Stappenplan voor nieuw IE-lek
Er is een nieuw beveiligingslek in Internet Explorer 6, 7, 8 en 9 ontdekt dat aanvallers actief misbruiken, maar een update is nog altijd niet beschikbaar. In afwachting van een beveiligingspatch heeft Microsoft een aantal 'workarounds' gegeven, die Security.nl in dit stappenplan behandelt. Microsoft heeft dit keer niet voor een 'fix-it' oplossing gekozen, waarbij gebruikers op een knop kunnen klikken.
IE-gebruikers die zich willen beschermen moeten verschillende instellingen aanpassen en de Enhanced Mitigation Experience Toolkit gebruiken. Dit programma herkent en stopt verschillende aanvalstechnologieën. Dit is met name handig op oudere Windows-versies of voor programma's die geen bescherming tegen dit soort aanvallen bieden. In dit geval is de oplossing ook van toepassing op IE9 met Windows 7.
Stap 1: Download EMET via deze link. (Microsoft adviseert om EMET 3.0 te downloaden, maar er is ook een bètaversie van EMET 3.5 beschikbaar, die meer aanvalstechnieken herkent.)
Stap 2: Installeer EMET.
Stap 3: Start EMET via het Startmenu.
Stap 4: Kies rechtsonder de optie 'Configure Apps'.
Stap 5: Kies add.
Stap 6: Voeg vervolgens Internet Explorer toe, te vinden in:
- C:\Program Files (x86)\Internet Explorer\iexplore.exe (32-bit versie)
- C:\Program Files\Internet Explorer\iexplore.exe (64-bit versie)
Stap 7: iexplore.exe is nu als app toegevoegd. Klik vervolgens op ok.
Internet Explorer instellingen
Voor wie geen EMET wil gebruiken heeft Microsoft ook nog een andere oplossing, namelijk het aanpassen van de beveiligingszone. Hierdoor worden ActiveX controls en Active Scripting geblokkeerd. Deze maatregel heeft echter grote invloed op veel websites, aangezien scripts en plug-ins niet meer werken. Het kan dan gaan om online webwinkels en internetbankieren, zo waarschuwt Microsoft zelf.
De onderstaande instellingen gelden voor alle websites. Microsoft adviseert in de advisory om voor betrouwbare websites een uitzondering te maken, zodat die wel werken. Het probleem is echter dat als aanvallers deze sites weten te hacken, de aanval nog steeds wordt uitgevoerd.
Stap 1: Ga in Internet Explorer naar het menu "Extra" en kies vervolgens "Internetopties".
Stap 2: Ga naar de tab "Beveiliging".
Stap 3: Zorg dat de Internet zone is geselecteerd (standaard het geval). Zet nu de schuif bij "Beveiligingsniveau voor deze zone" helemaal omhoog naar 'Hoog'. Klik vervolgens op oké.
Alternatieve browser
Als laatste is er natuurlijk nog altijd de mogelijkheid om een alternatieve browser te gebruiken, zoals Mozilla Firefox of Opera.
Update
De enige echte oplossing is een beveiligingsupdate. Zodra die beschikbaar is laten we dit natuurlijk meteen weten. Wanneer deze update verschijnt is voornamelijk afhankelijk van het aantal IE-gebruikers dat via het lek wordt aangevallen.
Als het tot enkele gerichte aanvallen beperkt blijft, zoals nu waargenomen, is de kans groot dat de update tijdens de patchcyclus van oktober verschijnt, op 9 oktober om precies te zijn. Worden er meer aanvallen waargenomen, dan is een noodpatch waarschijnlijk.
Ik mis de stap kiezen voor een andere browser!
Wanneer een Canon EOS camera via de USB-kabel wordt aangesloten, zie je geen opstartscherm meer. Je kunt dit wel ondervangen door naar Mijn computer etc. te gaan en daar het pictogram aan te klikken voor de camera, maar erg gebruiksvriendelijk is het niet geworden.
Daarom is het tijdelijk overstappen naar een andere browser (Google Chrome bijvoorbeeld) m.i. een betere keuze.
Overstappen op een andere browser gaat niet zo makkelijk in een organisatie met 70 medewerkers waaronder veel computeranalfabeten (die bijv. de browser 'het internet' nomen). IE9 blijft nodig voor een aantal specifieke toepassingen die niet werken op andere browsers.
EMET vind ik ook een risico om zomaar op het systeem te zetten; ik ken het niet en mogelijk geeft het conflicten met Citrix oid (dat software als Canon niet automatisch opstart bij het aansluiten van devices is niet zo´n punt).
Ik ben geneigd te wachten op een patch van Microsoft die hopelijk deze week komt.
Overstappen op een andere browser gaat niet zo makkelijk in een organisatie met 70 medewerkers waaronder veel computeranalfabeten (die bijv. de browser 'het internet' nomen). IE9 blijft nodig voor een aantal specifieke toepassingen die niet werken op andere browsers.
Echt waar? IE9? Ik had toch echt gedacht (gehoopt) dat de amateurs die IE6-specifieke toepassingen hadden gemaakt in het verleden ondertussen hun lesje hadden geleerd... Om nog maar te zwijgen over de organisaties die dit soort technology lock-ins accepteren. Daar heb je vooral jezelf mee als je dadelijk weer niet kunt upgraden omdat MS de nieuwe versies van IE meer standaard-correct maakt, met alle beveiligingsrisico's van dien.
Hoeveel mensen knoeiden al niet met printersoftware, camera,scanner software verschil van usb kabel om sommige Canon toestellen in gang te krijgen.
Ik wil met deze opmerking geen steen werpen naar Canon hoor want ik heb zelf Canon toestellen.
Maar sommige upgrades/dates zijn verschrikkelijk onduidelijk voorgesteld op hun site.
Overschakelen naar Google Chrome lijkt mij ver gezocht.
Ik ga dit nog wel eens verder uittesten als thuisgebruiker dan wel. Voor bedrijven ligt dit wel iets gevoeliger dacht ik.
Uhm, dus jullie nemen digibeten aan, leiden ze niet op.
En gaan dan klagen ook nog dat het niet allemaal zo makkelijk is.
Is dit niet de reden waarom "Hackers" het ook steeds weer lukt en er dus geld mee verdienen ?
Dankzij schapen herders zoals jouw....
Uhm, dus jullie nemen digibeten aan, leiden ze niet op.
En gaan dan klagen ook nog dat het niet allemaal zo makkelijk is.
Is dit niet de reden waarom "Hackers" het ook steeds weer lukt en er dus geld mee verdienen ?
Dankzij schapen herders zoals jouw....
Dat is lekker makkelijk hoor, de it-er de schuld geven van de onkunde van de gebruikers. Blijkbaar geen ervaring met eindgebruikers ofzo, en de manier waarop directies op dit soort zaken reageren (die meestal net zo digibeet zijn). De meeste gebruikers weten niet wat ze doen, ze kunnen alleen een truukje wat teovallig hun werkt is.
Ik zit wat dat betreft met 150 users in het zelfde schuitje, maar zomaar overstappen op een andere browser heeft ook weer zo zijn nadelen:
Firefox: Niet centraal te managen/updaten enzovoorts
Google Chrome: Instellingen gaan niet mee naar andere plekken (roaming profile werkt niet), of je moet een google account instellen waarbij preferences buiten de organisatie bewaard worden (mag niet ivm non-disclosure overeenkomsten met opdrachtgevers)
Safari: Zie Firefox
Opera: Zie Firefox.
Oftewel, in een wat grotere ICT omgeving zoals deze is Internet Explorer het enige goede alternatief gezien de integratie in active directory, het uitrollen van updates, en het voorkomen van rare thema's in de browsers, controle over geinstalleerde plugins enzovoorts. Ondanks dat er al jaren om een versie van Google Chrome geroepen wordt die wel goed in een AD werkt, is die er nog altijd niet.
PS: Hackers hebben hier weinig kan, ondanks het gebruik van IE. Het geheim? Een HELE goede filterende firewall met intrusion detection, antivirus, antispam en de mogelijkheden om op categorie pagina's te blokkeren. Werkt als een trein.
Fijn ook om elders op sites met minder onderlegde gebruikers naar te kunnen verwijzen.
Eerder had ik EMET 2.0 wel eens uitgeprobeerd. Maar omdat ik DEP en SEHOP al standaard ingeschakeld heb staan, en onder Vista en Win7 geen goede redenen zag voor het op specifieke programma's toepassen van de beschikbare mitigations anders dan DEP en SEHOP, had ik na EMET 2.0 de versies 3.0 of 3.5 nooit uitgeprobeerd en toegepast.
De mogelijkheid van het onder de huidige omstandigheden op IE toepassen van alle EMET mitigations is echter wél interessant. Ik heb nu EMET 3.5 toegepast op IE9, en daarbij alle mitigations toegepast, waaronder tevens de onder 3.5 aangeboden optionele ROP mitigations.
Dat lukt zo te zien wel, hoewel hij bij het installeren zegt dat ik het als Administrator moet installeren
terwijl ik dit doe als een andere user die locaal lid is van de groep Administrators.
Beetje sneu dat dat niet werkt. Of zou de foutmelding dat hij geen event source kan toevoegen misschien
ergens anders door veroorzaakt worden (dat het een Nederlandse XP is bijvoorbeeld). De rest van de
installatie lukt wel.
Afijn, verder met het maken van een group policy. Helaas. Er zitten alleen een EMET.admx en EMET.adml file
bij en geen EMET.adm dat gaat dus niet werken op onze Windows 2003 domain controller.
Dat wordt dus weer friemelen met scripts vrees ik. Of de hele tool maar vergeten, want of het wat oplevert
is maar de vraag. (we hebben de veiligheids settings van de werkstations al zo staan dat de gebruikers
de exploit code toch niet kunnen uitvoeren)
Stappenplan
- Ga naar het zoekveld in startmenu.
- Typ in: secpol.msc en dan enter
- Ga naar Application Control Policies -> App locker -> Excutable rules.
- Sla eerste pagina over, kies deny, kies path,
- Plak volgende regel:
C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.exe
- vervolgens klik, klik, klik. Je krijgt nog een waarschuwing, klik ok.
- En je rule is toegevoegd.
We moeten nu nog twee stappen uitvoeren om het werkend te krijgen. En dat is in het linkermenu klikken Applocker. In het rechter menu kies je: Configure rule enforcement. En vink je executable rules aan in het popupje.
Vervolgens moet je de service die dit allemaal regelt aanzetten. Of als deze aanstaat opnieuw starten. Dat doe je door naar startmenu te gaan: services.msc in te typen en dan dubbel klik je op application identity. Vervolgens stel je startup type in op automatic, zodat deze service altijd wordt opgestart. Als de service aanstaat, moet je deze stoppen en opstarten, en anders gewoon starten.
<b>Alternatieve browser</b></ br>
Als laatste is er natuurlijk nog altijd de mogelijkheid om een alternatieve browser te gebruiken, zoals Mozilla Firefox of Opera.
</Qoute:>
Dat was wellicht een nogal overbodige post, want je citeert enkel een stukje uit het bovenstaande artikel.
En aanwijzingen over quote- en andere codes vind je onder "Ondersteunde BBcodes".
Ik zit wat dat betreft met 150 users in het zelfde schuitje, maar zomaar overstappen op een andere browser heeft ook weer zo zijn nadelen:
Firefox: Niet centraal te managen/updaten enzovoorts
Paul
Alleen komt er bij mij echt niets binnen! Ik raak dus nooit in paniek.
Ik gebruik trouwens IE9 en ben zeer tevreden.
Dit wilde ik even kwijt!
RjSeeker.c.c
<knipknipknip>
Firefox: Niet centraal te managen/updaten enzovoorts
Google Chrome: Instellingen gaan niet mee naar andere plekken (roaming profile werkt niet), of je moet een google account instellen waarbij preferences buiten de organisatie bewaard worden (mag niet ivm non-disclosure overeenkomsten met opdrachtgevers)
Safari: Zie Firefox
Opera: Zie Firefox.
FireFox heeft een versie met lange termijn support die zichzelf meen ik ook niet iedere paar weken update, worth a look! Ik vond ni de gouwigheid alleen deze link, maar er is meer info over:
http://webwereld.nl/nieuws/109087/firefox-krijgt-variant-met-lange-termijn-support.html
FireFox heeft een versie met lange termijn support die zichzelf meen ik ook niet iedere paar weken update, worth a look!
Waar je aan moet denken is dat beheerders van netwerken niet alleen geirriteerd worden door de zeer frequente
updates in Firefox (die ook iedere keer weer user impact hebben) maar ook door het gebrek aan beheer mogelijkheden.
Internet explorer kun je beheren met Group Policy. Een keer op de server je instellingen doen en alle gebruikers
staan goed ingesteld. Probeer dat eens met Firefox.
Je kunt wel een file met vaste config settings uitrollen maar dat vereist studie en scripting waar veel Windows
beheerders die wel Group Policy aankunnen niet toe in staat zijn.
Wij gebruiken al Mozilla producten sinds Mozilla 4.x, toen er nog geen goed Microsoft alternatief was, en we hebben
in de loop der jaren heel wat tooling gemaakt. Silent install, automatisch copieren van de vaste settings file,
automatisch toevoegen van het gebruik van die file, het instellen als default browser, het configureren van een
user account voor mail, je moet het allemaal zelf uitvinden en regelen.
Het KAN allemaal wel, en het kan heel mooi werken, maar het is niet voor iedereen weggelegd.
Dan moet je Chrome instellen als de "default browser".
Ik gebruik nooit Chrome maar de meeste browsers zeuren je bij het opstarten aan de kop met een "wil je me echt niet instellen als de default browser" en dat moet je dan dus doen.
Klopt het dat Internet op mijn oude pc veel sneller gaat dan met IE?
Groet, Maarten van Kamsteren
Lees het volgense artikel en je weet waarom het gaat.
http://www.security.nl/artikel/40819/1/%22Hackers_verdienen_fortuin_met_tools_om_jouw_pc_te_kraken%22.html
Succes met overstappen!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
