Gapend RDP-gat geeft zelfs XP en 2003 patches

Formeel gezien krijgen XP en Server 2003 geen ondersteuning meer van Microsoft. De softwareproducent heeft jaren geleden al afscheid genomen van die twee oude, ooit veelgebruikte besturingssystemen. Na de periode van algemene support, waarin gaten worden gedicht en bugs worden gefixt, is de afbouwperiode van extended support gevolgd, waarin alleen (ernstige) beveiligingsproblemen worden aangepakt met patches.

3 uitzonderingen

Voor Windows XP is het supporteinde op 8 april 2014 gekomen. Voor Windows Server 2003 is dat op 14 juli 2015 gebeurd. Sindsdien krijgen de twee klassieke Microsoft-platformen geen updates meer, ook niet voor kwetsbaarheden. Hier gelden drie uitzonderingen voor, waarvan twee officieel. Ten eerste biedt Microsoft bedrijven en organisaties die niet (op tijd) meegaan naar nieuwere, ondersteunde Windows-versies de mogelijkheid om maatwerkondersteuning in te kopen. Hierbij krijgen betalende gebruikers dus nog wel patches, die alleen voor hun installaties zijn.

De tweede uitzondering bestaat uit het feit dat het supporteinde op andere datums ligt voor sommige Windows-installaties. Microsoft biedt naast de bekende pc- en servervarianten van zijn besturingssysteem ook uitvoeringen voor ingebedde hardware. Dergelijke systemen, zoals kassa's, pinautomaten en industriële apparatuur, hebben een veel langere levenscyclus dan reguliere computers.

Eigen beleid 'schenden'

De derde uitzondering valt buiten bovengenoemde scenario's en is dan ook schaars. Dit is dat Microsoft toch besluit om het zelf doorgevoerde supporteinde 'te schenden' in het geval van een zeer ernstige kwetsbaarheid. Zoals twee jaar terug voor het grote SMB-gat waardoor de wereldwijde ransomware-infectie van WannaCry mogelijk was. XP en Server 2003 kregen toen toch ook patches.

Net zoals nu dus voor het gapende gat in RDP, specifiek in de Remote Desktop Services (voorheen Terminal Services geheten). Een aanvaller kan dankzij die nieuwste Windows-kwetsbaarheid met relatief gemak eigen code uitvoeren op kwetsbare computers. Hiervoor is geen handeling van een (misleide) gebruiker nodig en er gelden geen beperkende randvoorwaarden zoals bijvoorbeeld eerst toegang tot een lokaal account.

À la WannaCry?

"Deze kwetsbaarheid is pre-authenticatie en vereist geen gebruikersinteractie. In andere woorden: de kwetsbaarheid is 'wormbaar' wat betekent dat elke toekomstige malware die deze kwetsbaarheid gebruikt zichzelf kan verspreiden van computer naar computer op een soortgelijke manier als de WannaCry-malware die de wereldwijd bestreek in 2017", waarschuwt Microsoft.

De vergelijking met WannaCry wordt door sommige experts van de hand gewezen, omdat het gebruik van RDP veel kleiner is dan dat van SMB. Toch gaat het om een kritieke kwetsbaarheid, waarvoor nu patches uit zijn om Windows 7 (in 32-bit en x64-uitvoering), Windows Server 2008 (32-bit, x64 én IA-64 voor Itanium-processors), Server 2008 R2 (Release 2, x64 en IA-64) te fixen. Plus Windows XP en Server 2003 dus.