image

Hackers misbruiken Google-lek in Windows XP

woensdag 16 juni 2010, 00:22 door Redactie, 14 reacties

Het door Google onthulde beveiligingslek in Windows XP wordt op dit moment actief door hackers misbruikt om Windows systemen te infecteren. Anti-virusbedrijf Sophos ontdekte dat de kwetsbaarheid in het Windows Help and Support Center via een gehackte website wordt ingezet om computers over te nemen. Vervolgens wordt er aanvullende malware gedownload.

Microsoft bevestigt de aanvallen, die op dit moment nog beperkt in omvang zijn. Gebruikers van Windows 2003 Server lopen op dit moment nog geen risico, zo concludeert de softwaregigant aan de hand van de gevonden exploit. Beheerders en gebruikers van Windows XP krijgen het dringende advies om de Fix It oplossing toe te passen.

Google
Google onderzoeker Travis Ormandy waarschuwde Microsoft op 5 juni voor het lek, maar besloot het op 10 juni wereldkundig te maken. Dat zorgde voor felle kritiek, omdat Microsoft nooit in zo'n korte tijd een patch kan ontwikkelen en Google dus willens en wetens honderden miljoenen gebruikers in gevaar brengt.

Reacties (14)
16-06-2010, 02:53 door Anoniem
Zoals gewoonlijk, blijft Google huiverige idioten.
16-06-2010, 07:36 door Anoniem
Tjah, ik heb het ook zo niet op die Google bende.
Als je van bepaalde diensten geen gebruik maakt in Win XP, kan je die in systeembeheer/services wel uitzetten dacht ik of vergis ik mij.
Ik heb bvb zo deze uitgezet op één van de PC's (als je ze echt niet nodig hebt natuurlijk)

Alerter
Compabiliteit voor snelle gebruikerswisseling
Helpsessie beheer externe bureaublad
Indexing Service
Messenger
Remote Registry
Routing and remote access
Service voor rapporteren van fouten
Telnet
Wireless zero configuration service
WMI prestatieadapter

Op die bewuste PC onder Win XP Professional installeerde ik het aangeboden patch ook en ik kan mij niet van de indruk ontmaken dat deze pc iets beter is gaan draaien en zelfs beter afsluit.
Of is dat maar een idee?
Ik ben maar een leek op dat vlak, maar ik knoei graag.
16-06-2010, 08:10 door Anoniem
Is wel grappig dat Microsoft ALTIJD roept "we hebben geen informatie dat dit lek actief misbruikt wordt" terwijl je op ISC.SANS.ORG (url moet ik (weer) nog updaten) pieken in de desbetreffende poort ziet bij de portscan statistieken.

Nu roepen ze moord en brand en dat is maar voor 1 ding. Google in een kwaad daglicht zetten. "Zie je wel, hullie hebben ons stout gedaan,, mammie!!!!".
Het komt hen ook wel goed uit, want iedere Windows XP looser is een potentiele Windows 7 klant.
Microsoft is al maanden XP gebruikers aan het pushen om over te stappen.
Lekken zijn niet zo geweldig (zoals laatst bij MSIE6) maar lekken door een 'vijand' welke niet (zogenaamd) opgelost konden worden in een week tijd (hoe moeilijk kan een help functie patchen nu zijn?) zijn natuurlijk welkom om gebruikers te motiveren 299 euro uit te geven voor Windows 2000 eye candy pack 3.
16-06-2010, 10:36 door SirDice
Door Anoniem: Is wel grappig dat Microsoft ALTIJD roept "we hebben geen informatie dat dit lek actief misbruikt wordt" terwijl je op ISC.SANS.ORG (url moet ik (weer) nog updaten) pieken in de desbetreffende poort ziet bij de portscan statistieken.
Alleen jammer dat deze bug helemaal niets met poorten en/of scans te maken heeft.
16-06-2010, 10:59 door Preddie
Door SirDice:
Door Anoniem: Is wel grappig dat Microsoft ALTIJD roept "we hebben geen informatie dat dit lek actief misbruikt wordt" terwijl je op ISC.SANS.ORG (url moet ik (weer) nog updaten) pieken in de desbetreffende poort ziet bij de portscan statistieken.
Alleen jammer dat deze bug helemaal niets met poorten en/of scans te maken heeft.

Exact, dit bewijst maar weer hoe bar weinig mensen weten van besturingssystemen, laat staan beveiliging. Het gaat hier om een exploit dit op het lokale systeem uitgevoerd dient te worden, afhankelijk van de payload kan deze een aanvaller remote toegang bieden tot het systeem.....


Door Anoniem: Zoals gewoonlijk, blijft Google huiverige idioten.

Dit slaat natuurlijk nergens op, mogelijk zijn we het met elkaar eens dat google er praktijken op na houden die de meeste mensen niet leuk vinden. Maar het is beter een 0-day te posten dan je mond te houden en het lek "private" te houden.

Google is echt niet de enige die zoekt naar lekken, er zijn zat crackers bij die dit lek mogelijk ook al hadden gevonden en mogelijk misbruiken om jou pc te voorzien van malware. denk nog even aan de "google-hack", de chinesen gebruikte een lek dat nog niet bekend was bij microsoft en konden zo infiltreren op het google-netwerk.

Natuurlijk had google beter microsoft even kunnen bellen met de boodschap dat ze een lek hadden gevonden dat verholpen moest worden, maar vergeet niet dat google en microsoft geduchte concurrenten van elkaar zijn. De wijze van publiceren zorgt voor veel media aandacht ten negatieve van microsoft, en achteruitgang van microsoft terwijl google stilstaat is relatieve winst voor google ....
16-06-2010, 13:44 door Anoniem
Domme actie van Google. Zij geven inderdaad niets om de consument!
16-06-2010, 16:27 door Anoniem
Tja, Google brengt dit lek naar buiten uit marketing-technisch oogpunt, om te kunnen stellen dat Microsoft geen veilige produkten levert. Gevolg is dat honderden miljoenen nu gevaar lopen. Misschien dat Google volgende keer wat beter kan nadenken voordat ze security als marketing instrument proberen te misbruiken. Deze aktie is ronduit onverantwoordelijk (waarmee ik overigens niet wil zeggen dat Microsoft het zo goed doet, of dat Microsoft produkten geen beveiligingsprobleem vormen).

PS: Draagt Google juridische aansprakelijkheid voor schade welke wordt geleden door misbruik van het lek dat zij naar buiten hebben gebracht ?
16-06-2010, 21:13 door U4iA
Iedereen heeft het hier over de risico's die Windows XP gebruikers nu lopen. Misschien is het een marketing stunt van Google, want het komt wel erg gelegen zo vlak voor de release van Chrome OS. Maar...Google vind dat zelf dat mensen die lekken ontdekken het moeten melden aan de ontwikkelaar en wachten op een patch voordat ze het wereldkundig maken. Nu iedereen ziet dat Google deze regels wel graag op zichzelf reflecteert maar niet op de concurrentie zal menig security specialist in het kader koekje-van-eigen-deeg het ook niet zo nauw meer nemen met deze regels tov Chrome OS, omdat Google ze zelf ook niet hanteert.
17-06-2010, 00:15 door Anoniem
het miljardste lek in windows wordt gemeld maar Google is de boosdoener.

ze hebben MS bijna een week van te voren op de hoogte gesteld voor iets dat blijkbaar redelijk eenvoudig te patchen zou moeten zijn.

er zijn overigens wel vaker lekken gemeld waar MS na een jaar nog geen patch voor had... of zelfs maar erkende dat het een lek was.

het hele probleem is dat MS zo log is dat ze simpelweg niet op tijd kunnen patchen en dan maar een selectie moeten maken.
en blijkbaar gaat men dus pas actie ondernemen als het lek echt misbruikt wordt.

maar goed, Google is blijkbaar schuldig aan Microsoft's puinhoop... moet niet gekker worden hoor.
17-06-2010, 10:29 door Anoniem
@sirdice: Ik heb nergens geschreven dat DIT lek via een portscan misbruikt zou worden. Dat is jouw eigen referentiekader. Ik heb slechts aangegeven dat in gevallen waarbij poorten gebruikt werden (bijvoorbeeld wormen) er vaak een enorme piek te zien is (bijvoorbeeld Slammer) op de desbetreffende poort en dat Microsoft doodgewoon roept "wij weten van niets, u bent veilig". Alsof ze Muhammad Saeed al-Sahhaf in dienst hebben.

Overigens is het zo dat Tavis vijf dagen lang geprobeerd heeft om Microsoft zo ver te krijgen dat ze dit lek in 2 maanden tijd zouden fixen. Pas toen Microsoft zei "daar gaan we geen moeite in stoppen" heeft hij het pas naar buiten gebracht. En nu gaat Microsoft miepen dat er onverantwoordelijk was het lek naar buiten te brengen? Het is onverantwoordelijk zoveel lekken gewoonweg NIET te patchen omdat Microsoft de security consultants in de tang heeft met voor HEN responsible disclosure. NIET voor de consument reponsible. Microsoft heeft geen zin meer ook maar iets te doen voor XP. Dat kost geld, tijd en de programmeurs van Microsoft willen nieuwe eye-candy maken, niet lekken uit een fossiel.
Open disclosure was de enige manier voor Tavis om nog te zorgen dat Microsoft eindelijk de handjes uit de mouwen ging halen.

@predjuh: noem eens exploits welke NIET lokaal uitgevoerd dienen te worden? lange tijd geleden dat ik geflamed ben.

Microsoft heeft XP al afgeschreven. 8 april 2014 is het zowiezo einde oefening, dan doen ze helemaal niets meer voor XP.
17-06-2010, 11:41 door SirDice
Door Anoniem: @sirdice: Ik heb nergens geschreven dat DIT lek via een portscan misbruikt zou worden. Dat is jouw eigen referentiekader. Ik heb slechts aangegeven dat in gevallen waarbij poorten gebruikt werden (bijvoorbeeld wormen) er vaak een enorme piek te zien is (bijvoorbeeld Slammer) op de desbetreffende poort en dat Microsoft doodgewoon roept "wij weten van niets, u bent veilig".
Err.. De bug was al 6 maanden gepatched voordat Slammer toesloeg. Iets wat vaker voorkomt dan de situatie die jij schetst.

@predjuh: noem eens exploits welke NIET lokaal uitgevoerd dienen te worden? lange tijd geleden dat ik geflamed ben.
Jouw eigen voorbeeld, Slammer?

Microsoft heeft XP al afgeschreven. 8 april 2014 is het zowiezo einde oefening, dan doen ze helemaal niets meer voor XP.
En tot die tijd zullen er nog security patches komen.
17-06-2010, 14:20 door Anoniem
Door Anoniem: het miljardste lek in windows wordt gemeld maar Google is de boosdoener.

ze hebben MS bijna een week van te voren op de hoogte gesteld voor iets dat blijkbaar redelijk eenvoudig te patchen zou moeten zijn.

er zijn overigens wel vaker lekken gemeld waar MS na een jaar nog geen patch voor had... of zelfs maar erkende dat het een lek was.

het hele probleem is dat MS zo log is dat ze simpelweg niet op tijd kunnen patchen en dan maar een selectie moeten maken.
en blijkbaar gaat men dus pas actie ondernemen als het lek echt misbruikt wordt.

maar goed, Google is blijkbaar schuldig aan Microsoft's puinhoop... moet niet gekker worden hoor.


De bug was op een zaterdag aangemeld en 5 dagen later werd een werkende exploit gepubliceerd. Het feit dat de "hotfix" van google het lek niet verhielp bewijst dat je meer dagen nodig heb om een fatsoenlijke patch te maken. Overigens, als google zich zo druk maakt over de veiligheid van iedereen, dan hadden ze geen werkende exploit gepubliceerd. Dit is puur een PR stunt van google...
18-06-2010, 11:25 door Anoniem
De patch van Tavis werkt overigens wel. Het is namelijk een TIJDELIJKE fix die ervoor zorgt dat je niet rechtstreeks het HCP protocol kan benaderen. Het zorgt er wel voor dat de helpfunctie en applicaties blijven werken. Het repareert het lek niet maar maakt het wel moeilijker te misbruiken. Dat is iets wat in een enkel uur geprogrammeerd is.
Dit in tegenstelling tot de hotfix van Microsoft, die het gehele HCP protocol sloopt door het deregistreren uit het Windows register. Dus ook helpapplicaties van 3rd parties worden gesloopt via de hotfix van Microsoft.

Remote Assistance zal niet meer werken (door veel helpdesken gebruikt voor support) en bepaalde functies in MSIE zullen niet meer werken (waaronder dus de help functie) die niet alleen door de helpfunctie gebruikt worden.

De letterlijke tekst van Billysoft is dan ook:

The full-disclosure advisory included a hotfix tool built by the Google security researcher. Unfortunately it is ineffective at preventing the vulnerable code from being reached and can be easily bypassed. We recommend not counting on the Google hotfix tool for protection from the issue.

De hotfix van Microsoft zou in het geval van Slammer betekenen het deinstalleren van MSSQL. Ja, Slammer werkt niet meer dan. De database ook niet meer. Geen PR stunt van Google, Tavis deed dit op eigen houtje (zijn account bij Lonestar werd gebruikt om het lek te melden en niet die van Google). En Microsoft zelf heeft gezegd geen zin te hebben om dit lek 'wat nooit misbruikt zou kunnen worden' te fixen binnen twee maanden. Schijnbaar kan het toch misbruikt worden....
En het had makkelijk binnen 60 gefixed kunnen worden, ze hoefden alleen maar een sanatizer te plaatsen op de functie MPC::HTML::UrlUnescapeW()

Wat misschien nog erger was geweest was dat als Tavis GEEN exploit code geschreven had, hij waarschijnlijk door de Microsoft PR lobby weggehoond was als "dat lek bestaat niet" of "is very unlikely to be exploited". (been there, done that).
Nu is het 'putting his money where his mouth is' en dan is het ook weer niet goed.

Maarja, dat is het verschil tussen PR wat zeg dat 'je veilige software bouwt' en de programmeurs die het waar moeten maken.

ASL
19-06-2010, 10:50 door Anoniem
Incorrect. De "hotfix" van Tavis dichtte het lek niet:

http://seclists.org/fulldisclosure/2010/Jun/226
http://secunia.com/blog/103/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.