"Een jaar oud beveiligingslek in Microsoft SQL Server 2000, 2005 en 2008 maakt het mogelijk voor gebruikers met administratieve toegang om de wachtwoorden van andere gebruikers in onversleutelde vorm te zien. De softwaregigant is al sinds vorig jaar van het probleem op de hoogte, maar vindt het niet ernstig genoeg om te patchen."

Het lijkt mij meer dan genoeg reden om te patchen. Beheerders zouden ook geen wachtwoorden moeten kunnen zien van gebruikers, ze moeten alleen indien nodig wachtwoorden kunnen wijzigen. Indien je niet voldoet aan dergelijke principes, dan gaat het juridische concept van non-repudation niet langer op, omdat iedereen met administrative rights de accounts van collega's zou kunnen misbruiken.

Daarnaast wil je ook niet dat een hacker die beschikt over een admin account vervolgens ongemerkt ook credentials van gebruikers accounts kan harvesten. Wat dat betreft denk ik dat de reactie van Microsoft op zijn zachtst gezegd misplaatst is.

Er zijn ook nog steeds web ontwikkelaars die de database back-end via het SA account benaderen. Leuk als je dan met een SQL injectie ook nog even alle wachtwoorden naar boven kan toveren.

Het is wel elke keer raak zeg met de software van de software gigant.

Dat zeg ik, Microsoft!
Over vrije software gesproken :-)

Ik ben het dit maal absoluut met Microsoft eens. Wanneer je op administrator niveau hetzelfde met een exploit kan uitvreten als soortgelijke functionele mogelijkheden op dat niveau dan is het bezopen om moord en brand te gaan schreeuwen. Het is belachelijk om dan verwijten naar Microsoft te maken dat ze hun werk niet goed zouden doen. Erger nog: je kan jezelf geen serieus Chief Technology Officer noemen als je rechten op het hoogste niveau liever probeert te bagatelliseren dan de problemen die er voor zorgen dat je kwaadwillenden op dat niveau kunnen opereren. Daarbij kan een aanvaller veel meer een makkelijkere opdrachten op dat niveau uitvoeren. Het maakt het probleem dat wachtwoorden achterhaald kunnen worden niet minder, maar het zet het wel in een heel ander licht dan wanneer een gewone gebruiker het zonder escalatie van rechten kan terughalen.

Het is gewoon achterlijk dat deze software passwords in plain text opslaat. En dan ook nog beweren dat dat geen probleem is, daarmee laat je al helemaal zien dat je het niet begrepen hebt. Hallo Microsoft, de jaren 90 zijn voorbij! Tijd om wakker te worden en na te gaan denken over security!

Dit is niet het resultaat van een 'exploit', dit is by design. By design hoort zelfs een administrator geen toegang te hebben tot ongecodeerde wachtwoorden.

"Ik ben het dit maal absoluut met Microsoft eens. Wanneer je op administrator niveau hetzelfde met een exploit kan uitvreten als soortgelijke functionele mogelijkheden op dat niveau dan is het bezopen om moord en brand te gaan schreeuwen. Het is belachelijk om dan verwijten naar Microsoft te maken dat ze hun werk niet goed zouden doen."

Ik denk dat je toch aardig wat over het hoofd ziet. Immers moet een administrator, met alle bijbehorende rechten, niet de wachtwoorden van gebruikers kunnen zien. Het feit dat hij de wachtwoorden kan wijzigen maakt daarbij niet uit; het gaat om een correcte audit trail, en om non-repudation.

Immers kan een administrator niet ongemerkt de wachtwoorden wijzigen, en daardoor geen gebruik maken van accounts van anderen (met een goede scheiding van verantwoordelijkheden kan de admin de audit trail niet manipuleren). En dan heb ik gevallen waarin iemand ten onrechte administrative rights heeft (i.e. een hacker) nog buiten beschouwing gelaten.

Indien Microsoft van mening is dat het niet erg is wanneer iemand alle wachtwoorden kan zien, enkel omdat deze persoon administrative rights heeft, dan moeten ze toch nog eens bij zichzelf te rade gaan.

"Het is gewoon achterlijk dat deze software passwords in plain text opslaat. "

De meeste encrypted passwords die op je harddisk staan van browsers, mail programma's, ftp clients, en ga zo maar door zijn evenmin veilig, en kunnen zo met tooltjes worden gedecrypt.....