Microsoft laat TCP-lek in Windows XP zitten
Toen Microsoft dinsdag een belangrijke update voor een TCP-lek in Windows uitbracht, liet het weten dat Windows XP Service Pack 2 en 3 niet kwetsbaar waren, die informatie blijkt niet te kloppen. De softwaregigant heeft het betreffende Security Bulletin MS09-048 herzien en meldt dat het besturingssysteem wel risico loopt, maar dat het geen patch uitbrengt. De reden hiervoor is dat Windows XP standaard geen listening service in de client firewall heeft ingesteld, en daardoor niet kwetsbaar is. Verder zou de kwetsbaarheid alleen maar voor een denial of service zorgen waar het systeem zelf van herstelt. Daarnaast beschikt XP over een firewall die de computer tegen inkomend verkeer beschermt. Eerder werd al bekend dat er ook geen update voor Windows 2000 verschijnt.
De uitleg van Microsoft is bij beveiligingsexpert Richard Bejtlich in het verkeerde keelgat geschoten. "Zoals je kunt zien blijft Microsoft achter de 'firewall verdediging' staan en zijn ze vergeten om de 'niet kwetsbaar voor dit lek' regel uit versie 1.0 van het bulletin te verwijderen. Dit is nog steeds niet acceptabel." Wel maakte Microsoft duidelijk dat het TCP/IP Timestamps lek, waarmee een aanvaller het systeem kan overnemen, niet in Windows XP aanwezig is. "Dat is goed nieuws."
Blauw scherm
Uit voorlopige tests blijkt dat via de eerder genoemde kwetsbaarheid het mogelijk is om een blauw scherm te veroorzaken. Volgens Bejtlich is dat een probleem, aangezien er genoeg bedrijfsomgevingen zijn waar wel een listener service draait, zoals SMB/CIFS. Microsoft liet hem weten dat het verhelpen van MS09-048 op Windows XP zeer lastig is, net als bij Windows 2000. "In andere woorden, het patchen van Windows XP is ook architecturaal onhaalbaar."
Microsoft wil gewoon veel geld verdienen aan dit lek, door mensen min of meer gedwongen te laten overstappen!
(1) TCP/IP Zero Window Size Vulnerability - CVE-2008-4609, ook bekend als de sockstress vulnerability
(2) TCP/IP Timestamps Code Execution Vulnerability - CVE-2009-1925
(3) TCP/IP Orphaned Connections Vulnerability - CVE-2009-1926
Probleem (1) en (3) betreffen feitelijk problemen van TCP zelf aldus Microsoft in MS09-048:
Since the denial of service vulnerabilities, CVE-2008-4609 and CVE-2009-1926, affect the TCP/IP protocol itself, the updates for Windows Server 2003 and Windows Server 2008 do not completely remove the vulnerabilities; the updates merely provide more resilience to sustain operations during a flooding attack.
Probleem (2) betreft alleen besturingssystemen met Microsoft's nieuwe TCP stack (W2k, XP en W2k3 zijn dus niet kwetsbaar). Het lijkt er op dat TCP pakketten met daarin TCP Timestamps gebruikt voor PAWS (Protection Against Wrapped Sequence, zie RFC 1323) onbedoeld een stukje geheugen overschrijven waarin een pointer naar een functie (verwijzing naar een stuk uitvoerbare code) staat. Volgens Microsoft lastig te exploiten, maar zodra dat mogelijk blijkt is dat natuurlijk veel gevaarlijker voor internet facing servers dan de SMB2 kwetsbaarheid (SMB zet geen enkele enigszins helder denkende admin open naar de buitenwereld).
Edit 2009-09-12 11:49: diverse kleine aanvullingen en tekstuele correcties.
Wat heeft Linux hier nou weer mee te maken?
Nog afgezien van het feit dat 8 jaar geleden kernel 2.4 uit kwam, en die toevallig nog wel gemaintaind wordt.
met andere woorden, ze willen het niet patchen, om zo gebruikers te dwingen vista of dadelijk W7 te gaan gebruiken.
lijkt me stug, het is hun eigen OS, hoezo zouden ze dat neit kunnen? zijn ze soms vergeten hoe hun eigen OS werkt dan?
lijkt me stug, het is hun eigen OS, hoezo zouden ze dat neit kunnen? zijn ze soms vergeten hoe hun eigen OS werkt dan?
nee, maar als ze het fixen moeten ze blijkbaar de abi zo erg veranderen dat er een heleboel applicaties niet meer gaan werken. schijnt dat mensen daar niet vrolijk van worden.
tenminste, als het waar is wat ze zeggen. op dat gebied heeft microsoft niet echt een hele goede track record.
Geen fin-bancaire-gegevens op je comp laten staan, of zetten. Banken (ING) maken het kwaadwillende medemensen steeds makkelijker om jouw telebankieren te laten hacken.
Overigens, een goede hacker moet je gewoon zelf in dienst nemen - ik ken er meerdere die een topfunctie hebben gekregen. In ieder geval een baan op basis van bewezen vaardigheden - dus écht verdiend...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!