Scan om Windows-computers te identificeren die door kwetsbaarheden zijn getroffen

Het Department of Information Security ( Ministerie van Informatie en Communicatie ) heeft zojuist een waarschuwing gestuurd over 16 ernstige beveiligingsproblemen in Microsoft-producten. Deze waarschuwingen zijn verzonden naar de IT- en informatiebeveiligingsafdelingen van ministeries, vestigingen en lokale overheden, staatsbedrijven en -groepen, en ook naar commerciële banken en financiële instellingen.

De afdeling Informatiebeveiliging waarschuwde voor de bovenstaande kwetsbaarheden op basis van beoordeling en analyse van de patchlijst van april 2024 die Microsoft bekendmaakte en waarin 147 kwetsbaarheden waren opgenomen in de producten van dit technologiebedrijf.

lo-hong-1-1.jpg
Beveiligingslekken zijn een van de 'paden' die hackersgroepen scannen en gebruiken om het systeem aan te vallen. Illustratie: Internet

Onder de 16 nieuwe beveiligingskwetsbaarheden bevinden zich 2 kwetsbaarheden waar experts speciale aandacht aan willen besteden. Dit zijn: CVE-2024-20678-kwetsbaarheid in Remote Procedure Call Runtime (RPC) (een Windows-onderdeel dat communicatie tussen verschillende processen in het systeem via het netwerk mogelijk maakt (PV), waardoor aanvallers code op afstand kunnen uitvoeren; CVE-2024-29988-kwetsbaarheid in SmartScreen (een beveiligingsfunctie die in Windows is ingebouwd), waardoor aanvallers het beschermingsmechanisme kunnen omzeilen.

De lijst met beveiligingsproblemen in Microsoft-producten waarvoor deze keer is gewaarschuwd, bevat ook 12 kwetsbaarheden waarmee aanvallers code op afstand kunnen uitvoeren, waaronder: 3 kwetsbaarheden CVE-2024-21322, CVE-2024-21323, CVE2024-29053 in 'Microsoft Defender for IoT'; kwetsbaarheid CVE-2024-26256 in de open source-bibliotheek Libarchive; kwetsbaarheid CVE-2024-26257 in Microsoft Excel-spreadsheet; 7 kwetsbaarheden CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 en CVE2024-26233 in 'Windows DNS-server'.

Daarnaast wordt eenheden geadviseerd aandacht te besteden aan twee kwetsbaarheden waarmee spoofing-aanvallen kunnen worden uitgevoerd, waaronder kwetsbaarheid CVE-2024-20670 in Outlook voor Windows-software die 'NTML-hash' blootlegt en kwetsbaarheid CVE-2024-26234 in Proxy Driver.

De afdeling Informatiebeveiliging adviseert instanties, organisaties en bedrijven om computers met Windows-besturingssystemen die mogelijk getroffen zijn, te controleren, te beoordelen en te identificeren, en patches snel te updaten om het risico op cyberaanvallen te voorkomen. Het doel is om de informatiebeveiliging van de informatiesystemen van eenheden te waarborgen en zo bij te dragen aan de veiligheid van de Vietnamese cyberspace.

Eenheden wordt ook geadviseerd de monitoring te versterken en responsplannen op te stellen bij het detecteren van signalen van cyberaanvallen. Daarnaast dienen de waarschuwingskanalen van bevoegde autoriteiten en grote informatiebeveiligingsorganisaties regelmatig te worden gemonitord om cyberaanvalrisico's snel te detecteren.

Ook in april waarschuwde en instrueerde de afdeling Informatiebeveiliging eenheden om de beveiligingskwetsbaarheid CVE-2024-3400 in PAN-OS-software te onderzoeken en te verhelpen. De exploitcode van deze kwetsbaarheid is door het slachtoffer gebruikt om de informatiesystemen van vele instanties en organisaties aan te vallen. Eenheden die PAN-OS-software gebruiken, wordt aangeraden de patch voor de getroffen versies, die op 14 april is uitgebracht, bij te werken.

Geef prioriteit aan het aanpakken van potentiële risico's in het systeem

Het aanvallen van systemen door misbruik te maken van beveiligingslekken in veelgebruikte software en technologische oplossingen wordt door experts altijd beschouwd als een van de belangrijkste trends in cyberaanvallen. Cyberaanvalsgroepen maken niet alleen gebruik van zero-day-kwetsbaarheden (kwetsbaarheden die nog niet zijn ontdekt) of nieuwe beveiligingslekken die door bedrijven worden aangekondigd, maar scannen ook actief naar eerder ontdekte beveiligingslekken om deze te misbruiken en te gebruiken als springplank voor aanvallen op systemen.

W-netwerk-informatiebeveiliging-1-1.jpg
Het periodiek beoordelen van informatiebeveiliging en het proactief opsporen van bedreigingen om potentiële systeemrisico's te detecteren en te elimineren, is een belangrijke taak voor eenheden en bedrijven om hun systemen te beschermen. Illustratie: K. Linh

In werkelijkheid geven de afdeling Informatiebeveiliging en de instanties en eenheden die actief zijn op het gebied van informatiebeveiliging echter regelmatig waarschuwingen uit over nieuwe kwetsbaarheden of nieuwe aanvalstrends. Veel instanties en eenheden hebben echter niet echt aandacht besteed aan het bijwerken en tijdig aanpakken van deze waarschuwingen.

Expert Vu Ngoc Son, technisch directeur van NCS Company, vertelde over een specifiek geval van ondersteuning aan een organisatie die eind maart werd aangevallen: "Na analyse kwamen we tot de conclusie dat het incident eerder had moeten worden aangepakt, omdat deze organisatie gewaarschuwd was dat het account van de receptioniste gecompromitteerd was en onmiddellijk moest worden afgehandeld. Omdat ze het account van de receptioniste niet belangrijk vonden, negeerde deze organisatie het en handelde het niet af. De hacker gebruikte het account van de receptioniste, misbruikte de kwetsbaarheid, nam beheerdersrechten over en viel het systeem aan."

Uit statistieken die de afdeling Informatiebeveiliging eind vorig jaar publiceerde, blijkt dat meer dan 70% van de organisaties geen aandacht besteedt aan het controleren en verwerken van updates en het oplossen van kwetsbaarheden en zwakke punten waarvoor is gewaarschuwd.

Gezien de bovenstaande situatie heeft de afdeling Informatiebeveiliging de eenheden verzocht om prioriteit te geven aan het oplossen van potentiële risico's of risico's die al in het systeem aanwezig zijn, in de zes groepen met aanbevolen kerntaken die ministeries, afdelingen, lokale overheden, agentschappen, organisaties en ondernemingen in 2024 moeten implementeren.

"Eenheden moeten bekende en bestaande risico's in het systeem aanpakken voordat ze overwegen te investeren om zichzelf tegen nieuwe risico's te beschermen. Het periodiek controleren en evalueren van informatiebeveiliging volgens de regelgeving en het opsporen van bedreigingen om risico's in het systeem te detecteren en te elimineren, is zeer belangrijk en moet regelmatig gebeuren", benadrukte de vertegenwoordiger van de afdeling Informatiebeveiliging.

Het Ministerie van Informatie en Communicatie zal een platform opzetten ter ondersteuning van de vroegtijdige waarschuwing voor informatiebeveiligingsrisico's . Het platform voor het beheren, detecteren en vroegtijdig waarschuwen voor informatiebeveiligingsrisico's, dat naar verwachting in 2024 operationeel zal zijn, zal instanties en organisaties automatisch informeren over risico's, kwetsbaarheden en zwakke punten in het informatiesysteem van de eenheid.