Microsoft wist al sinds december van Windows ANI lek
Het ongepatchte beveiligingslek in alle recente Windows versies, dat eerder deze week bekend werd gemaakt, wordt volgens Microsoft meer door aanvallers misbruikt. Toch gaat het volgens de softwaregigant nog steeds om "beperkte aanvallen".
Microsoft weet echter al sinds december van het bestaan van de kwetsbaarheid, en zou sindsdien aan een patch werken, zo laat Mark Miller weten, directeur van Microsoft's security response group. Miller wil niet zeggen of Microsoft de update voor het probleem tijdens de patchcyclus van april zal uitbrengen of op een ander moment. Pas toen virusbestrijder McAfee op een Chinees forum las dat aanvallers het lek wilden misbruiken, kwam Microsoft in actie en bracht het zijn security advisory uit. "Het is belangrijk om te vermelden dat hoewel we denken dat Vista het veiligste besturingssysteem is, geen enkele software 100% veilig is" aldus Miller.
Het lek heeft inmiddels voor het nodige leedvermaak bij beveiligingsexperts gezorgd. "Ik moet toegeven. Ik heb me goed vermaakt met het ANI lek. Het is bijna net zo goed als de WMF bug" zegt Dave Aitel. Het Internet Storm Center ziet de lol van het nieuwe beveiligingsprobleem in Windows niet, en heeft de Infocon alarmstatus verhoogd naar geel, omdat exploitcode nu overal beschikbaar is en het aantal kwaadaardige sites met de exploit sterk groeit.
Erik van Straten plaatste de volgende waarschuwing op het forum:
Outlook Express gebruikers zonder virusscanner zijn totaal onbeschermd.
Ook indien je emails in text-only mode opent ben je de pineut. Een virusscanner zou je kunnen redden mits deze up-to-date is, maar ik vermoed dat er nogal wat variaties in de exploit mogelijk zijn die detectie kunnen bemoeilijken. N.B. Ondanks hun namen is Outlook Express echt een heel ander programma dan Outlook.
Gezien de nu vrij beschikbare informatie moeten we rekening houden met de mogelijkheid van een snel verspreidend virus (hoewel je het ook een worm zou kunnen noemen).
Voor meer info zie deze sites:
Vulnerability details (Sans)
Welke MS mailclients zijn kwetsbaar (Sans)
Detectie met andere middelen (Sans)
Technische omschrijving door Jose Nazario
RIFF file format (Wikipedia)
Microsoft's laatste 'verweer' en plan van aanpak
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server
Microsoft Windows Vista
Microsoft Internet Explorer 7.0
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows XP Tablet PC Edition SP2
Microsoft Internet Explorer 6.0 SP2
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows Server 2003 Datacenter Edition Itanium
Microsoft Windows Server 2003 Enterprise Edition Itanium
Microsoft Windows Server 2003 Datacenter Edition Itanium SP1
Microsoft Windows Server 2003 Enterprise Edition Itanium SP1
Microsoft Windows XP Media Center Edition SP2
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Windows Server 2003 Datacenter Edition Itanium SP1
Beta 1
Microsoft Windows Server 2003 Enterprise Edition Itanium SP1
Beta 1
Microsoft Windows Vista beta
Microsoft Windows Vista Beta 1
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Server
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Vista December CTP
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Server SP4
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Datacenter x64 Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows 2000 Server Japanese Edition
Microsoft Windows Server 2003 Enterprise x64 Edition
Microsoft Windows Server 2003 Standard x64 Edition
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Server SP1
Microsoft Windows Server 2003 Datacenter Edition SP1
Microsoft Windows Server 2003 Enterprise Edition SP1
Microsoft Windows Server 2003 Standard Edition SP1
Microsoft Windows Server 2003 Web Edition SP1
Microsoft Windows Server 2003 Datacenter Edition SP1 Beta 1
Microsoft Windows Server 2003 Enterprise Edition SP1 Beta 1
Microsoft Windows Server 2003 Standard Edition SP1 Beta 1
Microsoft Windows Server 2003 Web Edition SP1 Beta 1
Microsoft Windows XP Home SP2
Microsoft Windows XP Professional SP2
SP1 er dan geen last van hebben?
Volgens de bovenstaande lijst zou Windows XP Professional
SP1 er dan geen last van hebben?
ook niet op de lijst van systeemsoftware die er last van zal
hebben. Kennelijk hebben de ontwikkelaars bij het maken van
de updates een 'verbetering' aangebracht in de code die met
SP2 wordt meegelevert die de kwetsbaarheid in zich heeft.
Volgens de bovenstaande lijst zou Windows XP Professional
SP1 er dan geen last van hebben?
Ik weet het niet. Zoek eens op de Google. Misschien dat dit
uitkomst biedt.
Volgens de bovenstaande lijst zou Windows XP Professional
SP1 er dan geen last van hebben?
Ik weet het niet. Zoek eens op de Google. Misschien dat dit
uitkomst biedt.
Peter, als je zulke lijsten post, die niet uit eigen onderzoek afkomstig zijn,
vermeld dan altijd de bron van de informatie. Iedereen kan wel wat roepen.
Volgens de bovenstaande lijst zou Windows XP Professional SP1 er dan geen last van hebben?
Een m.i. belangrijkere vraag is welke applicaties toegang geven tot de kwetsbaarheid. Het zou me niet verbazen als verkenner op alle windows versies de code in een kwaardaardige ANI file zal uitvoeren (bijv. als zo'n file in een directory listing wordt getoond en deze 'ge-previewed' wordt).
Interessanter is te weten welke internet applicaties (email, webbrowser etc.) kwetsbaar zijn en of je dit op kunt heffen door het wijzigen van instellingen, en/of er alternatieve applicaties zijn die niet kwetsbaar zijn. Helaas bestaat op dit punt nog veel onduidelijkheid (behalve over Outlook Express, gebruik daarvan is m.i. momenteel erg onverstandig).
Aanvulling 03:29: een uitstekende beschrijving vind je op [url=http://www.kb.cert.org/vuls/id/191609]deze US-CERT page[/url] (bron: onderaan deze [url=http://isc.sans.org/diary.html?storyid=2551]Sans page[/url] door Kevin Liston).
ongecheckte 2e deel v/d ANI header, en dat terwijl er ergens in 2005 ook al
een stack overflow in het 1e deel werdt gevonden :')
Volgens de bovenstaande lijst zou Windows XP Professional
SP1 er dan geen last van hebben?
opnieuw opgedoken in vista & sp2.
sp1 met alle security updates is veilig (ms05-002)
Als ik een ``account met beperkte rechten´´ in XP gebruik,
ben ik dan beschermd tegen deze exploid?
sp1 met alle security updates is veilig (ms05-002)
Als ik een ``account met beperkte rechten´´ in XP gebruik, ben ik dan beschermd tegen deze exploid?
In de praktijk is het echter zo dat veel gebruikers (met name op thuis PC's) als beheerder inloggen. En dat is waar de meeste malwaremakers op gokken (niet alleen malwaremakers trouwens, veel gewone software werkt ook niet goed als je geen beheerder bent).
Malware zal vaak één of meer van de volgende zaken proberen: security software (antivrus, personal firewall etc.) uitschakelen, je hosts file en/of DNS instellingen wijzigen, services installeren, bestanden schrijven (en soms mappen aanmaken) op plaatsen waar je niet vaak komt (zoals System32 en System Volume Information) en wijzigingen maken in het systeem deel van het register (HKEY_LOCAL_MACHINE). Veel malware werkt gewoon niet als dit niet mag, waarmee de kans op ellende een stuk kleiner is.
Onder Windows bestaat, vergeleken met Unix-achtige besturingssystemen, weinig aandacht voor privilege escalation vulnerabilities, juist omdat die zinloos zijn als users toch altijd al als beheerder inloggen. Reken maar dat die mogelijkheden er zijn. Maar ook hier geldt weer dat de malwaremakers geen moeite hoeven te doen, er zijn genoeg makkelijke prooien.
Dus nee, geen bescherming tegen deze ANI exploit, maar wel een grote kans dat je systeem deze- en andere malware aanvallen ongeschonden doorstaat als je als "ordinary user" inlogt.
Als ik een ``account met beperkte rechten´´ in XP gebruik,
ben ik dan beschermd tegen deze exploid?
een grote kans dat je systeem deze- en andere malware
aanvallen ongeschonden doorstaat als je als "ordinary
user" inlogt.
Dank je wel!
Pro downloaden, aangezien je veel geld betaald voor een
licentie en microsoft zo traag is als dikke stront om lekken
te dichten! Naar mijn mening moet een bedrijf als microsoft
direct de patch uitbrengen wanneer ze deze klaar hebben en
niet een eerste dinsdag van de maand ofzo, wat een bullshit
zeg. Lekker wachten totdat een groep hackers de boel kunnen
overnemen, waarvoor heb ik dan GVD een licentie
gekocht?!?!?!?!?!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
