang geeft tot diezelfde systemen.
Niemand heeft toegang tot het netwerk?
Een vaak gehoorde stelling, maar hier is waar nieuwe evoluties een rol spelen: Malware past zich aan. Het valt niet te voorspellen wanneer in de toekomst iemand een bijlage of website open klikt en zo virussen toelaat tot het lokale netwerk.
Bij VMware ESXi gaat het over CVE-2020-3992 en ook deze kwetsbaarheid laat ongeautoriseerde en totale toegang toe tot elke virtuele machine.
Dus zelfs als elk ander systeem hierboven vernoemd werd geüpdatet, dan nog kan eventuele malware volledig automatisch zichzelf toegang verschaffen tot deze omgeving en elke virtuele machine daar afsluiten, encrypteren en losgeld vragen.
En dat is nu exact wat recent ontdekt is:
Ransomware gangs are abusing VMware ESXi exploits to encrypt virtual hard disks
Deze nieuwe versnelling in malware development is zeer verontrustend en een gedegen voorbereiding is levensbelangrijk. Niet alle updates kunnen worden geautomatiseerd, wat betekent dat “patch management” zeker een plaats verdient op de agenda.