Nieuws
image

Microsoft laat TCP-lek in Windows XP zitten

vrijdag 11 september 2009, 11:38 door Redactie, 8 reacties

Toen Microsoft dinsdag een belangrijke update voor een TCP-lek in Windows uitbracht, liet het weten dat Windows XP Service Pack 2 en 3 niet kwetsbaar waren, die informatie blijkt niet te kloppen. De softwaregigant heeft het betreffende Security Bulletin MS09-048 herzien en meldt dat het besturingssysteem wel risico loopt, maar dat het geen patch uitbrengt. De reden hiervoor is dat Windows XP standaard geen listening service in de client firewall heeft ingesteld, en daardoor niet kwetsbaar is. Verder zou de kwetsbaarheid alleen maar voor een denial of service zorgen waar het systeem zelf van herstelt. Daarnaast beschikt XP over een firewall die de computer tegen inkomend verkeer beschermt. Eerder werd al bekend dat er ook geen update voor Windows 2000 verschijnt.

De uitleg van Microsoft is bij beveiligingsexpert Richard Bejtlich in het verkeerde keelgat geschoten. "Zoals je kunt zien blijft Microsoft achter de 'firewall verdediging' staan en zijn ze vergeten om de 'niet kwetsbaar voor dit lek' regel uit versie 1.0 van het bulletin te verwijderen. Dit is nog steeds niet acceptabel." Wel maakte Microsoft duidelijk dat het TCP/IP Timestamps lek, waarmee een aanvaller het systeem kan overnemen, niet in Windows XP aanwezig is. "Dat is goed nieuws."

Blauw scherm
Uit voorlopige tests blijkt dat via de eerder genoemde kwetsbaarheid het mogelijk is om een blauw scherm te veroorzaken. Volgens Bejtlich is dat een probleem, aangezien er genoeg bedrijfsomgevingen zijn waar wel een listener service draait, zoals SMB/CIFS. Microsoft liet hem weten dat het verhelpen van MS09-048 op Windows XP zeer lastig is, net als bij Windows 2000. "In andere woorden, het patchen van Windows XP is ook architecturaal onhaalbaar."

Reacties (8)
11-09-2009, 12:49 door Anoniem
Belachelijk!!
Microsoft wil gewoon veel geld verdienen aan dit lek, door mensen min of meer gedwongen te laten overstappen!
11-09-2009, 13:02 door Bitwiper
MS09-048 beschrijft 3 verschillende kwetsbaarheden:
(1) TCP/IP Zero Window Size Vulnerability - CVE-2008-4609, ook bekend als de sockstress vulnerability
(2) TCP/IP Timestamps Code Execution Vulnerability - CVE-2009-1925
(3) TCP/IP Orphaned Connections Vulnerability - CVE-2009-1926

Probleem (1) en (3) betreffen feitelijk problemen van TCP zelf aldus Microsoft in MS09-048:
Does this update completely remove the vulnerabilities, TCP/IP Zero Window Size Vulnerability - CVE-2008-4609 and TCP/IP Orphaned Connections Vulnerability - CVE-2009-1926?
Since the denial of service vulnerabilities, CVE-2008-4609 and CVE-2009-1926, affect the TCP/IP protocol itself, the updates for Windows Server 2003 and Windows Server 2008 do not completely remove the vulnerabilities; the updates merely provide more resilience to sustain operations during a flooding attack.
Dus de besturingssystemen waar wel patches voor zijn uitgekomen zijn na patchen nog steeds te DoS-en, waarschijnlijk worden de ergste symptomen als BSOD's en "bevriezen" voorkomen door die patches 1 en 3, voor die systemen waar nu een patch voor uitgebracht is. Die patches zijn er dus niet voor W2K en XP.

Probleem (2) betreft alleen besturingssystemen met Microsoft's nieuwe TCP stack (W2k, XP en W2k3 zijn dus niet kwetsbaar). Het lijkt er op dat TCP pakketten met daarin TCP Timestamps gebruikt voor PAWS (Protection Against Wrapped Sequence, zie RFC 1323) onbedoeld een stukje geheugen overschrijven waarin een pointer naar een functie (verwijzing naar een stuk uitvoerbare code) staat. Volgens Microsoft lastig te exploiten, maar zodra dat mogelijk blijkt is dat natuurlijk veel gevaarlijker voor internet facing servers dan de SMB2 kwetsbaarheid (SMB zet geen enkele enigszins helder denkende admin open naar de buitenwereld).

Edit 2009-09-12 11:49: diverse kleine aanvullingen en tekstuele correcties.
12-09-2009, 04:43 door Anoniem
niet vergeten dat xp ook alweer 8 jaar oud is, een dergelijk linuxsysteem wordt ook niet meer ondersteund
12-09-2009, 14:02 door Anoniem
Door Anoniem: niet vergeten dat xp ook alweer 8 jaar oud is, een dergelijk linuxsysteem wordt ook niet meer ondersteund

Wat heeft Linux hier nou weer mee te maken?

Nog afgezien van het feit dat 8 jaar geleden kernel 2.4 uit kwam, en die toevallig nog wel gemaintaind wordt.
13-09-2009, 13:44 door spatieman
"In andere woorden, het patchen van Windows XP is ook architecturaal onhaalbaar."

met andere woorden, ze willen het niet patchen, om zo gebruikers te dwingen vista of dadelijk W7 te gaan gebruiken.
13-09-2009, 16:54 door Anoniem
"In andere woorden, het patchen van Windows XP is ook architecturaal onhaalbaar."
lijkt me stug, het is hun eigen OS, hoezo zouden ze dat neit kunnen? zijn ze soms vergeten hoe hun eigen OS werkt dan?
14-09-2009, 11:18 door Anoniem
Door Anoniem: "In andere woorden, het patchen van Windows XP is ook architecturaal onhaalbaar."
lijkt me stug, het is hun eigen OS, hoezo zouden ze dat neit kunnen? zijn ze soms vergeten hoe hun eigen OS werkt dan?

nee, maar als ze het fixen moeten ze blijkbaar de abi zo erg veranderen dat er een heleboel applicaties niet meer gaan werken. schijnt dat mensen daar niet vrolijk van worden.

tenminste, als het waar is wat ze zeggen. op dat gebied heeft microsoft niet echt een hele goede track record.
29-01-2010, 11:44 door Anoniem
Wat MIJ betreft is het tijd voor een Mac-systeem. Windoos is lek maar niet lekker. Maarja, uiteindelijk maakt het weinig uit of je door de kat of door de hond gebeten wordt.
Geen fin-bancaire-gegevens op je comp laten staan, of zetten. Banken (ING) maken het kwaadwillende medemensen steeds makkelijker om jouw telebankieren te laten hacken.
Overigens, een goede hacker moet je gewoon zelf in dienst nemen - ik ken er meerdere die een topfunctie hebben gekregen. In ieder geval een baan op basis van bewezen vaardigheden - dus écht verdiend...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure