Kwetsbaarheden in Microsoft Windows en Cisco ISE

Het Nationaal Cyber Security Centrum waarschuwt voor kwetsbaarheden in Microsoft Windows en Cisco Identity Services Engine (ISE).

In Microsoft Windows is de kwetsbaarheid te misbruiken voor het uitvoeren van willekeurige code onder rechten van de ingelogde gebruiker. Hiertoe dient een kwaadwillende het slachtoffer ertoe te bewegen een malafide bestand te openen. De kans om besmet te worden is groot, terwijl de schade in zo’n geval van gemiddeld niveau is.

De kwetsbaarheid bevindt zich in Mark-of-the-Web-functionaliteit (MotW) van Windows. Dat is een tag die wordt toegevoegd aan bestanden die uit niet vertrouwde bron zijn gedownload. Wanneer een gebruiker een dergelijk bestand opent, vraagt de tag aan de gebruiker om een extra bevestiging vóórdat het bestand daadwerkelijk wordt geopend. De gebruiker wordt er daarbij op gewezen dat het bestand uit niet vertrouwde bron komt en potentieel malafide is. Wanneer het bestand in kwestie echter een ongeldige signature heeft, wordt aan de gebruiker geen extra bevestiging gevraagd wanneer deze het bestand aanklikt. Het bestand wordt dan direct geopend of uitgevoerd.

Volgens HP Threat Research wordt de kwetsbaarheid actief misbruikt. Aan de kwetsbaarheid is nog geen CVE-kenmerk toegewezen. Microsoft geeft aan de kwetsbaarheid in onderzoek te hebben. Dit beveiligingsadvies zal worden bijgewerkt wanneer meer informatie beschikbaar komt.

Goed gebruik

Ook gebruikers van Cisco Identity Services Engine (ISE) lopen gevaar. Een aanvaller kan de kwetsbaarheid mogelijk misbruiken voor het openen en verwijderen van bestanden die op het kwetsbare systeem staan opgeslagen. Voor succesvol misbruik is geauthentiseerde toegang tot de management-interface vereist. Het is goed gebruik om management-interfaces alleen via een apart ingericht management-netwerk beschikbaar te stellen.

De kans om besmet te worden is gemiddeld, maar als het misgaat, kan de schade groot zijn. Cisco geeft aan dat na het verschijnen van beveiligingsupdates een technische write-up en proof-of-concept-code worden verwacht.

Cisco verwacht in november en januari a.s. met beveiligingsupdates te komen voor respectievelijk ISE 3.1 en 3.2. Er zijn geen work-arounds gedeeld. Algemene best-practices zoals het gebruik van sterke authenticatie-methodieken en het op netwerkniveau beperken van toegang tot management-interfaces, verkleinen de kans op misbruik aanzienlijk.