Microsoft en NCSC waarschuwen voor twee ernstige kwetsbaarheden in Windows

Microsoft heeft beveiligingsupdates uitgebracht voor twee kwetsbaarheden in de Remote Desktop Services van Windows. Het Nationaal Cyber Security Centrum verwacht dat de lekken binnen zeer korte termijn worden misbruikt door aanvallers en omschrijft de updates als ‘urgent’.

De kwetsbaarheden in de Remote Desktop Services van Windows maken het volgens het NCSC mogelijk om op afstand code uit te voeren zonder dat daarvoor een gebruikersnaam of wachtwoord nodig is. Kwaadwillenden zouden de computer daardoor volledig kunnen overnemen als het systeem niet is geüpdatet. Het NCSC stelt verder dat een dergelijk lek op grote schaal kan worden misbruikt.

Net als het BlueKeep-lek dat eerder dit jaar werd ontdekt, zitten de twee kwetsbaarheden in de Remote Desktop Services. In tegenstelling tot BlueKeep zijn de beveiligingsrisico’s, aangeduid als CVE-2019-1181 en CVE-2019-1182, echter ook aanwezig in Windows 10, inclusief de serverversies, en Windows Server 2012 en 2012 R2. Andere kwetsbare systemen zijn Windows 7 SP1, Windows Server 2008 R2 SP1 en Windows 8.1. Volgens Microsoft lopen computers met Windows XP, Windows Server 2003 en Windows Server 2008 geen risico, en zou het Remote Desktop Protocol zelf ook niet kwetsbaar zijn.

Gebruikers kunnen de benodigde beveiligingspatches sinds dinsdagavond downloaden via de Windows Update-functie of via deze Microsoft-webpagina. Microsoft heeft naar eigen zeggen geen bewijzen dat de lekken, op het moment dat ze werden ontdekt en gepatcht, bij derde partijen bekend waren.

Bron: tweakers.net



Windows 10 Enterprise en Office voldoen nog niet aan privacyeisen van overheid

Windows 10

Windows 10 Enterprise en de mobiele apps voor Microsoft Office voldoen nog niet aan de voorwaarden die de Rijksoverheid aan de software heeft gesteld. Het besturingssysteem en de programma’s zouden worden aangepast, maar dat is nog niet voor alle software gebeurd.

De afspraken die de overheid met Microsoft heeft gemaakt, en de beloofde veranderingen van dat bedrijf zijn nog niet bij alle producten doorgevoerd, blijkt uit een privacy impact assessment van Privacy Company. Dat keek in opdracht van het Strategisch Leveranciersmanagement Microsoft Rijk naar de mogelijke privacygevoelige problemen rondom Microsofts software. Dat assessment was een vervolg op een eerder onderzoek dat het SLM Rijk had laten uitvoeren. Daaruit bleek dat sommige software van Microsoft niet voldeed aan de AVG en gevoelige telemetrie naar het bedrijf stuurde.

Naar aanleiding van de eerdere audit maakte de overheid afspraken met Microsoft over nieuwe software. Nu blijkt uit een nieuwe audit dat de voorgestelde verbeteringen niet overal zijn doorgevoerd. Dat is wel gebeurd bij Office 365 ProPlus, waarin sinds versie 1904 meer mogelijkheden zitten voor systeembeheerders om de telemetrieverzameling te minimaliseren. In Windows 10 Enterprise, Office Online en de mobiele Office-apps is dat echter nog niet het geval.

In Office Online is het niet mogelijk dataverzameling te minimaliseren. In zeker drie mobiele iOS-apps voor Office wordt data verzameld dat naar een Amerikaans marketingbedrijf gaat dat is gespecialiseerd in voorspellende profilering, stelt Privacy Company. Er wordt bovendien geen informatie gegeven over het doel van die dataverzameling, en gebruikers en systeembeheerders kunnen dat niet voorkomen. In Windows 10 Enterprise wordt ook telemetrie verzameld, maar dat is volgens de nieuwe audit wel te minimaliseren door systeembeheerders.

De audit is geen verplichting voor de overheid, maar vooral een aanbeveling. Privacy Company raadt systeembeheerders aan Office Online en de mobiele Office-apps niet meer te gebruiken, en om in Windows 10 Enterprise de dataverzameling te minimaliseren. Of de overheid de aanbevelingen gaat overnemen, is nog niet bekend. Een woordvoerder van het ministerie van Justitie en Veiligheid kon die vraag niet direct beantwoorden.

Bron: Tweakers.net