image

"Microsoft offert veiligheid voor functionaliteit"

donderdag 12 maart 2009, 17:19 door Redactie, 6 reacties

Beveiligingsonderzoeker Tyler Reguly die ontdekte dat een patch voor een lek in Windows niet naar behoren werkt, is geschrokken door de reactie die hij van Microsoft kreeg. MS09-008, één van de drie updates die afgelopen patchdinsdag verscheen, verhielp vier lekken in Windows, waaronder het WPAD Registration lek. Hierdoor kan een aanvaller man-in-the-middle aanvallen tegen Windows DNS servers uitvoeren. WPAD is de Web Proxy Auto-Discovery en laat clients zonder tussenkomst van de gebruiker automatisch de proxy instellingen detecteren. De gebruiker downloadt de WPAD instelling van de DNS server. Een aanvaller zou dan zijn eigen IP-adres kunnen opgeven, waardoor al het verkeer van de gebruiker via zijn proxy loopt.

Nu blijkt dat servers die al via dit lek gehackt zijn en waarvan de waardes al zijn aangepast, niet van de patch profiteren. De patch kijkt alleen welke waarden in de DNS server zijn aangemaakt en voegt vervolgens een blocklist voor nieuwe waarden toe, terwijl de oude instellingen gewoon blijven werken.

Reguly besloot zijn ontdekking meteen openbaar te maken, aangezien het niet om een nieuw lek ging. Daarnaast zouden aanvallers niet van zijn uitleg kunnen profiteren, maar alleen bedrijven die dachten adequaat beveiligd te zijn. Microsoft was hier niet zo blij mee en vroeg of de onderzoeker in de toekomst op een reactie wil wachten totdat de discussie openbaar wordt.

Volgens de softwaregigant is het niet mogelijk om legitieme WPAD instellingen van kwaadaardige te onderscheiden die al door de aanvallers zijn toegevoegd. Daarom worden alle instellingen gewoon geaccepteerd. Microsoft verwees Reguly naar een Knowlegde Base (KB) artikel dat het probleem beschreef. "Opmerkelijk genoeg werd deze KB niet in de gepubliceerde advisory genoemd en pas vandaag als een 'Minor Update' toegevoegd."

Niet gepatcht
"Waarom was ik zo verrast door Microsoft's reactie? Ze hebben het lek helemaal niet gepatcht, maar alleen een manier om het te mitigeren en hebben die oplossing in de update verwerkt." Reguly is van mening dat Microsoft in dit geval security ten behoeve van functionaliteit heeft opgeofferd. De softwaregigant had beter een balans tussen de twee kunnen vinden, zoals een venster dat voor bestaande WPAD instellingen waarschuwt of het gebruik van een dynamische block list.

De onderzoeker, die zichzelf een grote Microsoft fan noemt, vindt dat het bedrijf beveiligingsproblemen onder het tapijt veegt. "Ik vind dit een stap terug. Het noemen van dit probleem in de originele advisory zou een stap voorwaarts zijn geweest." In dit geval werd niemand gewaarschuwd, totdat Reguly zijn bevindingen wereldkundig maakte. "Die reactie bestond uit een link naar een KB. Die KB bevat een lijst van andere KB's en één van die bevat een regel dat dit gedrag zich kan voordoen. Dit suggereert dat Microsoft van het probleem op de hoogte was en de update zonder enig belang voor de veiligheid heeft uitgebracht. Ik denk dat hun klanten beter verdienen."

Reguly kreeg kritiek dat Microsoft patches niet ontwikkeld zijn om al aanwezige exploits te verhelpen. "Ik vraag Microsoft niet om exploits ongedaan te maken, maar dat ze de oplossingen bieden die ze in hun advisory noemen of dat ze hun consumenten proactief adviseren dat een bepaald risico ten koste van hen is genomen. In dit geval hebben ze geen advies of oplossing geboden."

Reacties (6)
12-03-2009, 17:47 door Eerde
What else is new ?
Dat is al vanf dag een[1], van het bij elkaar geraapte en gestolen zooitje code dat ze een OS noemen, zo.
12-03-2009, 23:05 door Anoniem
Ja daar is Eerde weer. Goh en welk bestandssysteem levert ook al weer dataverlies op...oh ja Ext4, Linux dus. Heb eigenlijk toch wel een beetje medelijden met je dat je zo kortzichtig bent. Ieder OS heeft sterke en zwakke punten, en ik wed dat als men goed gaat spitten in de verschillende distributies dat men ook heel wat weet te vinden.
13-03-2009, 08:21 door Michel1973
MS Mag iedereen onderuit trappen maar owee als ze zelf tegen de schenen getrapt worden dan proberen ze gelijk je mond dicht te timmeren :)
13-03-2009, 10:03 door Anoniem
Door AnoniemJa daar is Eerde weer.
Ik zou niet meer de moeite nemen om op deze post te reageren. Eerde is waarschijnlijk een of andere bot. Ze voeden die bot met wat cliché zinnen, en laten 'm een forum als dit scannen op berichten naar bepaalde trefwoorden. Ik vermoed dat het in dit geval staat ingesteld op de termen Microsoft en Windows.
Je moet maar eens opletten ieder bericht dat over Microsoft of Windows gaat heeft als eerste een post van deze bot dat vol staat met dezelfde open deuren.
Ik heb ook wel eens zitten spelen met dergelijke bots (op SourceForge staat geloof ik wat code). Deze bot is overigens wat geavanceerder dan ik gewend ben: hij kan ook herkennen als een van zijn clichés wordt geciteerd, waarop het een reactie plaatst met nog meer clichés .

Het verbaast me dat message boards nog steeds niet de mogelijkheid bieden om de posts van bepaalde accounts eruit te filteren. Zodat je niet geconfronteerd hoeft worden met hun
14-03-2009, 08:35 door Willem 2
Er is hier maar één regel: als we iets negatiefs kunnen bedenken over Microsoft, wordt dat hier neergepoot. Het onderwerp veiligheid komt op de tweede plaats.

WIJ HATEN MICROSOFT! Dat is het belangrijkste onderwerp hier. Al zouden ze het enig juiste antwoord op alle virussen, spam, spyware en zo hebben, dan nog wordt het hier de grond in getrapt.

Ik vermoed dat Eerde gewoon een lid van de redactie is.
14-03-2009, 14:04 door Anoniem
Tyler Reguly is nogal mediageil als het mij vraagt. Als je geen WPAD had, er een statische moest maken in de DNS was al heel lang bekend. Elk zelf respecterende systeembeheerder behoort dat te weten, en als hij technet had gelezen voor best practisen had hij dat ook geweten. Zodat een dynamische registratie geen effect had. In Windows 2008 is er zelfs een dns filter voor die je eerst moet uitschakelijken om automatische proxy herkenning te laten werken voor een netwerk in de dns server.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.