Microsoft medewerker waarschuwt voor WMF "patch"
Microsoft heeft naast haar advisory over het zeer ernstige WMF lek in Windows niet veel naar buiten toe gecommuniceerd. Zo wachten miljoenen gebruikers nog altijd op een patch, hoewel er al wel een onofficiele oplossing beschikbaar is. Het is echter de vraag of het wel verstandig is om deze patch te gebruiken. Zelfs al gaat het om de beveiliging van bedrijfskritieke onderdelen, kun je dan een oplossing van een derde partij vertrouwen? Er komen zoveel onbekende risico's bij kijken, ook al heeft het Internet Storm Center de patch van Ilfak Guilfanov goedgekeurd.
Microsoft's "Senior Security Strategist" Jesper Johansson raadt het gebruik van de patch dan ook af. Als oplossing moeten gebruikers:
Verder maakt Johansson nogmaals duidelijk dat er interactie van de gebruiker vereist is om het lek te misbruiken. Iets wat in principe ook zo is, maar in het geval van afbeeldingen die op websites of in e-mailberichten staan, is dit wel erg eenvoudig voor een aanvaller.
De mening van de Microsoft medewerker gaat echter tegen het advies van veel security experts in die juist vanwege de ernst van de situatie aanraden om de onofficiele patch te installeren.
Reacties (19)
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
laat microsoft eerst nou maar es opschieten met de officiele patch... dan
pas praten
pas praten
> Surfen in een "unprivileged context"
Akkoord, maar wat als je omwille van een of andere legacy app dit niet kan
toepassen?
> De exploit op de gateway blokkeren
Akkoord, maar zoals gezegd volstaat het niet om file associaties of mime
types te blokkeren...
> Het de-registreren van het betrokken .DLL bestand
Akkoord, maar ook niet ff vlug te realiseren en te deployen. Dit vereist
trouwens local admin privileges, en dat staat dan haaks op de eerste
stelling mbt "unprivileged context"
> Anti-virus software updaten
OK, zou piece of cake moeten zijn.
Where's the patch????
Patrice
Akkoord, maar wat als je omwille van een of andere legacy app dit niet kan
toepassen?
> De exploit op de gateway blokkeren
Akkoord, maar zoals gezegd volstaat het niet om file associaties of mime
types te blokkeren...
> Het de-registreren van het betrokken .DLL bestand
Akkoord, maar ook niet ff vlug te realiseren en te deployen. Dit vereist
trouwens local admin privileges, en dat staat dan haaks op de eerste
stelling mbt "unprivileged context"
> Anti-virus software updaten
OK, zou piece of cake moeten zijn.
Where's the patch????
Patrice
Ookal is het wel zo dat er risico aanvast zit om een patch te installeren die
in ASM is geschreven om er voor te zorgen dat een sploit niet meer de
buffer kan overflowen.
Maar er zit ook veel risico aan niet patchen van een lek in je mashine/
Hoe dan ook, meeste mensen die met de 3th party patch patchen zijn al
experts. en lopen niet zoveel gevaar.
in ASM is geschreven om er voor te zorgen dat een sploit niet meer de
buffer kan overflowen.
Maar er zit ook veel risico aan niet patchen van een lek in je mashine/
Hoe dan ook, meeste mensen die met de 3th party patch patchen zijn al
experts. en lopen niet zoveel gevaar.
03-01-2006, 12:57 door
hugo_nl
Door Anoniem
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
Had je het nog niet door dat het Microsoft het slechts om
markt-penetratie en helemaal niet om de eindgebruiker gaat?
Tijd om over te stappen naar een ander Operating System en
geen Open System. :P
Door Anoniem
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
Mischien moet je eerst het oorspronkelijk artikel lezen voordat je wat roeptDie kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
Unofficial Patch
Finally, there is an unofficial patch. Patch really is the right terminology for
this. It patches (using basic rootkit technology) a system DLL to ignore
calls to the vulnerable function. The patch is an executable and has to be
run on each vulnerable system, meaning cost of implementation is
potentially very high. According to SANS, it does stop the current exploits.
Personally, I have not tested it, and I have no intention of using an
unofficial patch at this time.
Again, it is risk management. If you have extremely high security
requirements, you may want to go so far as using something as drastic as
an unofficial patch. However, in that situation you are probably not willing
to trust a third-party packaged patch anyway. The unknown risk of issues
with an unofficial patch is pretty high. The cost of implementation ranges
from low in a very managed environment, to very high in an unmanaged
environment. If your risk and the cost of the attack is very high then you
may want to consider the unofficial patch, but I cannot in the best
conscience recommend it right now.
waar hij over schreef, dat is wel ietsje genuanceerder als hier in het
bericht staat. Gegeven dat zijn artikel feitelijk over riskmanagement gaat
lijkt dit me goed onderbouwd
Door hugo_nl
Had je het nog niet door dat het Microsoft het slechts om
markt-penetratie en helemaal niet om de eindgebruiker gaat?
Tijd om over te stappen naar een ander Operating System en
geen Open System. :P
Door Anoniem
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
Had je het nog niet door dat het Microsoft het slechts om
markt-penetratie en helemaal niet om de eindgebruiker gaat?
Tijd om over te stappen naar een ander Operating System en
geen Open System. :P
Heeft den hugo ook al een suggestie? DOS?/OS2?...
03-01-2006, 14:10 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem
Ookal is het wel zo dat er risico aanvast zit om een patch
te installeren die
in ASM is geschreven om er voor te zorgen dat een sploit
niet meer de
buffer kan overflowen.
De patch van Ilfak Guilfanov is geen ASM maar C++, de sourceOokal is het wel zo dat er risico aanvast zit om een patch
te installeren die
in ASM is geschreven om er voor te zorgen dat een sploit
niet meer de
buffer kan overflowen.
kun je gewoon downloaden van
http://www.hexblog.com/security/files/wmfhotfix.cpp .
Microsoft kan marketingtechnisch geen aproval geven voor
deze on-officeele patch.. als ze dat zouden doen geven ze
indirect toe dat ze zelf niet in staat zijn om ad-hoc op een
probleem in te springen. Deze fix van een derde laat zien
dat iemand anders dat wel kan laat eigelijk Microsoft in
zijn hemd staan....
dus het verbaast me niets dat microsoft zo reageert..
Het gezicht van het bedrijf is nou eenmaal belangrijker dan
een paar (?) users die een probleem hebben...dat zal MS echt
roesten..
deze on-officeele patch.. als ze dat zouden doen geven ze
indirect toe dat ze zelf niet in staat zijn om ad-hoc op een
probleem in te springen. Deze fix van een derde laat zien
dat iemand anders dat wel kan laat eigelijk Microsoft in
zijn hemd staan....
dus het verbaast me niets dat microsoft zo reageert..
Het gezicht van het bedrijf is nou eenmaal belangrijker dan
een paar (?) users die een probleem hebben...dat zal MS echt
roesten..
03-01-2006, 17:31 door
Arie
Bij Microsoft zullen ze best wel in staat zijn om zeer snel
een fix te maken voor dit lek. Net zoals "Ilfak Guilfanov"
dit heeft kunnen doen, zoveel regels code zijn het niet en
de oplossing is ook niet opzienbarend. Echter heeft Ilfak
niet door en door op alle systemen kunnen testen, zelf heeft
hij dit enkel op Windows 2000 en XP gedaan.
Het gebruik van de 3e partij patch is geheel voor eigen risico.
Testen kost veel tijd, hoewel ik van MS wel een snellere
uitrol zou verwachten, waarom wachten tot 10 januari?
een fix te maken voor dit lek. Net zoals "Ilfak Guilfanov"
dit heeft kunnen doen, zoveel regels code zijn het niet en
de oplossing is ook niet opzienbarend. Echter heeft Ilfak
niet door en door op alle systemen kunnen testen, zelf heeft
hij dit enkel op Windows 2000 en XP gedaan.
Het gebruik van de 3e partij patch is geheel voor eigen risico.
Testen kost veel tijd, hoewel ik van MS wel een snellere
uitrol zou verwachten, waarom wachten tot 10 januari?
Citaat van Anoniem: "Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!"
Laat 'patch' nou pleister en in dit geval tevens lapmiddel
betekenen :)
soort pleisters komen, mensen hebben patches nodig!"
Laat 'patch' nou pleister en in dit geval tevens lapmiddel
betekenen :)
10 januari is wel mooi de 2e dinsdag van de maand,
microsofts normale dag voor patches.
microsofts normale dag voor patches.
Door Arie
Bij Microsoft zullen ze best wel in staat zijn om zeer snel
een fix te maken voor dit lek.
(....)
Testen kost veel tijd, hoewel ik van MS wel een snellere
uitrol zou verwachten, waarom wachten tot 10 januari?
Omdat ze stiekum toch niet zo snel zijn als jij denkt ?Bij Microsoft zullen ze best wel in staat zijn om zeer snel
een fix te maken voor dit lek.
(....)
Testen kost veel tijd, hoewel ik van MS wel een snellere
uitrol zou verwachten, waarom wachten tot 10 januari?
Door Anoniem
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt
Hoeft ook niet. Een "niet-power-user" oftewel een niet
(local) admin zal weinig dan wel geen problemen ondervinden.
Wat ik begrijp zal een aanvaller "slechts" toegang krijgen
tot de user's world. En als die geen admin is - een situatie
die vanzelfsprekend is voor zichzelf serieus nemende
bedrijven en slimme thuisgebruikers -houdt 't snel op. Geen
SAM, geen installatierechten. De schade zal waarschijnlijk
dus beperkt blijven tot in een extreem geval toegang tot
documenten van de gebruiker. Virusscanner updaten (hoeft een
gebruiker als 't goed is ook _niets_ voor te doen) en zelfs
dit zal niet meer lukken.
En tsjaah, dat alle als (local) admins draaiende heren en
dames wel een de pineut zouden kunnen zijn.... men krijgt
wat men verdient. Een admin hoort alleen aangemeld te zijn
voor admin-werkzaamheden. Surfen en email lezen is iets voor
gebruikers. Of voor het gestripte account van de admin (try
runas). Als men dit niet goedschikt wil leren, dan
kwaadschiks. Ooow krijg ik nu flashbacks richting telnet,
ftp, rsh, etc ;)
Whoehaha, wat een onzin... Patches van Microsoft zijn
zowiezo erger dan de exploit vaak... Kennen we de geweldige
resultaten van de XP-SP2 patch niet meer? Honderdduizenden
machines die niet meer bootten na installatie. Direct_X 9
bijvoorbeeld is al 4 keer 'gepatched'... Servicepacks voor
Windows 2000 werden zelfs geadviseerd om NIET te installeren
als je nergens last van had. Bij NT4 moest je zelfs wachten
tot je de C-variant van de servicepack had voordat je hem
kon installeren zonder je machine om zeep te helpen...
Dus kom niet aan blaten van "goh, wat eng, een 3rd party
patch"... Zeker niet van onze Windows-Fak.. ZEKER niet als
SANS adviseert hem te installeren.. Dat hebben ze de
afgelopen 5 jaar nog nooit gezegd...
Micrsoft is nu met damage-control bezig... Via hun
overheid-spreekbuizen worden nu weer niets-zeggende
statistieken in de lucht gegooid, komen er straks weer
'get-the-facts' bulshit in de media en krijgen we vast ook
nog wel wat FUDD erbij in de vorm van juridische stappen..
mogelijk in de vorm van SCO. Ik kijk wel wat de soap wordt.
zowiezo erger dan de exploit vaak... Kennen we de geweldige
resultaten van de XP-SP2 patch niet meer? Honderdduizenden
machines die niet meer bootten na installatie. Direct_X 9
bijvoorbeeld is al 4 keer 'gepatched'... Servicepacks voor
Windows 2000 werden zelfs geadviseerd om NIET te installeren
als je nergens last van had. Bij NT4 moest je zelfs wachten
tot je de C-variant van de servicepack had voordat je hem
kon installeren zonder je machine om zeep te helpen...
Dus kom niet aan blaten van "goh, wat eng, een 3rd party
patch"... Zeker niet van onze Windows-Fak.. ZEKER niet als
SANS adviseert hem te installeren.. Dat hebben ze de
afgelopen 5 jaar nog nooit gezegd...
Micrsoft is nu met damage-control bezig... Via hun
overheid-spreekbuizen worden nu weer niets-zeggende
statistieken in de lucht gegooid, komen er straks weer
'get-the-facts' bulshit in de media en krijgen we vast ook
nog wel wat FUDD erbij in de vorm van juridische stappen..
mogelijk in de vorm van SCO. Ik kijk wel wat de soap wordt.
Waarom spreekt men van lek als het een feature betreft uit
de jaren tachtig,die nu wordt misbruikt om als vector te
dienen voor kwaadaardige nodes. Met gewone gebruiksrechten
is men dus even kwetsbaar als met admin rechten.
Hoeveel van deze relict features kunnen door malcreanten nog
gebruikt worden voor hun creaties? Wordt het geen tijd de
code nog eens zorgvuldig hierop door te lichten, of blijft
men vasthouden aan de backwards compatibilty?
D
de jaren tachtig,die nu wordt misbruikt om als vector te
dienen voor kwaadaardige nodes. Met gewone gebruiksrechten
is men dus even kwetsbaar als met admin rechten.
Hoeveel van deze relict features kunnen door malcreanten nog
gebruikt worden voor hun creaties? Wordt het geen tijd de
code nog eens zorgvuldig hierop door te lichten, of blijft
men vasthouden aan de backwards compatibilty?
D
Door Arie
Bij Microsoft zullen ze best wel in staat zijn om zeer snel
een fix te maken voor dit lek. Net zoals "Ilfak Guilfanov"
dit heeft kunnen doen, zoveel regels code zijn het niet en
de oplossing is ook niet opzienbarend. Echter heeft Ilfak
niet door en door op alle systemen kunnen testen, zelf heeft
hij dit enkel op Windows 2000 en XP gedaan.
Het gebruik van de 3e partij patch is geheel voor eigen risico.
Testen kost veel tijd, hoewel ik van MS wel een snellere
uitrol zou verwachten, waarom wachten tot 10 januari?
Bij Microsoft zullen ze best wel in staat zijn om zeer snel
een fix te maken voor dit lek. Net zoals "Ilfak Guilfanov"
dit heeft kunnen doen, zoveel regels code zijn het niet en
de oplossing is ook niet opzienbarend. Echter heeft Ilfak
niet door en door op alle systemen kunnen testen, zelf heeft
hij dit enkel op Windows 2000 en XP gedaan.
Het gebruik van de 3e partij patch is geheel voor eigen risico.
Testen kost veel tijd, hoewel ik van MS wel een snellere
uitrol zou verwachten, waarom wachten tot 10 januari?
vanwege het testen misschien?
You will receive the "Bill" later on this century........
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
