Nieuws
image

Hacker straft Microsoft wegens slechte security

maandag 5 oktober 2009, 16:11 door Redactie, 8 reacties

De beveiligingsonderzoeker die een ernstig beveiligingslek in Windows Vista en Server 2008 ontdekte, waardoor aanvallers op afstand kwetsbare systemen kunnen laten crashen en overnemen, heeft dit bewust wereldkundig gemaakt omdat het probleem zo eenvoudig te vinden was. "Deze simpele fuzzer wist SMB2 in 3 seconden te kraken. Niks bijzonders. Veel beveiligingsgoeroes beweerden dat het auditen van SMB/ Netbios/ TCP-IP bij Microsoft tijdsverspilling was. Daar ben ik het niet mee eens en ik geef er zeker de voorkeur aan om op deze manier mijn tijd te verspillen", aldus Laurent Gaffie. Hij publiceerde op 8 september zijn proof-of-concept exploit op de Full-Disclosure mailinglist. De kwetsbaarheid zou zelfs voor een tweede Conficker worm kunnen zorgen, zo waren sommige experts bang.

Gaffie zou veertig e-mails met het Microsoft Security Response Center (MSRC) hebben uitgewisseld over de bekendmaking van de kwetsbaarheid. "Ik zou een gecoördineerde bekendmaking hebben gedaan als het lek ietsje moeilijker te vinden was. Deze bug is een goed voorbeeld van hoe aannames voor problemen kunnen zorgen en hoe je niet op relationele marketing kunt vertrouwen." Microsoft zou de code van SMB2 hebben geaudit en al meer dan 10.000 verschillende tests hebben uitgevoerd. Daarbij wilde het eerst nog stress testen en fuzzen voordat men de update zou uitbrengen. "Dat klinkt aardig en transparant, maar als ze dit met de MS07-063 patch hadden gedaan, hadden ze dit lek in drie seconden gevonden en niet in vier weken en dat is een feit." Microsoft is het hier niet mee eens en liet eerder al weten dat het lek niet door de patch werd veroorzaakt.

Alarmfase oranje
Ruud de Jonge van Microsoft Nederland noemt het een vervelend lek. Microsoft ziet op dit moment een bepekt aantal exploits voorbij komen. "Tegelijkertijd vinden we hem wel heel belangrijk om te fixen." Het probleem met de update is dat je "het SMB-protocol niet zomaar om zeep kunt helpen. Je wilt er zeker van zijn dat de patch die je introduceert geen dingen stuk of functionaliteiten onmogelijk maakt." Dat is volgens De Jonge een lastige balans. "En als die fix er is, moeten wij een afweging maken of het zin heeft om deze out-of-band uit te brengen of niet." De softwaregigant monitort misbruik van de kwetsbaarheid om te bepalen of er een noodpatch moet verschijnen.

Aangezien er nog steeds geen aanvallen in het wild zijn gedetecteerd, blijft Microsoft de update testen. "Normaal kan dat weken duren, maar afhankelijk van de ernst van het probleem, kunnen we beslissen om de patch die we al ongetwijfeld hebben, uit te brengen." De Jonge krijgt elke dag een update vanuit het hoofdkantoor over de situatie, die inmiddels alarmfase "oranje" heeft gekregen. Volgens hem staat Microsoft standby om de update uit te rollen mocht daar aanleiding toe zijn, bijvoorbeeld in het geval van een wormuitbraak. Toch lijkt dit niet te gebeuren, zoals een andere onderzoeker laatst al opmerkte. Volgens Dave Aitel zijn de huidige exploits nog niet van voldoende kwaliteit en kost het aanpassen ervan zoveel tijd, dat Microsoft patchdinsdag dan al gepasseerd is.

Reacties (8)
05-10-2009, 16:49 door H.King
hoe moniteren ze of een aanval wordt gebruikt, honeypots ?
05-10-2009, 17:01 door MrBil
"Tegelijkertijd vinden we hem wel heel belangrijk om te fixen." Ik vind alles zo belangrijk om te fixen, zelfs mijn fiets.
05-10-2009, 17:10 door Anoniem
"Heel belangrijk" is marketing speech, het zegt namelijk niets. Zo vind ik het momenteel heel belangrijk dat er een slak zit op een plant in mijn tuin.
05-10-2009, 18:58 door H.King
Ik zou een gecoördineerde bekendmaking hebben gedaan als het lek ietsje moeilijker te vinden was. Deze bug is een goed voorbeeld van hoe aannames voor problemen kunnen zorgen en hoe je niet op relationele marketing kunt vertrouwen."

en omdat hij zo betrokken is bij de veiligheid op het internet publiceert hij de hele hap maar, wordt een beetje ziek van dit soort hackers. Beetje goed proberen voor te doen terwijl ze stuk voor stuk vervolgens alles wel publiceren omdat microsoft niet snel genoeg reageert en als ze dat wel doen en er is iets mis met de patch gaan mensen daar vervolgens kritiek opleveren.
05-10-2009, 19:50 door prikkebeen
Meneer de Jonge in 'damage control' mode.

Aangezien er nog steeds geen aanvallen in het wild zijn gedetecteerd, blijft Microsoft de update testen.

Hoe kun je nu weten of er geen misbruik van wordt gemaakt? Is er een meldplicht bij MS of zoiets?
Het komt steeds meer naar voren dat MS zijn aandeelhouders belangrijker vindt dan hun klanten. Jammer.

MS heeft nog meer problemen. 10.000+ gehackte Hotmail accounts: http://www.neowin.net/news/main/09/10/05/thousands-of-hotmail-passwords-leaked-online

Er zijn veel Europese accounts bij die getroffen zijn. Verander je wachtwoord als je een account hebt!

Edit: Ook de geheime vraag wijzigen.
05-10-2009, 23:41 door Anoniem
@prikkebeen

Iedereen die hier komt zou eigenlijk wel moeten weten dat het niet goed is om je geheime vraag serieus in te vullen, zo kunnen ze wel heel makkelijk achter je password komen..
06-10-2009, 01:05 door Anoniem
... heeft dit bewust wereldkundig gemaakt omdat het probleem zo eenvoudig te vinden was ...
Ik heb er niet naar gezocht maar was het eerder aan de leverancier zelf gemeld en was er een non-disclosure termijn afgesproken?
Het woordje 'bewust' vind ik overigens een licht negatieve bijklank hebben. Alsof het op een open en eerlijke manier omgaan met fouten die wereldwijd enorme schade kunnen veroorzaken in principe al niet juist zou zijn.

Veel beveiligingsgoeroes beweerden dat het auditen van SMB/ Netbios/ TCP-IP bij Microsoft tijdsverspilling was.
Reactie := "Bla"
Als (code == 100% veilig) en (gebruiker == 100% veilig) en (systeem == 100% veilig ingericht) dan
Reactie := "Ja"
Anders
Reactie := "Nee"
Eind-Als

... dat de patch die je introduceert geen dingen stuk of functionaliteiten onmogelijk maakt.
Heeft het SMB-protocol een aantal functies die tezamen de functionaliteit vormen of heeft het een heleboel functionaliteiten?
Is dit ook weer zo'n typische vorm van het hedendaagse 'Nederlands' dat gebruikt wordt door mensen die de taal niet begrijpen?

... Aangezien er nog steeds geen aanvallen in het wild zijn gedetecteerd, ...
Moderne malware is toch steeds lastiger te ontdekken? Of gebruikt men alleen maar scanners zonder heuristiek?

De softwaregigant monitort misbruik van de kwetsbaarheid om te bepalen of er een noodpatch moet verschijnen.
Alle gebruikers moeten dus wachten op die ene perfecte patch. En die dan zelf nog eens grondig testen in hun testomgeving omdat in de praktijk patches nogal eens nieuwe problemen met zich meebrengen. Hoewel veel Windozed-en dit wellicht vervelend vinden, vind ik het plezierig als ik - op eigen risico - een nightly-build patch kan gebruiken (op mijn testomgeving). Wie weet, is het probleem weg en draait alles door. Maar het kan ook zijn dat ik de patch moet verwijderen vanwege de nieuwe problemen.
Maar een bekend soort ontwikkelingsmodel dat dit mogelijk maakt, staat volgens sommige mensen gelijk aan een vorm van kanker.

Kortom: een hoop geblaat en ondertussen ontwikkelen de slechterikken allerlei exploits.
06-10-2009, 14:08 door prikkebeen
Door Anoniem: @prikkebeen

Iedereen die hier komt zou eigenlijk wel moeten weten dat het niet goed is om je geheime vraag serieus in te vullen, zo kunnen ze wel heel makkelijk achter je password komen..

Het was ook niet zozeer voor mezelf hoor.
Ik kies altijd een vraag en vul een voor mezelf herkenbaar iets in wat niets met de vraag te maken heeft. Een soort van passphrase dus.
Het doel was om mensen te waarschuwen en dan moet je het ook goed doen, vandaar de aanvulling.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure