Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Microsoft patch: important of critical?
Vooraf: het gaat hier om een lek waar een patch voor bestaat. Mijn kritiek richt zich op MMM (Microsoft's Marketing Machine) die voortdurend kwetsbaarheden aan het downplayen (onderwaarderen) is, met alle risico's van dien. Een belangrijke reden hiervoor is natuurlijk de belachelijke strijd wie de minste kwetsbaarheden heeft - een strijd die netto tot meer en langduriger kwetsbare systemen leidt, met de gebruiker als echte verliezer.
Dat dit zo is bleek deze week weer eens: kennelijk onder druk van de markt is, ruim een half jaar na publicatie, een essentiële security patch voor met name XP via automatische updates verspreid die daadwerkelijk de uitvoering van autorun in netwerkdrives verhindert (conform de default register instellingen). En zelfs dan presteert Microsoft om in de bijbehorende [url=http://www.microsoft.com/technet/security/advisory/967940.mspx]Microsoft Security Advisory 967940[/url] (ondanks die kop) te liegen dat het eigenlijk geen security vulnerability is:
Nadat ik in [url=http://www.security.nl/artikel/27542/1/Reclamebanner_besmet_internetgebruikers_via_PDF-lek.html]deze thread[/url] opmerkte dat Microsoft's statement [url=http://www.google.com/search?q=%22an+attacker+would+have+no+way+to+force+users+to+visit+a+malicious+Web+site.%22+site:microsoft.com&hl=en&filter=0]an attacker would have no way to force users to visit a malicious Web site[/url] in alle security bulletins die webbased exploits betreffen (en dat zijn er nogal wat zoals je ziet), natuurlijk flauwe kul is, heb ik daar wat op door ge-google-ed.
Daarbij zag ik dat [url=http://www.microsoft.com/technet/security/bulletin/MS08-076.mspx?pubDate=2009-02-25]MS08-076[/url] gisteren ge-update is. Die wijziging zelf bleek nauwelijks interessant, maar ik bleef hangen op het feit dat de patch (voor 2 kwetsbaarheden) door Microsoft als Important wordt geclassificeerd ondanks dat er sprake is van remote code execution.
De reden daarvoor lijkt in eerste instantie te zijn dat de gebruiker ergens op moet klikken voordat code wordt uitgevoerd. Echter er lijkt toch meer aan de hand....
- Behalve dat code in de context van de ingelogde gebruiker wordt uitgevoerd, kan (volgens de FAQ voor de SPN vulnerability) ook code in de context van het NETWORK SERVICE account worden uitgevoerd. Dat is welliswaar geen SYSTEM maar natuurlijk wel een vorm van privilege escalation.
- Verder googlen leidt me naar [url=http://blogs.technet.com/swi/archive/2008/12/09/windows-media-components-part-1-of-2.aspx]deze Microsoft blog page[/url] met een writeup die niet zou misstaan op de full-disclosure maillijst (zie ook [url=http://blogs.technet.com/swi/archive/2008/12/09/ms08-076-windows-media-components-part-2-of-2.aspx]deel 2[/url]). Hier wordt duidelijk waaruit de kwetsbaarheid bestaat, en met name dat vooral Vista kwestbaar is doordat deze IPv6 en ISATAP ondersteunt. Wat blijkt: door beide kwetsbaarheden te combineren kan een Vista machine zonder dat de gebruiker ergens op klikt worden overgenomen. En als klap op de vuurpijl:
Dat dit zo is bleek deze week weer eens: kennelijk onder druk van de markt is, ruim een half jaar na publicatie, een essentiële security patch voor met name XP via automatische updates verspreid die daadwerkelijk de uitvoering van autorun in netwerkdrives verhindert (conform de default register instellingen). En zelfs dan presteert Microsoft om in de bijbehorende [url=http://www.microsoft.com/technet/security/advisory/967940.mspx]Microsoft Security Advisory 967940[/url] (ondanks die kop) te liegen dat het eigenlijk geen security vulnerability is:
For more information about this issue, including download links for this non-security update, see [url=http://support.microsoft.com/kb/967715]Microsoft Knowledge Base Article 967715[/url].
Tot zover de intro...Nadat ik in [url=http://www.security.nl/artikel/27542/1/Reclamebanner_besmet_internetgebruikers_via_PDF-lek.html]deze thread[/url] opmerkte dat Microsoft's statement [url=http://www.google.com/search?q=%22an+attacker+would+have+no+way+to+force+users+to+visit+a+malicious+Web+site.%22+site:microsoft.com&hl=en&filter=0]an attacker would have no way to force users to visit a malicious Web site[/url] in alle security bulletins die webbased exploits betreffen (en dat zijn er nogal wat zoals je ziet), natuurlijk flauwe kul is, heb ik daar wat op door ge-google-ed.
Daarbij zag ik dat [url=http://www.microsoft.com/technet/security/bulletin/MS08-076.mspx?pubDate=2009-02-25]MS08-076[/url] gisteren ge-update is. Die wijziging zelf bleek nauwelijks interessant, maar ik bleef hangen op het feit dat de patch (voor 2 kwetsbaarheden) door Microsoft als Important wordt geclassificeerd ondanks dat er sprake is van remote code execution.
De reden daarvoor lijkt in eerste instantie te zijn dat de gebruiker ergens op moet klikken voordat code wordt uitgevoerd. Echter er lijkt toch meer aan de hand....
- Behalve dat code in de context van de ingelogde gebruiker wordt uitgevoerd, kan (volgens de FAQ voor de SPN vulnerability) ook code in de context van het NETWORK SERVICE account worden uitgevoerd. Dat is welliswaar geen SYSTEM maar natuurlijk wel een vorm van privilege escalation.
- Verder googlen leidt me naar [url=http://blogs.technet.com/swi/archive/2008/12/09/windows-media-components-part-1-of-2.aspx]deze Microsoft blog page[/url] met een writeup die niet zou misstaan op de full-disclosure maillijst (zie ook [url=http://blogs.technet.com/swi/archive/2008/12/09/ms08-076-windows-media-components-part-2-of-2.aspx]deel 2[/url]). Hier wordt duidelijk waaruit de kwetsbaarheid bestaat, en met name dat vooral Vista kwestbaar is doordat deze IPv6 en ISATAP ondersteunt. Wat blijkt: door beide kwetsbaarheden te combineren kan een Vista machine zonder dat de gebruiker ergens op klikt worden overgenomen. En als klap op de vuurpijl:
Combined severity
Given the above information, it should be clear how combining these two vulnerabilities could lead to an attacker being able to gain access to the victim’s machine. [color=red]However, when determining bulletin severity we do not consider combined attacks for different vulnerabilities, hence the overall severity of Important for this bulletin[/color].
Let met name op die laatste regel: kennelijk vond MMM het in deze tijd, waarin Vista toch al zo moeilijk verkoopt, het niet handig om deze vulnerability in het geval van Vista als critical aan te merken...Given the above information, it should be clear how combining these two vulnerabilities could lead to an attacker being able to gain access to the victim’s machine. [color=red]However, when determining bulletin severity we do not consider combined attacks for different vulnerabilities, hence the overall severity of Important for this bulletin[/color].
Reacties (16)
27-02-2009, 10:48 door
[Account Verwijderd]
[Verwijderd]
27-02-2009, 11:16 door
Darkman
Een Security Advisory voor een update is impliciet een security update.
Een non-security security-update is wel leuk gevonden van Ms..
Een non-security security-update is wel leuk gevonden van Ms..
27-02-2009, 11:46 door
[Account Verwijderd]
[Verwijderd]
Door Iceyoung@ Bitwiper
Je gaat sollliciteren voor een nieuwe baan, de HR Manager vraagt: Meneer Bitwiper wat zijn uw zwakste eigenschappen ?
Wat doe je dan:
1. Je geeft een zwakke eigenschap op die in sommige gevallen wel eens in je voordeel kan werken en in iedrergeval je kans op die baan niet op de tocht zet.
2. Je vraagt 2 extra koppen koffie en gaan een verhaqndeling van 2 uur houden over alle dingen die je wel eens gedaan hebt of waar iemand je ooit van beticht heeft.
Je gaat sollliciteren voor een nieuwe baan, de HR Manager vraagt: Meneer Bitwiper wat zijn uw zwakste eigenschappen ?
Wat doe je dan:
1. Je geeft een zwakke eigenschap op die in sommige gevallen wel eens in je voordeel kan werken en in iedrergeval je kans op die baan niet op de tocht zet.
2. Je vraagt 2 extra koppen koffie en gaan een verhaqndeling van 2 uur houden over alle dingen die je wel eens gedaan hebt of waar iemand je ooit van beticht heeft.
?!? En toen ..... wat is de relevantie t.o.v. het verhaal van Bitwiper?
Bitwiper geeft precies aan wat het probleem bij Microsoft is; het bedrijf wordt geleid door marketing en niet door technische kwaliteit.
De meeste (alle?) leveranciers hebben als zwakheid om zwakheden te negeren. Bij Microsoft is het nog erger; ze staan er gewoon keihard om te liegen. Ik begrijp mensen zoals jou niet. Ben je nu zo naief of werk je bij Microsoft? Zelfs als je bij Micorosoft zou werken zou een 'gezonde' dosis zelfkritiek beter zijn dan domweg je kop in het zand te steken!
27-02-2009, 17:32 door
Ilja. _V V
Ik had al geschreven in een reactie op het onderwerp ".Net 3.5sp1 via automatic update', 14-02-2009, 22:53 door Bitwiper dat ik mijn geschiedenis moest nakijken, maar ik heb het terugevonden & [url=http://technet.microsoft.com/en-us/library/cc751383.aspx]hier staat een TechNet-artikel in het Engels hoe & volgens welke standaard een beveiligingsbulletin tot stand komt[/url]. Waarom het ene kritisch of het andere belangrijk word aangemerkt.
27-02-2009, 17:56 door
[Account Verwijderd]
[Verwijderd]
Door Bitwiper Een belangrijke reden hiervoor is natuurlijk de belachelijke strijd wie de minste kwetsbaarheden heeft - een strijd die netto tot meer en langduriger kwetsbare systemen leidt, met de gebruiker als echte verliezer.
Dat kan je roepen Bitwipert en ik ben het helemaal met je eens want het gaat idd. helemaal nergens over. Maar waarom dan in godsnaam als haantje de voorste er aan mee gaan doen? Want dat is wat je doet, zeuren dat Microsoft dat belachelijke spelletje oneerlijk speelt. Een belachelijk spelletje is en blijft een belachelijk spelletje waar in dit geval niet 1 maar 2 kinderachtige partijen aan mee doen. En iedereen mag eerlijk en objectief voor zichzelf bepalen wie dit is begonnen ;)
01-03-2009, 22:10 door
Jachra
Belangrijk bij het bepalen van een rating is ook hoe moeilijk men de exploit kan gebruiken. Hoewel de impact hoog kan zijn, kan het voorkomen dat de moeilijkheid van het misbruiken van de exploit een lagere rating veroorzaakt. We mogen van geluk spreken dat sommige bedrijven nog een rating aan houden. Er zijn er genoeg die er niet aan mee willen doen.
Ratings, het blijft een geval van koffiedik kijken.
Ratings, het blijft een geval van koffiedik kijken.
02-03-2009, 01:45 door
Bitwiper
Door Anoniem
Dat kan je roepen Bitwipert en ik ben het helemaal met je eens want het gaat idd. helemaal nergens over. Maar waarom dan in godsnaam als haantje de voorste er aan mee gaan doen? Want dat is wat je doet, zeuren dat Microsoft dat belachelijke spelletje oneerlijk speelt.
Haantje de voorste? Nee als het gaat om roepen dat "mijn software" minder kwetsbaarheden bevat dan de concurrent (ik geloof niet dat ik dit hier doe). Wellicht ja als het gaat om het "lawaai" dat ik maak bij het nastreven van veiliger PC's en daarmee een veiliger internet (iets dat ik overigens belangeloos doe).Door Bitwiper Een belangrijke reden hiervoor is natuurlijk de belachelijke strijd wie de minste kwetsbaarheden heeft - een strijd die netto tot meer en langduriger kwetsbare systemen leidt, met de gebruiker als echte verliezer.
Dat kan je roepen Bitwipert en ik ben het helemaal met je eens want het gaat idd. helemaal nergens over. Maar waarom dan in godsnaam als haantje de voorste er aan mee gaan doen? Want dat is wat je doet, zeuren dat Microsoft dat belachelijke spelletje oneerlijk speelt.
En kennelijk met effect: op deze [url=http://www.computable.nl/artikel/ict_topics/beheer/2843723/1277800/patch-is-niet-genoeg-tegen-windowsworm.html]Computable page[/url] staat een interview met Ruud de Jonge van Microsoft Nederland, waarin hij stelt dat goed patchen, installeren van antimalware en goede wachtwoorden volstaan bij het tegengaan van de Downadup worm (dit artikeltje stond overigens afgelopen vrijdag in de Computable-op-papier). Opvallend is dat hr. de Jonge stelt dat Auto-run geen kwaad zou kunnen als de rest van je systeem klopt - en dat bestrijd ik (zie mijn reactie onder dat online artikel met een verwijzing naar mijn artikel op deze site).
In mijn forum-artikel [url=http://www.security.nl/artikel/27510/1/MS_(luistert_naar_Bitwiper_%3A)_bemoeilijkt_verspreiding_van_Conficker.html]MS (luistert naar Bitwiper :) bemoeilijkt verspreiding van Conficker[/url] schrijf ik als laatste regel: "Erg laat, maar toch bedankt Microsoft!". Interessant is een reactie een stukje daaronder:
Vrijdag, 00:27, Door AnoniemGraag gedaan.
Ruud de Jonge
Microsoft Nederland
M.a.w. het lijkt er op dat wij gebruikers, via media als security.nl, kolossen als Microsoft op andere gedachten kunnen brengen...Ruud de Jonge
Microsoft Nederland
En dat is precies wat ik hierboven, in een iets andere context, probeer te doen. Je ziet ook aan de reactie van Jachra hierboven dat gebruikers het wel degelijk waarderen als softwarefabrikanten eerlijk aangeven welke zaken misgaan. Dat doe ik ook, alleen als het beter kan steek ik dat niet onder stoelen of banken.
02-03-2009, 02:05 door
Bitwiper
Door JachraBelangrijk bij het bepalen van een rating is ook hoe moeilijk men de exploit kan gebruiken. Hoewel de impact hoog kan zijn, kan het voorkomen dat de moeilijkheid van het misbruiken van de exploit een lagere rating veroorzaakt.
We hebben het hier over 1 bulletin met daarin 2 patches voor Vista betreffende aan elkaar gelinkte issues die samen duidelijk een critical risk vormen, en een Microsoft medewerker, die door dit te schrijven, m.i. tussen de regels z'n frustraties uit. Ik haal nog een stukje aan uit de [url=http://blogs.technet.com/swi/archive/2008/12/09/windows-media-components-part-1-of-2.aspx]blog[/url]:Viewed separately, the issues are not that severe and the aggregate severity rating is Important at most. However, if the two issues are combined the impact can be quite severe, with the potential for Remote Code Execution.
Nu zullen sommigen misschien zeggen: Important of Critical, wat maakt dat uit? De patch is toch verspreid via automatische updates?Klopt. Maar beheerders en PC-eigenaars die bang zijn dat patches andere problemen opleveren zouden Important patches kunnen overslaan, en wellicht belangrijker, zodra een besturingssysteem niet meer volledig wordt ondersteund zullen uitsluitend Critical patches worden gedistribueerd. (Hoe lang wordt XP nog volledig ondersteund?)
Iedereen die de securitygeschiedenis van MSIE kent weet dat exploits in veel gevallen gebruik maakten van combinaties van kwetsbaarheden. Het is erg gevaarlijk als Microsoft (of welke andere fabrikant dan ook) elke kwetsbaarheid afzonderlijk gaat wegen, en die trend lijkt hier te zijn gezet (zo dat niet al eerder gebeurd is). Dat dient geen enkel ander doel dan marketing, en is m.i. buitengewoon kortzichtig; op deze manier blijft de meerderheid van de bezoekers van deze site -terecht- roepen dat Microsoft onveilige besturingssystemen maakt.
Natuurlijk zijn patches vervelend en moeten ze zoveel mogelijk vóór het distribueren van de software voorkomen worden, maar een bedrijf dat in deze tijd geen patches aanbiedt is ongeloofwaardig. Wees er dan ook eerlijk over!
Door AnoniemZelfs als je bij Micorosoft zou werken zou een 'gezonde' dosis zelfkritiek beter zijn dan domweg je kop in het zand te steken!
Ik ken een aantal Microsoft medewerkers en de meesten daarvan hebben zelf regelmatig kritiek of beamen kritiek van anderen. En sommigen worden ook echt kwaad op bepaald gedrag binnen de organisatie.
Peter
03-03-2009, 00:16 door
Jachra
post verwijderd.
03-03-2009, 00:20 door
Jachra
post verwijderd.
03-03-2009, 00:21 door
Jachra
post verwijderd.
03-03-2009, 00:23 door
Jachra
Door Bitwiper
Door JachraBelangrijk bij het bepalen van een rating is ook hoe moeilijk men de exploit kan gebruiken. Hoewel de impact hoog kan zijn, kan het voorkomen dat de moeilijkheid van het misbruiken van de exploit een lagere rating veroorzaakt.
We hebben het hier over 1 bulletin met daarin 2 patches voor Vista betreffende aan elkaar gelinkte issues die samen duidelijk een critical risk vormen, en een Microsoft medewerker, die door dit te schrijven, m.i. tussen de regels z'n frustraties uit.Ik geef een bepaling aan die meetelt bij het afwegen van een rating. Niet meer en minder. Ik lees in jouw aangehaalde tekst geen echte frustratie uit. Ze geven alleen aan dat de combinatie van beide een potentiele mogelijkheid zou kunnen bieden tot remote code execution. Maar hoe gemakkelijk is om door middel van beide kwetsbaarheden tot een remote code execution te kunnen komen. Het zou best wel eens kunnen blijken dat het niet zo simpel is. Bij veel Security Bulletins van Microsoft kom je vaak tegen dat een exploit die gepatched wordt de potentie heeft tot remote code execution. Echter blijkt uit de praktijk dat de misbruik wel tegen valt. De exploits die wel misbruikt worden, zo als onlangs met conficker, hebben dan ook een zeer serieuze impact.
Voor iemand die ratings moet geven, is het dan een kunst om juist dat soort exploits dan ook er uit te halen. En dat is geen gemakkelijke taak.
Door BitwiperKlopt. Maar beheerders en PC-eigenaars die bang zijn dat patches andere problemen opleveren zouden Important patches kunnen overslaan, en wellicht belangrijker, zodra een besturingssysteem niet meer volledig wordt ondersteund zullen uitsluitend Critical patches worden gedistribueerd. (Hoe lang wordt XP nog volledig ondersteund?)
De meeste bedrijven installeren of alle patches of degene die op Technet Security worden aangegeven. De rest komt dan met een uitrol van een service pack. De grotere bedrijven maken zelf afwegingen en gaan niet direct op de rating van enige vendor af.
Windows XP Home en Windows XP Professional hebben geen extended support meer op 8/4/2014 (dd/mm/yyyy formaat). Uiteraard kan het voorkomen dat een Windows XP versie zonder enige service pack eerder uit de normale support valt. Meer informatie over de life-cycle van Microsoft producten kan je vinden op: http://support.microsoft.com/gp/lifeselect
Door BitwiperIedereen die de securitygeschiedenis van MSIE kent weet dat exploits in veel gevallen gebruik maakten van combinaties van kwetsbaarheden. Het is erg gevaarlijk als Microsoft (of welke andere fabrikant dan ook) elke kwetsbaarheid afzonderlijk gaat wegen, en die trend lijkt hier te zijn gezet (zo dat niet al eerder gebeurd is). Dat dient geen enkel ander doel dan marketing, en is m.i. buitengewoon kortzichtig; op deze manier blijft de meerderheid van de bezoekers van deze site -terecht- roepen dat Microsoft onveilige besturingssystemen maakt.
Natuurlijk zijn patches vervelend en moeten ze zoveel mogelijk vóór het distribueren van de software voorkomen worden, maar een bedrijf dat in deze tijd geen patches aanbiedt is ongeloofwaardig. Wees er dan ook eerlijk over!
Natuurlijk zijn patches vervelend en moeten ze zoveel mogelijk vóór het distribueren van de software voorkomen worden, maar een bedrijf dat in deze tijd geen patches aanbiedt is ongeloofwaardig. Wees er dan ook eerlijk over!
Bekijk ook eens de wijze waarop men ratings heeft op andere besturingssystemen zoals Mac OS/X, Linux, etc. Ondanks de fouten in het verleden en de lekken die hun software heeft, doet Microsoft het nog niet zo gek met het bekend maken van hun updates. Natuurlijk kan het beter.
Ik daag je uit om eens een gedegen onderzoek te doen naar alle grotere software vendors en hoe zij omgaan met het vrijgeven van hun patches en informatie. De wijze waarop je alleen Microsoft aanhaald, is niet bijzonder fair. Er zijn software vendors die het vele malen erger doen. Kijk eens naar de wijze waarop bijvoorbeeld Linux, Oracle of Adobe het doet.
Linux mag dan wel snel zijn met het releasen van patches, maar ze geven compleet geen rating. Immers gelooft Linus Torvalds er zelf niet in. Adobe daarin tegen doet bijzonder moeilijk. Gezien de misbruik van de laatste Flash-exploit en de wijze waarop hun die willen patchen, zou men daar aan een rating van Super Critical moeten geven. Ze presteren om doodleuk aan te kondigen dat een patch daarover pas over 1 maand er zal zijn.
Daarom mijn stelling: Ratings, het blijft koffiedik kijken.
Het zou prachtig zijn als er een algemene methodiek over exploit ratings zou komen waaraan alle grote software vendors zouden houden. Maar gezien de compentatieve gedrag in software wereld, verwacht ik daar eigenlijk niets van.
04-03-2009, 02:09 door
Bitwiper
Door Bitwiper@Jachra, dank voor je uitgebreide comments.
M.b.t. de moeilijkheid van het misbruiken van de exploit: daar lijkt me in dit geval nauwelijks sprake van. Feitelijk zijn MS08-076 en MS08-068 nauw aan elkaar gerelateerd (zie [url=http://blogs.technet.com/srd/archive/2008/12/09/windows-media-components-part-1-of-2.aspx]de blog[/url] waar ik steeds naar verwijs): beide pogen NTLM credentials reflection attacks te voorkomen.
Het gaat hierbij om bugs die al vele jaren [url=http://en.wikipedia.org/wiki/SMBRelay]bekend zijn[/url]:
[*] je opent een kwaadaardige webpage die bijv. een plaatje vanaf de kwaadaardige server met file://... laadt
[*] om die file te kunnen downloaden vraagt de kwaadaardige server om jouw credentials (NTLM, challenge-response/gehashed; het is nog net niet zo erg dat jouw PC jouw wachtwoord in plain-text stuurt (edit 2009-03-04 09:12 - jouw username en domain gaan wel in plain text over de kabel))
[*] echter de kwaadaardige server "reflecteert" de logon gegevens weer terug naar jouw machine en logt daarmee in op jouw PC via het netwerk
[*] als je als admin ingelogd bent kan de aanvaller met bijv. [url=http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx]psexec[/url] een commando naar keuze op jouw machine starten.
[/list]
De hierboven genoemde attack werkt, volgens [url=http://blogs.technet.com/srd/archive/2008/12/09/windows-media-components-part-1-of-2.aspx]de blog[/url] die ik steeds aanhaal, echter niet voor sites in de internet zone:
Een andere goede beschrijving van de pre- MS08-068 problematiek (en dus waarschijnlijk ook MS08-076) vind je [url=http://bestofsecurity.net/tools/MS08-068_Metasploit_and_SMB_Relay/]hier[/url], terwijl de meest recente "smbrelay" exploits [url=http://www.tarasco.org/security/smbrelay/index.html]hier[/url] worden beschreven ([url=http://www.milw0rm.com/exploits/7125]download[/url]).
In [url=http://www.networkworld.com/news/2008/111208-microsoft-seven-year-security-patch.html?page=1]dit artikel[/url] vertelt Eric Schulze, voormalig Microsoft security director, dat Microsoft wel degelijk al in 2001 van de MS08-068 bugs op de hoogte was, en raadt aan:
[*] De bulk van de zombie PC's draait Microsoft software, en hoewel het de laatste tijd relatief vaker voorkomt dat Microsoft PC's worden overgenomen door non-Microsoft kwetsbaarheden, bleek de Conficker worm met name succesvol door MS08-067
[*] Als ik bijv. naar [url=http://www.debian.org/security/]Debian security[/url] kijk, dan zie ik inderdaad geen weging, en je hebt gelijk dat dit voor gewone gebruikers een handicap betekent. Echter ik (en velen met mij) draai Window op mijn PC's en daar heb ik netjes voor betaald, dus verwacht ik een zekere service.
[*] Ik ben kritisch naar alle softwarefabrikanten die er een zootje van maken. Inderdaad is het een schandaal en een groot probleem dat de meeste internetters een lekke Acrobat Reader gebruiken. Gelukkig bestaan daar wel eenvoudig toe te passen vervangers voor (Windows vervang ik niet zomaar op mijn PC's en bovendien wil ik dat niet, maar wil wel gewoon een veilig systeem).
[/list]
M.b.t. de moeilijkheid van het misbruiken van de exploit: daar lijkt me in dit geval nauwelijks sprake van. Feitelijk zijn MS08-076 en MS08-068 nauw aan elkaar gerelateerd (zie [url=http://blogs.technet.com/srd/archive/2008/12/09/windows-media-components-part-1-of-2.aspx]de blog[/url] waar ik steeds naar verwijs): beide pogen NTLM credentials reflection attacks te voorkomen.
Het gaat hierbij om bugs die al vele jaren [url=http://en.wikipedia.org/wiki/SMBRelay]bekend zijn[/url]:
Door WikipediaSMBRelay and SMBRelay2 are computer programs that can be used to carry out SMB man in the middle (mitm) attacks on Windows machines. They were written by Sir Dystic of CULT OF THE DEAD COW (cDc) and released March 21, 2001 at the @lantacon convention in Atlanta, Georgia. More than seven years after its release, Microsoft released a patch that fixed the hole exploited by SMBRelay.
Die patch was [url=http://www.microsoft.com/technet/security/bulletin/MS08-068.mspx]MS08-068[/url] en betreft zogenaamde "credential reflection" attacks. Goede uitleg daarover vind je [url=http://blogs.technet.com/srd/archive/2008/11/11/smb-credential-reflection.aspx]hier[/url]. In het kort: [list][*] je opent een kwaadaardige webpage die bijv. een plaatje vanaf de kwaadaardige server met file://... laadt
[*] om die file te kunnen downloaden vraagt de kwaadaardige server om jouw credentials (NTLM, challenge-response/gehashed; het is nog net niet zo erg dat jouw PC jouw wachtwoord in plain-text stuurt (edit 2009-03-04 09:12 - jouw username en domain gaan wel in plain text over de kabel))
[*] echter de kwaadaardige server "reflecteert" de logon gegevens weer terug naar jouw machine en logt daarmee in op jouw PC via het netwerk
[*] als je als admin ingelogd bent kan de aanvaller met bijv. [url=http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx]psexec[/url] een commando naar keuze op jouw machine starten.
[/list]
De hierboven genoemde attack werkt, volgens [url=http://blogs.technet.com/srd/archive/2008/12/09/windows-media-components-part-1-of-2.aspx]de blog[/url] die ik steeds aanhaal, echter niet voor sites in de internet zone:
Servers in the Internet zone are inherently un-trusted, and Windows Media components will not send NTLM credentials to these servers without prompting the user. Hence, for the SPN vulnerability to be exploited, the attacker must either be on the local intranet (e.g. the same subnet as the victim), or the attacker must somehow trick the system into performing NTLM authentication with a machine on the Internet. Thats where the second vulnerability comes into play...
The ISATAP Vulnerability
....
Als je verder leest zie je dat die ISATAP kwetsbaarheid tot gevolg heeft dat Windows Media Components ook (onbetrouwbare) internet adressen als (betrouwbare) intranet adressen classificeren. Tenzij je het ISATAP protocol in je firewall hebt dichtgetimmerd (heb jij dat? ikzelf weet nog amper wat ISATAP inhoudt) betekent dit dat deze attack op Vista (totdat je MS08-076 hebt gedraaid) vanaf het internet kan worden uitgevoerd.The ISATAP Vulnerability
....
Een andere goede beschrijving van de pre- MS08-068 problematiek (en dus waarschijnlijk ook MS08-076) vind je [url=http://bestofsecurity.net/tools/MS08-068_Metasploit_and_SMB_Relay/]hier[/url], terwijl de meest recente "smbrelay" exploits [url=http://www.tarasco.org/security/smbrelay/index.html]hier[/url] worden beschreven ([url=http://www.milw0rm.com/exploits/7125]download[/url]).
In [url=http://www.networkworld.com/news/2008/111208-microsoft-seven-year-security-patch.html?page=1]dit artikel[/url] vertelt Eric Schulze, voormalig Microsoft security director, dat Microsoft wel degelijk al in 2001 van de MS08-068 bugs op de hoogte was, en raadt aan:
get this one patched right away because exploit tools are readily available, says Schultze, even though the patch is rated important and not critical.
Door JachraIk daag je uit om eens een gedegen onderzoek te doen naar alle grotere software vendors en hoe zij omgaan met het vrijgeven van hun patches en informatie. De wijze waarop je alleen Microsoft aanhaald, is niet bijzonder fair. Er zijn software vendors die het vele malen erger doen. Kijk eens naar de wijze waarop bijvoorbeeld Linux, Oracle of Adobe het doet.
Je hebt gelijk dat er zat software vendors zijn die het erger doen, echter:[list][*] De bulk van de zombie PC's draait Microsoft software, en hoewel het de laatste tijd relatief vaker voorkomt dat Microsoft PC's worden overgenomen door non-Microsoft kwetsbaarheden, bleek de Conficker worm met name succesvol door MS08-067
[*] Als ik bijv. naar [url=http://www.debian.org/security/]Debian security[/url] kijk, dan zie ik inderdaad geen weging, en je hebt gelijk dat dit voor gewone gebruikers een handicap betekent. Echter ik (en velen met mij) draai Window op mijn PC's en daar heb ik netjes voor betaald, dus verwacht ik een zekere service.
[*] Ik ben kritisch naar alle softwarefabrikanten die er een zootje van maken. Inderdaad is het een schandaal en een groot probleem dat de meeste internetters een lekke Acrobat Reader gebruiken. Gelukkig bestaan daar wel eenvoudig toe te passen vervangers voor (Windows vervang ik niet zomaar op mijn PC's en bovendien wil ik dat niet, maar wil wel gewoon een veilig systeem).
[/list]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
