Op 13 augustus 2019 introduceerde Microsoft Windows beveiligingsupdates (oftewel security patches) voor twee nieuwe kwetsbaarheden die DejaBlue genoemd worden. Deze kwetsbaarheden maken het mogelijk voor hackers om vanop afstand toegang te verkrijgen tot jouw toestel.
Wat is DejaBlue?
De nieuwe kwetsbaarheden die door Microsoft ontdekt werden, kregen de naam DejaBlue. De benaming werd gekozen aangezien ze deden denken aan de iets oudere kwetsbaarheid BlueKeep die zich ook situeert in de remote desktop functionaliteit in Windows.
Voor BlueKeep rolde Microsoft eerder al een patch uit maar onlangs werden er opnieuw 7 kwetsbaarheden ontdekt waarvan er 2 dus kritiek zijn. Via de DejaBlue lekken kan een hacker, net zoals bij BlueKeep, computers zonder interactie van de gebruiker overnemen. Hiervoor dient de aanvaller enkel verbinding te maken via het Remote Desktopprotocol (RDP) waarmee hij dus de computer vanop afstand kan overnemen.
Zodra de hacker toegang heeft tot het toestel kan hij krachtige wormvirussen loslaten die zichzelf binnen het netwerk van de ene computer naar de andere kunnen verspreiden. Zo kan 1 PC in een lokaal netwerk het virus binnenhalen en ervoor zorgen dat ook meteen alle achterliggende toestellen aangevallen worden. Een gelijkaardige werkwijze als het WannaCry virus dat in mei 2018 wereldwijd voor gigantisch veel chaos zorgde.
Welke Windows systemen zijn geïmpacteerd door DejaBlue?
Waar Bluekeep impact had op toestellen met besturingssysteem Windows 7 of ouder, zorgt DejaBlue voor gevaar op toestellen met besturingssysteem Windows 7 of jonger. Aangezien de meeste hedendaagse bedrijfstoestellen werken op jongere systemen dan Windows 7, ontstaat er zo een gigantische doelgroep aan pc’s die mogelijk geïnfecteerd kunnen worden.
Wat zijn de gevolgen van een hack via het Remote Desktopprotocol zoals bij Dejablue?
Kwetsbaarheden zoals DejaBlue en BlueKeep kunnen een gigantische impact veroorzaken zoals we eerder zagen met ransomware WannaCry, Hades Locker, Jigsaw ransomware of Cryptolocker waarmee bedrijven volledig lam gelegd werden. Het gevolg? Grote economische schade. Het is dan ook van cruciaal belang om deze kwetsbaarheden met prioriteit te behandelen. Het is namelijk maar een kwestie van tijd vooraleer hackers ook jouw bedrijf ontdekken bij een grootschalige aanval.
Hoe kan je een infectie met BlueKeep of DejaBlue vermijden?
Voer onmiddellijk de beschikbare beveiligingsupdates of patches uit die Microsoft beschikbaar maakt voor zijn gebruikers. Certified Secure meldt helaas dat er voor BlueKeep in mei 2019 al updates beschikbaar waren maar dat er zelfs na enkele maanden wereldwijd nog honderdduizenden machines niet gepatched zouden zijn. Zo zou het bijvoorbeeld in Duitsland alleen al om meer dan 10.000 toestellen gaan. Een hallucinant cijfer! Zorg dus voor een streng update- en patchbeleid dat goed wordt opgevolgd.
Ben je niet 100% zeker of de IT infrastructuur van jouw bedrijf up-to-date, veilig en gepatched is?
Dan kijk ik graag eens met je mee! Start gerust een chat of stuur een e-mail en we maken alvast kennis!