Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
MS (luistert naar Bitwiper :) bemoeilijkt verspreiding van Conficker
In [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]Microsoft schuldig aan verspreiden wormen via XP netwerkshares[/url] beschrijf ik dat Microsoft al sinds half 2008 een update voor shell32.dll beschikbaar stelt waarmee Autorun op netwerk shares en USB sticks wel volledig kan worden uitgeschakeld.
Veel admins waren niet van het bestaan van deze update op de hoogte, en omdat ze policies toepasten volgens Microsoft's voorschrift, waren ze onterecht in de veronderstelling dat hun systemen veilig waren. Dat klopte niet, want Confiker verspreidt in elk geval via de volgende methoden:
(1) exploit van systemen die niet met [url=http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx]MS08-067[/url] gepatched zijn
(2) brute force username/password combinaties op administrative shares
(3) via Autorun op USB-sticks
(4) via Autorun in de root van netwerk-drives (netwerk shares)
Volledig via automatic updates gepatchte systemen welke van degelijke watchwoorden waren voorzien waren toch kwetsbaar voor Conficker vanwege de laatste twee kwetsbaarheden.
Onder het mom "beter laat dan nooit" heeft Microsoft besloten om de update van shell32.dll m.i.v. vandaag (24 feb 2009) alsnog via automatische updates te verspreiden, zie [url=http://www.microsoft.com/technet/security/advisory/967940.mspx]Microsoft Security Advisory 967940[/url].
Let op: hoewel daarmee Autorun op netwerkdrives wordt uitgeschakeld geldt dit niet voor Autorun op USB sticks: daar is een policy of een registerwijziging voor nodig! Hoe dat moet lees je in mijn artikel waar ik boven en onder naar verwijs.
Bron: [url=http://www.heise.de/security/Microsoft-bestaetigt-Excel-Luecke-und-fixt-Autorun--/news/meldung/133475]Heise Security[/url].
Veel meer informatie: zie mijn artikel bovenaan en mijn post onderaan (van 23:35) in [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]Microsoft schuldig aan verspreiden wormen via XP netwerkshares[/url].
Erg laat, maar toch bedankt Microsoft!
Veel admins waren niet van het bestaan van deze update op de hoogte, en omdat ze policies toepasten volgens Microsoft's voorschrift, waren ze onterecht in de veronderstelling dat hun systemen veilig waren. Dat klopte niet, want Confiker verspreidt in elk geval via de volgende methoden:
(1) exploit van systemen die niet met [url=http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx]MS08-067[/url] gepatched zijn
(2) brute force username/password combinaties op administrative shares
(3) via Autorun op USB-sticks
(4) via Autorun in de root van netwerk-drives (netwerk shares)
Volledig via automatic updates gepatchte systemen welke van degelijke watchwoorden waren voorzien waren toch kwetsbaar voor Conficker vanwege de laatste twee kwetsbaarheden.
Onder het mom "beter laat dan nooit" heeft Microsoft besloten om de update van shell32.dll m.i.v. vandaag (24 feb 2009) alsnog via automatische updates te verspreiden, zie [url=http://www.microsoft.com/technet/security/advisory/967940.mspx]Microsoft Security Advisory 967940[/url].
Let op: hoewel daarmee Autorun op netwerkdrives wordt uitgeschakeld geldt dit niet voor Autorun op USB sticks: daar is een policy of een registerwijziging voor nodig! Hoe dat moet lees je in mijn artikel waar ik boven en onder naar verwijs.
Bron: [url=http://www.heise.de/security/Microsoft-bestaetigt-Excel-Luecke-und-fixt-Autorun--/news/meldung/133475]Heise Security[/url].
Veel meer informatie: zie mijn artikel bovenaan en mijn post onderaan (van 23:35) in [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]Microsoft schuldig aan verspreiden wormen via XP netwerkshares[/url].
Erg laat, maar toch bedankt Microsoft!
Reacties (7)
25-02-2009, 00:14 door
[Account Verwijderd]
[Verwijderd]
25-02-2009, 14:16 door
Ilja. _V V
PoffertjesJanDosieVerDrieNogAnToe!... Heb ik twee weken geleden al mijn vrienden, kennissen & klanten geinstrueerd hoe ze die update met de hand moeten installeren!...
Microsoft luistert altijd, hoor Bitwiper: Het duurt alleen soms even voordat het doordringt. ;-) Even een kleine correctie: Vista & 2008 hebben kb953252 wel meteen als Automatische Update gekregen.
Hierbij een aanvulling over het USB-deel hierboven in beide Bitwiper artikelen (& daarom post ik het dan ook maar in beide):
[url=http://support.microsoft.com/kb/967715]How to correct[/url] "disable Autorun registry key" enforcement in Windows (kb967715) & ga dan naar:
Workaround 2: To prevent users from connecting to USB storage devices.
Waar verwezen word naar:
[url=http://support.microsoft.com/kb/823732/]
How can I prevent[/url] users from connecting to a USB storage device? (kb823732)
Waarin de volgende twee mogelijkheden gegeven worden:
[url=http://support.microsoft.com/kb/823732/#FixItForMe]“Fix it for me” section[/url].
[url=http://support.microsoft.com/kb/823732/#LetMeFixItMyself]“Let me fix it myself” section[/url].
Microsoft luistert altijd, hoor Bitwiper: Het duurt alleen soms even voordat het doordringt. ;-) Even een kleine correctie: Vista & 2008 hebben kb953252 wel meteen als Automatische Update gekregen.
Hierbij een aanvulling over het USB-deel hierboven in beide Bitwiper artikelen (& daarom post ik het dan ook maar in beide):
[url=http://support.microsoft.com/kb/967715]How to correct[/url] "disable Autorun registry key" enforcement in Windows (kb967715) & ga dan naar:
Workaround 2: To prevent users from connecting to USB storage devices.
Waar verwezen word naar:
[url=http://support.microsoft.com/kb/823732/]
How can I prevent[/url] users from connecting to a USB storage device? (kb823732)
Waarin de volgende twee mogelijkheden gegeven worden:
[url=http://support.microsoft.com/kb/823732/#FixItForMe]“Fix it for me” section[/url].
[url=http://support.microsoft.com/kb/823732/#LetMeFixItMyself]“Let me fix it myself” section[/url].
Door BitwiperLet op: hoewel daarmee Autorun op netwerkdrives wordt uitgeschakeld geldt dit niet voor Autorun op USB sticks: daar is een policy of een registerwijziging voor nodig! Hoe dat moet lees je in mijn artikel waar ik boven en onder naar verwijs.
Het probleem zit nog steeds in het feit dat gebruikers in de registry aan de slag moeten. Niet echt iets dat handig is. Net zo gemakkelijk zet men autorun voor shares ook aan. Ik adviseer nog steeds om het advies van US-CERT op te volgen. Dat biedt een dubbele beveiliging. Laat iemand die er verstand van heeft de registry bewerken zoals je het zou willen hebben. En gebruik vervolgens de US-CERT truuk om autorun volledig uit te zetten (en eventueel tijdelijk weer aan conform de ingestelde waardes).
Peter
26-02-2009, 17:09 door
Bitwiper
Door Anoniem
Het probleem zit nog steeds in het feit dat gebruikers in de registry aan de slag moeten. Niet echt iets dat handig is. Net zo gemakkelijk zet men autorun voor shares ook aan.
Daar heb je gelijk in, maar in het [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]artikel waar ik naar verwijs[/url] noem ik ook een gratis tooltje dat het gebruik van regedit overbodig maakt:Door BitwiperLet op: hoewel daarmee Autorun op netwerkdrives wordt uitgeschakeld geldt dit niet voor Autorun op USB sticks: daar is een policy of een registerwijziging voor nodig! Hoe dat moet lees je in mijn artikel waar ik boven en onder naar verwijs.
Het probleem zit nog steeds in het feit dat gebruikers in de registry aan de slag moeten. Niet echt iets dat handig is. Net zo gemakkelijk zet men autorun voor shares ook aan.
Gratis tool: AutoRunSettings
vooral voor XP home gebruikers die het register niet handmatig of met een bestandje willen wijzigen, maar ook als je alleen wilt kijken en niets snapt van hexadecimaal rekenen, bestaat er een gratis en Engelstalig alternatief van Uwe Sieber: [url=http://www.uwe-sieber.de/drivetools_e.html#autorun]AutoRunSettings[/url]. Het makkelijkste is om daarmee de (standaard ontbrekende) HKEY_LOCAL_MACHINE registerwaarde aan te maken door in de rechthoek rechtsboven de gewenste waardes aan te clicken of uit te zetten en Apply te drukken (een vinkje betekent dat uitvoeren van Autorun is toegestaan). Je kunt het alle vinkjes uitzetten en naar keuze CD/DVD aan of toch uit.
ls je links boven waardes hebt gezet maakt het niet meer uit wat er rechtsboven staat. De CD/DVD insert notification kun je het beste aan laten. De waardes in het onderste venster kun je ook het beste ongewijzigd laten.
vooral voor XP home gebruikers die het register niet handmatig of met een bestandje willen wijzigen, maar ook als je alleen wilt kijken en niets snapt van hexadecimaal rekenen, bestaat er een gratis en Engelstalig alternatief van Uwe Sieber: [url=http://www.uwe-sieber.de/drivetools_e.html#autorun]AutoRunSettings[/url]. Het makkelijkste is om daarmee de (standaard ontbrekende) HKEY_LOCAL_MACHINE registerwaarde aan te maken door in de rechthoek rechtsboven de gewenste waardes aan te clicken of uit te zetten en Apply te drukken (een vinkje betekent dat uitvoeren van Autorun is toegestaan). Je kunt het alle vinkjes uitzetten en naar keuze CD/DVD aan of toch uit.
ls je links boven waardes hebt gezet maakt het niet meer uit wat er rechtsboven staat. De CD/DVD insert notification kun je het beste aan laten. De waardes in het onderste venster kun je ook het beste ongewijzigd laten.
Door AnoniemIk adviseer nog steeds om het advies van US-CERT op te volgen. Dat biedt een dubbele beveiliging. Laat iemand die er verstand van heeft de registry bewerken zoals je het zou willen hebben. En gebruik vervolgens de US-CERT truuk om autorun volledig uit te zetten (en eventueel tijdelijk weer aan conform de ingestelde waardes).
Peter
Prima, maar veel thuisgebruikers zullen dan moeite hebben met het handmatig starten van programma's (zoals spelletjes) van CD's.Peter
Let op, U3 USB sticks mounten een CDFS file systemen en worden dus als CD gezien
27-02-2009, 10:31 door
Bitwiper
Door AnoniemGraag gedaan.
Ruud de Jonge
Microsoft Nederland
Hee, dat vind ik een leuke reactie. Bedankt Ruud!Ruud de Jonge
Microsoft Nederland
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
