image

Foutje in Microsoft patch geeft hackers een kans

woensdag 11 maart 2009, 11:29 door Redactie, 3 reacties

Eén van de patches die Microsoft tijdens patchdinsdag uitbracht werkt niet naar behoren en geeft bedrijven een vals gevoel van veiligheid. Onderzoekers van nCircle troffen het probleem aan in MS09-008. Het lek zorgt ervoor dat gebruikers een WPAD waarde in de DNS kunnen instellen. In het geval dat de browser automatisch de instellingen van het netwerk detecteert, roept het WPAD waarde op en downloadt de proxy instellingen van de bijbehorende server. Dit geeft een aanvaller de mogelijkheid om een man-in-the-middle aanval op de verbinding uit te voeren.

Nu blijkt dat servers die al via dit lek gehackt zijn en waarvan de waardes al zijn aangepast, niet geblokkeerd worden. De patch kijkt alleen welke waarden in de DNS server zijn aangemaakt en voegt alleen een blocklist voor nieuwe waarden toe. "In andere woorden, als je DNS server al een WPAD waarde bevat en je installeert MS09-008, dan bevat de blocklist geen WPAD. WPAD queries blijven gewoon werken en als de WPAD waarde van een vorige aanval is, dan blijven je gebruikers met een man-in-the-middle zitten, ook al ben je gepatcht", zegt Tyler Reguly.

Even checken
Volgens Reguly kan dit ernstige gevolgen hebben als bedrijven ten onrechte denken dat dit lek op gehackte servers is verholpen. "De patch verschijnt gewoon in het software overzicht en de patch registersteutels worden aangemaakt. Daardoor denken patchmanagement software en Microsoft's Update server ten onrechte dat de patch succesvol is geïnstalleerd. Microsoft is inmiddels ingelicht, maar heeft nog niet gereageerd. Beheerders krijgen het advies om te controleren dat zowel 'wpad' als 'isatap' aanwezig zijn in: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

Reacties (3)
11-03-2009, 12:18 door Anoniem
Daar kan Apple nog heel wat van leren!
11-03-2009, 13:18 door [Account Verwijderd]
[Verwijderd]
11-03-2009, 19:25 door rob
Een beetje vreemde redenering, of ik moet het verkeerd begrepen hebben.

Een patch verhelpt een security lek. Maar normaliter kun je niet van een patch verwachten dat het eerdere succesvolle aanvallen ongedaan maakt.

Bijv. als je site reeds slachtoffer is geweest van SQL injection door een bug in pakket X, dan zal het aanbrengen van de patch voor dit lek niet de eerdere SQL injection ongedaan maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.