Logo Parlement Buxellois

Schriftelijke vraag betreffende het ernstig beveiligingslek in de implementatie van het RPC-protocol door Microsoft en de gevolgen van dit lek voor de gemeentelijke en gewestelijke IT

Indiener(s)
Emin Özkara
aan
Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 944)

 
Datum ontvangst: 21/04/2022 Datum publicatie: 08/06/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 16/05/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
02/05/2022 Ontvankelijk Uitgebreid Bureau van het Parlement
 
Vraag   

Op 21 april 2022 wil ik u vragen naar de kwetsbaarheid in Microsofts implementatie van het RPC-protocol (CVE-2022-26809) die enkele dagen geleden door het CERT-FR is aangekondigd. Zonder in te gaan op technische overwegingen die op dit adres kunnen worden geraadpleegd https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-003/ zou dit beveiligingslek, dat alle versies van Windows "desktop" en Windows "Server" treft, het mogelijk maken dat vanop afstand controle, diefstal, spionage en zelfs vernietiging van vertrouwelijke informatie door cybercriminelen zou plaatsvinden..

Naar aanleiding van de aankondiging van dit kritieke beveiligingslek zou ik u de volgende vragen willen stellen in verband met lokale en gewestelijke IT:

  1. Zijn er incidenten te melden in verband met deze ernstige inbreuk op de beveiliging? Zo ja, hoeveel, wanneer en waar?

  2. Op hoeveel machines draait momenteel een MS-Windows besturingssysteem (uitgesplitst naar MS-Windows versie)?

  3. Welke maatregelen zijn er genomen om gewestelijke en lokale IT te beschermen tegen de exploitatie van dit ernstig beveiligingslek?

  4. Welke maatregelen zijn genomen om het effect van de patches op de prestaties en de veiligheid van het systeem te meten?

  5. Welke tegenmaatregelen zijn er genomen om de veiligheid, integriteit, vertrouwelijkheid en beschikbaarheid van gegevens te waarborgen?

  6. Welke stappen zijn er ondernomen om IT-managers en gebruikers uit te leggen welke bedreigingen aan dit ernstig beveiligingslek zijn verbonden?

 

 
 
 
Antwoord    1/
Er is tot dusver geen incident gemeld aan het CIBG met betrekking tot deze kritieke beveiligingslek.

2/
Wat laptops betreft, beheert het CIBG een vloot van +/- 500 toestellen waarvan het besturingssysteem voor het grootste deel al Windows 11 is. En de account beheert iets meer dan zestig Windows-servers in het Gewestelijk Datacenter.

Wat de GOB betreft, zijn er ongeveer 1.800 clientcomputers (buiten de server) die een MS-Windows-besturingssysteem gebruiken.


3/
Hoewel deze kwetsbaarheid die werd ontdekt bij de implementatie van het RPC-protocol (Remote Procedure Call) in Microsoft-systemen, wordt beschouwd als een zero-day-kwetsbaarheid en als kritiek wordt beoordeeld (omdat het bij misbruik een kwaadaardige code op afstand kan uitvoeren), werd dit beveiligingslek ernstig gematigd in termen van risico's met de reeds getroffen beveiligingsmaatregelen (bijv. Firewall, antivirus) en heeft het niet geleid tot gewestelijke communicatie gezien deze maatregelen.

Dit protocol is inderdaad niet toegankelijk via internet in ons Gewestelijke Datacenter.


Wat betreft de vloot van laptops en Windows-servers zijn deze uitgerust met EDR-oplossingen (Endpoint Detection and Response), ontworpen om continu geavanceerde cyberdreigingen te monitoren en erop te reageren. EDR gaat verder dan een conventioneel antivirusprogramma, omdat het continu abnormaal gedrag inspecteert en het kan blokkeren.

Bovendien worden updates op deze pc's automatisch geforceerd en duurde het slechts drie dagen voordat er een patch beschikbaar was tegen deze dreiging.


4/
Binnen het CIBG moet elke implementatie van patches in productie voor servers een reeks validaties doorlopen. De voorgestelde patches worden immers eerst getest volgens de instructies van de fabrikant in twee verschillende omgevingen: ontwikkeling en acceptatie voordat een implementatie in productie wordt gepland.


Bovendien is er een monitoringsysteem op de informatie-infrastructuur van het CIBG, zodat elke anomalie in termen van prestaties direct zou worden opgespoord.

Pas na al deze validaties en voor zover het resultaat positief is, vindt de uitrol van patches plaats in productie.


5/
De huidige technische (zoals firewalls, isolatie van omgevingen, antivirus, regelmatige back-ups, enz.) en organisatorische veiligheidsmaatregelen die door het CIBG worden geïmplementeerd binnen het Gewestelijk Datacentrum zijn momenteel voldoende om een ​​adequate gegevensbescherming te garanderen.

Daarnaast heeft het CIBG, als gewestelijke speler op het gebied van cyberdefensie, een SOC (Security Operations Center) ingezet om de IT-monitoring te verbeteren en verdachte activiteiten op zijn infrastructuur sneller te detecteren.


6/
Om de in punt 3 genoemde redenen is tot op heden geen specifieke veiligheidsmededeling met betrekking tot deze lek gedaan.

Het CIBG communiceert echter regelmatig met zijn gebruikers en Gewestelijke IT-managers en onderneemt bewustmakingsacties rond informatiebeveiliging. Het bericht dat wordt aanbevolen voor dit soort fouten en dat periodiek wordt doorgegeven aan de IT-teams van de gewestelijke instellingen luidt als volgt: "Houd uw systemen altijd up-to-date met de laatste beveiligingsupdates en volg de instructies van uw leveranciers van besturingssystemen en van VM's (Virtual Machine)".