Onderzoeker neemt wraak met 0day lek in Internet Explorer
De recente "zero-day" lekken mogen dan door Microsoft gepatcht zijn, een nieuw lek is alweer ontdekt. Het nieuwe lek ontstaat door de manier waarop de browser "nested OBJECT tags" verwerkt. Volgens Microsoft, dat de kwetsbaarheid aan het onderzoeken is, kan het ervoor zorgen dat de browser crashed of vastloopt. Michal Zalewski, de ontdekker van het lek, denkt dat dit ook gebruikt kan worden voor het uitvoeren van remote code, hoewel dit lastig om te doen is.
Het Deense Secunia heeft het lek als "zeer ernstig" bestempeld en zou ervoor kunnen zorgen dat een aanvaller het systeem overneemt, als hij de kwetsbare gebruiker zover weet om een kwaadaardige website te bezoeken. Ook het Franse Security Incident Response Team waarschuwt dat een aanvaller door het lek willekeurige code kan uitvoeren.
Zalewski heeft Microsoft niet gewaarschuwd, omdat hij de manier afkeurt waarop de softwaregigant met het patchen van lekken omgaat. "Ook al kan ik dit niet veranderen, ik kan deze ongehoorzaamheid veroorloven zolang er geen direct gevaar is voor andere partijen".
Microsoft zou dreigingen vaak bagatelliseren, het doet niet op een zinnige manier mee aan de onderzoeksgemeenschap en ze geven valse berichten af, zoals wanneer een onderzoeker een lek meldt, en dit volgens Microsoft op een verkeerde manier is gedaan, terwijl het juist de rijke softwaregigant is die de lekken niet opspoort en verhelpt, zegt Zalewski. Als oplossing wordt gebruikers aangeraden om geen onbetrouwbare websites te bezoeken, hoewel het gebruiken van een andere browser ook werkt.
Update: Secunia komt uit Denemarken
Zalewski heeft Microsoft niet gewaarschuwd, omdat hij de manier afkeurt
waarop de softwaregigant met het patchen van lekken omgaat. "Ook al kan
ik dit niet veranderen, ik kan deze ongehoorzaamheid veroorloven zolang
er geen direct gevaar is voor andere partijen".
Einde citaat.
1. Zalewski reageert als een verwend kind dat zijn zin niet krijgt en
aandacht vraagt.
2. "Hij is het niet eens met de manier waarop de softwaregigant met het
patchen van lekken omgaat."
Hij weet evengoed dat er verschillend gedacht wordt over verschillende
manieren van aanpak: zoveel zinnen, zoveel meningen !
Er is er maar een authoriteit die een patch beschikbaar kan stellen
met een zekere mate van betrouwbaarheid en dat is de softwaremaker zelf.
Alle patches uit andere bronnen hebben niet die mate van betrouwbaarheid
en kan zelf verdacht zijn.
3. Hoe weet hij absoluut zeker dat er geen direct gevaar is voor andere
partijen ? En als zijn inschatting fout is ?
4. De oplossingen die hij voorstelt zijn wel "opzienbarend" !
Wat een primeur.
Security adviseurs dienen altijd zorgvuldig met hun verantwoordelijkheid
om te gaan. Een van hun doelstelling is het ontdekken van softwarelekken.
Het probleem is de publiciteit en de eer. Een benadering als "na mij het
zondvloed", daar zit niemand op te wachten.
Als een security adviseur met eigen resources in eigen tijd iets vind, is het
aan hem hoe hij dit commercieel gaat exploiteren.
Dankzij dezelfde grote bedrijven waar jij het voor opneemt is er een hetze
ontstaan tegen de openheid van bugs, waardoor er tegenwoordig amper
meer iets openbaars te vinden is, terwijl een jaartje of 6 jaar geleden dat
wel een stuk anders was.
Indien bedrijven aansprakelijk gemaakt zouden worden voor fouten in hun
software dan is de motivatie groter om hun producten beter te controleren
als ook een aanbreng premie in het leven te roepen voor research van
derden.
Security adviseurs dienen altijd zorgvuldig met hun
verantwoordelijkheid
om te gaan. Een van hun doelstelling is het ontdekken van
softwarelekken.
Het probleem is de publiciteit en de eer. Een benadering als
"na mij het
zondvloed", daar zit niemand op te wachten.
Ik dacht dat het de taak van een software leverancier was de
mogelijkheid tot het exploiteren van dit soort fouten in
software zo klein mogelijk te maken, en serieus om te gaan
met de fouten die dan gevonden worden. Maar dat lijkt
beneden de waardigheid van Microsoft, getuige de patches van
onder meer de laatste maand.
Microsoft kan security researchers helemaal niets dwingen en
mag, gezien het track record van Microsoft betreffende
security, in z'n handen knijpen dat er nog security
researchers zijn die op verantwoorde wijze rapporteren aan
Microsoft. Iets minder arrogantie zou Microsoft zeker niet
misstaan.
geschoffeerd te zijn zou ik het ook zo aanpakken. Gratis het
werk doen voor M$ en als dank gen***d worden zou jij wel pikken?
2. "Er is er maar een authoriteit die een patch beschikbaar
kan stellen
met een zekere mate van betrouwbaarheid en dat is de
softwaremaker zelf."
Microsoft als betrouwbaar kenschetsen is iets dat in 1990
nog hout sneed. Je weet nu toch wel beter? NSA-backdoor, je
weet toch?! Weet je niet, dan is Google je bron.
3. Als er rook is ga je ook "brand" roepen, niet inschatten
hoeveel schade dat zou kunnen opleveren. Het belangrijkste
is de brandweer daar te krijgen!
3. Als er rook is ga je ook "brand" roepen, niet inschatten
hoeveel schade dat zou kunnen opleveren. Het belangrijkste
is de brandweer daar te krijgen!
hehe mooie analogie.
Je ziet dat er brand is. Eerst waarschuw je de eigenaar van
het pand. Deze besluit dat de brand op dit moment nog niet
gevaarlijk is en brandweer voor de deur is slechte
publiciteit, men zou zo maar eens kunnen denken dat de
brandpreventie te wensen overlaat. Hopelijk, denken ze,
dooft het vanzelf. Heeft niemand er last van, en geen
slechte publiciteit. Jij ziet echter dat de brand zich
afschrikwekken snel om zich heen grijpt en waarschuwt zelf
maar de brandweer. Beng. Smaadproces.
het is inderdaad waar. In 1 beproefde geval crashde de browser (IE 6 SP1
en alle patches). Dit gebeurde zelfs als de beveiliging van de browser op
HOOG stond. Dit wil zeggen dat er op dit moment geen afdoende
beveiliging aanwezig is die de browser kan beschermern. En dit staat los
van de vraag of er ook remote code execution kan plaatsvinden. Als dit mogelijk zou zijn, dan is het dus mogelijk om de beveiligingszones van de browser te omzeilen.
Ik zal deze exploits eens uitproberen met de nieuwste Firefox:
Het resultaat staat hieronder:
=======================
[color=red](let op! Elke exploit is voor eigen risico!)[/color]
http://lcamtuf.coredump.cx/iedie2-3.html Firefox blijkt NIET kwetsbaar (AdBlock en NoScript aanwezig in Firefox voor alle tests)
Andere URL's geprobeerd.
http://lcamtuf.coredump.cx/iedie2-1.html(eax=0x0, instant dereference)
http://lcamtuf.coredump.cx/iedie2-2.html(bogus esi on reload/leave)
http://lcamtuf.coredump.cx/iedie2-4.html(bogus esi on reload/leave)
In alle gevallen blijkt Firefox gewoon alles af te werken. Er treden geen crashes op terwijl dit bij Internet Explorer wel het geval is. Voor IE verslaafden kan er beter overgestapt worden op [url=http://www.mozilla.com/firefox/]Firefox 1.5.0.2.[/url] totdat er een patch is.
Wie al overgestapt is op Firefox hoeft verder niets te doen.
there, done that. In de afgelopen 15 jaar heb ik het volgende als
antwoorden gekregen op gemelde vulnerabilities (op volgende
van hoe vaak):
#1: Nee hoor, dat kan helemaal niet (Nou, op een bepaald IRC
kanaal vonden ze het interessant)
#2: Geen, helemaal NIETS gehoord van MS (zie 1)
#3: Wij zullen het onderzoeken... (Na 3 maanden, zie 1)
#4: Stuur ons uw volledige gegevens (yeah right, one way ticket
to Quantanamo Bay zeker?
Die Amerikanen kun je vertrouwen zover je ze kunt gooien. En
het enige wat helpt is REAL LIFE EXPLOITS... DAN pas doen ze er
wat aan (en vaak moet je dan een build/patch of 4 wachten
voordat alles weer lekker loopt).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
