Remote attack vulnerabilities Windows Server 2003

Op 14 juli 2015 is de uitgebreide ondersteuning voor Windows Server 2003 beëindigd

Ik denk dat het lastig gaat worden om een lijstje met vulnerabilities te vinden voor een OS waar al bijna 3 jaar geen patches meer voor worden uitgebracht.

Ik verwacht hier: https://portal.msrc.microsoft.com/en-us/security-guidance of hier https://www.cvedetails.co...-Windows-Server-2003.html

Malarky schreef op donderdag 8 maart 2018 @ 13:38:
Aangenomen dat een organisatie draait met een volledig gepatchte extended support Windows Server 2003, welke vulnerabilities die algemeen bekend zijn zorgen nu voor de grootste risico's' rondom ongeautoriseerde toegang op afstand?

Na wat zoeken kan ik alleen de ISS bug vinden, mits WebDav ingeschakeld, er sprake is van een webserver, en er geen patch via een derde partij gebruikt is.

Ik snap dat het een en ander ook aan de gebruikte Firewall etc. ligt, maar waar kan ik een lijstje vinden met de belangrijkste bekende vulnerabilities voor een up-to-date Windows Server 2003?

Hoezo behoort Windows Server 2003 überhaupt nog tot de opties? Die vraag kun je jezelf beter stellen denk ik...

Mocht uit die vraag komen dat je het inderdaad nog nodig hebt: Geen internettoegang erop.

Andere opties heb je eigenlijk niet. We zijn 15 jaar verder inmiddels!!!

Malarky schreef op donderdag 8 maart 2018 @ 13:38:
Ik snap dat het een en ander ook aan de gebruikte Firewall etc. ligt, maar waar kan ik een lijstje vinden met de belangrijkste bekende vulnerabilities voor een up-to-date Windows Server 2003?

Wat wil je bereiken met een standaard lijstje terwijl je eigenlijk wel weet dat veel vulnerabilities te migiteren zijn met de juiste config?

Waarom scan je niet het live system met een vulnerability scanner?

Kijk eens naar een opensource scanner zoals openvas.

Malarky schreef op donderdag 8 maart 2018 @ 15:29:
[...]


Het gaat om de audit strategie waarbij de klant snel wil laten weten waarom je bijvoorbeeld bij voorbaat niet gaat steunen op controls rondom access/change management op productie systemen met WS2003 die aan het Internet hangen. Als de klant dan terug komt met een goed ondersteund verhaal waarom risico's rondom WS2003 zijn gemitigeerd kunnen we alsnog een slag dieper gaan.

Dat vind ik persoonlijk de verkeerde kant om: jij gaat wat algemene feiten noemen waarom een systeem onveilig zou zijn, en de klant moet maar gaan aantonen dat dit niet zo is omdat hij de juste maatregelen getroffen heeft. Jij bent degene die wat stelt, toon het dan ook maar aan.

Wat je ook niet moet vergeten, een onjuist geconfigureerd systeem met Server 2016 is ook niet secure. Met de default ciphers die enabled zijn op server 2016 wil je bv. ook geen webserver op het internet hebben hangen. Ga je daar dan standaard ook iets over roepen?

Bottomline: security valt en staat met inrichting.

Interessant, kende dat niet, al vereist dat natuurlijk al wel meer inzet.

Is een erg leuke applicance. Uitkomst is een raport met CVE's (en scores) van de gevonden vulnerability's van een systeem. als het gaat om publieke website is er niets waarom je die niet vantevoren even kan draaien en het rapport meenemen in de meeting.

[ Voor 12% gewijzigd door Question Mark op 08-03-2018 15:42 ]

Malarky schreef op donderdag 8 maart 2018 @ 15:56:
[...]
Bottom line is: de klant moet zelf met een goed verhaal komen als deze nog online productie systemen inzetten die al enige jaren geen extended support meer ontvangen om aan te tonen in control te zijn over bijvoorbeeld access management.

Maar de klant zal ook in control moeten zijn over zijn systemen die nog wel supported zijn.

Een supported systeem wat niet gepatched wordt (of slecht ingericht is), kan ook enorm insecure zijn.

Het komt over alsof je nu een risico probeert te definiëren op Windows Server 2003, maar dit risico nog niet echt kan vinden. Ik begrijp overigens prima wat je probeert overigens, maar het is niet zo zwart/wit als wat het soms lijkt. Daarom is een "live" vulnerability scan die je vrij vlot uit kunt voeren op een live systeem wel een leuke optie.

Even uit nieuwsgierigheid, maar waar auditten jullie op? Is dit een technische audit (inrichting) of een audit op processen?

Malarky schreef op donderdag 8 maart 2018 @ 15:56:
[...]


Het leven van een externe financiële auditor is dan relatief eenvoudig De klant moet in beginsel zelf aantonen in control te zijn over IT controls en instaat risico's af te dekken die wij definiëren.

Als je nog met 2003 werkt, lijkt mij dat het antwoord al gegeven is: Ze hebben absoluut geen controle en een idioot beleid. Er is gewoon geen reden meer om het te gebruiken. Ik vind zelfs "we werken met legacy apps" geen goed antwoord meer. Het is al 15 jaar oud! En de extended date is zelfs al 3 jaar verlopen...

Wanneer ga je wel over dan, in 2054?

Ik denk dat je het op de verkeerde manier probeert aan te vliegen door aan te geven dat X vulnerability een risico vormt en daardoor de server vervangen moet worden. Windows Server 2003 wordt niet meer ondersteund door Microsoft, dat betekend dat er geen security patches meer komen. Dit betekend per definitie dat de beveiliging van het systeem niet gewaarborgd kan worden daar hoef jij geen publiek bekende kwetsbaarheid voor aan te tonen.

In andere woorden: hoeveel Windows Server 2003 exploits onder de radar blijven maar wel misbruikt worden is niet vast te stellen maar zeker een risico. Dit risico kan je met 2003 niet verminderen naar een acceptabele rest waarde omdat je dat simpelweg niet kan vast stellen. Enkel upgraden naar een ondersteund platform en die up to date houden kan dit.

Dit wil echter niet zeggen dat als die server vervangen wordt door een Windows Server 2008R2 of hoger het wel veilig is. Dat staat of valt uiteraard met een goed patch management en juiste configuratie.

SMB1 vulnerability (EternalBlue) patch lijkt ook niet van toepassing op Server 2003: https://support.microsoft.com/en-us/help/4013389/title

Daar ben je dus ook kwetsbaar voor lijkt het?

dehardstyler schreef op donderdag 8 maart 2018 @ 16:12:
[...]


Als je nog met 2003 werkt, lijkt mij dat het antwoord al gegeven is: Ze hebben absoluut geen controle en een idioot beleid. Er is gewoon geen reden meer om het te gebruiken. Ik vind zelfs "we werken met legacy apps" geen goed antwoord meer. Het is al 15 jaar oud! En de extended date is zelfs al 3 jaar verlopen...

Wanneer ga je wel over dan, in 2054?

Maar wat als je een machine a 500K moet vervangen omdat de leverancier destijds 2003 geleverd heeft? Dit terwijl de betreffende machine pas over 5 jaar is afgeschreven? Moet je dan maar meteen een nieuwe machine aanschaffen?

De wereld zit helaas niet zo simpel in elkaar (was het maar zo'n feest). En ja, bij mij komen wij helaas soms nog een machine tegen uit het jaar kruik (denk aan grote machines welke een onderdeel van een productielijn aansturen). Voor grote bedrijven is het makkelijk om hier wat aan te doen, maar de kleinere bedrijven hebben deze luxe absoluut niet.

(en voordat ik deze zaken in de praktijk tegenkwam dacht ik er ook zo over als jij)

Killah_Priest schreef op donderdag 8 maart 2018 @ 16:37:
[...]


Maar wat als je een machine a 500K moet vervangen omdat de leverancier destijds 2003 geleverd heeft? Dit terwijl de betreffende machine pas over 5 jaar is afgeschreven? Moet je dan maar meteen een nieuwe machine aanschaffen?

De wereld zit helaas niet zo simpel in elkaar (was het maar zo'n feest). En ja, bij mij komen wij helaas soms nog een machine tegen uit het jaar kruik (denk aan grote machines welke een onderdeel van een productielijn aansturen). Voor grote bedrijven is het makkelijk om hier wat aan te doen, maar de kleinere bedrijven hebben deze luxe absoluut niet.

(en voordat ik deze zaken in de praktijk tegenkwam dacht ik er ook zo over als jij)

De wereld zit precies zo simpel in elkaar, het is niet dat de end of life van 2003 uit de lucht is komen vallen. De levenscyclus van microsoft producten is prima in te zien. Dat het in de praktijk gebeurt dat bedrijven daar geen rekening mee houden is een ander verhaal.

Als bedrijf heb je dan uiteraard alsnog een keuze; de server niet upgraden ivm de kosten en het risico accepteren dat de kans bestaat je data op straat komt te liggen met nodige gevolgen. Of dat niet doen.. Hoe groot dat risico is hangt natuurlijk totaal van de situatie af.

Als klein bedrijf is het inderdaad een lastige situatie eenmaal daar gekomen. Des te meer is het belangrijk om hier vooraf goed over na te denken.

Tiwazz schreef op donderdag 8 maart 2018 @ 17:34:
[...]


De wereld zit precies zo simpel in elkaar, het is niet dat de end of life van 2003 uit de lucht is komen vallen. De levenscyclus van microsoft producten is prima in te zien. Dat het in de praktijk gebeurt dat bedrijven daar geen rekening mee houden is een ander verhaal.

Als bedrijf heb je dan uiteraard alsnog een keuze; de server niet upgraden ivm de kosten en het risico accepteren dat de kans bestaat je data op straat komt te liggen met nodige gevolgen. Of dat niet doen.. Hoe groot dat risico is hangt natuurlijk totaal van de situatie af.

Als klein bedrijf is het inderdaad een lastige situatie eenmaal daar gekomen. Des te meer is het belangrijk om hier vooraf goed over na te denken.

Die datum is inderdaad niet uit de lucht komen vallen : wel is het besef bij bedrijven omtrent dit probleem pas ontstaan nadat er aangegeven werd dat de stekker eruit zou worden getrokken. En de leveranciers van dergelijke machines geven dan vaak niet thuis (ja, je mag de machines vervangen a 500K, alleen omdat het OS welke de machine aanstuurt verouderd is).
Het is ook niet zo dat jij dit soort embedded machines "los" samenstelt : dat doet de leverancier (zij verkopen de machine inclusief de PC / Server die de aansturing doet).

Het enige wat je kunt doen is dus de betreffende machine zoveel mogelijk isoleren en de leverancier naar je shitlist verkassen.

Overigens zijn er ook leveranciers welke wel gewoon keurig hun verantwoordelijkheid naar de klant toe nemen en gewoon de PC die de machine aanstuurt vervangen.

In de echte wereld (de wereld waar geld een grote rol speelt en bedrijven geen oneindige voorraad geld hebben) kom je dit nou eenmaal tegen.
Kijk, als het alleen om een exotisch stukje software gaat wat men op een verouderd platform draait dan is er geen enkel excuus, maar de XP en 2003 bakken zie ik juist veel in dit soort productielijnen (en het is dan vaak ook niet een kwestie van één machine vervangen. Kijk voor de grap maar eens op TV naar zo'n programma waarin je een productielijn van een fabriek ziet en stel je voor dat je meteen ALLE machines moet vervangen ivm een verouderd OS, economisch totaal niet te verantwoorden).

Killah_Priest schreef op donderdag 8 maart 2018 @ 18:31:
[...]

*knip*

Eensch.

In die gevallen, als het enkel om aansturing gaat, is het risico natuurlijk ver te beperken door het te isoleren.

Killah_Priest schreef op donderdag 8 maart 2018 @ 16:37:
[...]


Maar wat als je een machine a 500K moet vervangen omdat de leverancier destijds 2003 geleverd heeft? Dit terwijl de betreffende machine pas over 5 jaar is afgeschreven? Moet je dan maar meteen een nieuwe machine aanschaffen?

De wereld zit helaas niet zo simpel in elkaar (was het maar zo'n feest). En ja, bij mij komen wij helaas soms nog een machine tegen uit het jaar kruik (denk aan grote machines welke een onderdeel van een productielijn aansturen). Voor grote bedrijven is het makkelijk om hier wat aan te doen, maar de kleinere bedrijven hebben deze luxe absoluut niet.

(en voordat ik deze zaken in de praktijk tegenkwam dacht ik er ook zo over als jij)

In zo'n geval natuurlijk zo goed mogelijk beveiligen, waar mogelijk volledig airgapped met verder zeer stricte toegang tot eventuele interfaces, als een netwerk connectie nodig is dan eigenlijk minimaal in een eigen afgesloten vlan met alleen de noodzakelijke machines en alles goed gefirewalled. Als zelfs dat niet mogelijk is echt volledig los gaan met firewalling maar ook iets als virtual patching en stricte monitoring.

Je hebt zeker gelijk dat dit voorkomt, vaker dan je wil zelfs Maar gelukkig kan je vaak redelijk wat risico's afdekken.

ThinkPadd schreef op donderdag 8 maart 2018 @ 16:31:
SMB1 vulnerability (EternalBlue) patch lijkt ook niet van toepassing op Server 2003: https://support.microsoft.com/en-us/help/4013389/title

Daar ben je dus ook kwetsbaar voor lijkt het?

Da's een beetje het punt wat ik probeer te maken. In Windows Server 2012 is SMB 1.0 default enabled, en staat SMB signing uit. Qua security redelijk dramatisch dus. En dan hebben we het over een OS wat nog in mainstream support zit.

Security gaat verder dan lifecycle management. Als een audit bij een klant uitgevoerd wordt, kun je niet alleen maar hameren dat er een OS gebruikt wordt waar geen support meer op zit. Er moet in mijn ogen gehamerd worden op de security- en beheersprocessen van zijn hele landschap.

Om terug te komen op de originele vraag: het grootste risico zit hem in misconfiguratie, en niet zozeer het feit dat een OS geen support meer heeft. (wat niet wegneemt dat dat tweede punt ook een groot risico is).

Killah_Priest schreef op donderdag 8 maart 2018 @ 16:37:
[...]


Maar wat als je een machine a 500K moet vervangen omdat de leverancier destijds 2003 geleverd heeft? Dit terwijl de betreffende machine pas over 5 jaar is afgeschreven? Moet je dan maar meteen een nieuwe machine aanschaffen?

De wereld zit helaas niet zo simpel in elkaar (was het maar zo'n feest). En ja, bij mij komen wij helaas soms nog een machine tegen uit het jaar kruik (denk aan grote machines welke een onderdeel van een productielijn aansturen). Voor grote bedrijven is het makkelijk om hier wat aan te doen, maar de kleinere bedrijven hebben deze luxe absoluut niet.

(en voordat ik deze zaken in de praktijk tegenkwam dacht ik er ook zo over als jij)

Zoals ik al zei: dat kan. Maar dan zonder internettoegang. Dan kan het uiteraard geen kwaad, maar je moet dit niet meer op internet willen.

Ik zou gewoon een Nessus scan los laten op een dergelijk systeem. Valt vast wel een VM te maken met alle patches erop. De vulnerablities verschilen ook, bijvoorbeeld met IIS aan of uit heb je weer andere/meer vulnerabilities te pakken. Geen normale support op een OS vind ik persoonlijk sowieso al een risico omdat je bij problemen negens op kan terugvallen aan de kant van de leverancier. Tenzij je bijvoorbeeld ING heet en kunt betalen voor 5 jaar extended support en special support.😉

[ Voor 68% gewijzigd door Turdie op 09-03-2018 06:37 ]

shadowman12 schreef op vrijdag 9 maart 2018 @ 06:24:
Ik zou gewoon een Nessus scan los laten op een dergelijk systeem.

Dat.... Nessus is alleen vrij kostbaar (de gratis versie is eigenlijk wat te beperkt). Vandaar mijn eerdere opmerking al over Openvas.

Zie (ter info) onderstaande URL waarin Nessus met Openvas vergeleken wordt:

https://hackertarget.com/...expose-vs-metasploitable/