Nieuws
image

Windows geeft hackers het nakijken

woensdag 7 oktober 2009, 14:22 door Redactie, 13 reacties

Het is voor beveiligingsonderzoekers bijna niet meer te doen om exploits te ontwikkelen die lekken in Windows misbruiken, zegt Dave Aitel van beveiligingsbedrijf Immunity. Immunity ontwikkelde een exploit voor een nog altijd ongepatchte SMB2-kwetsbaarheid in Vista, waarmee aanvallers op afstand en zonder enige interactie van de gebruiker het systeem volledig kunnen overnemen. In totaal waren vier onderzoekers van het bedrijf er ruim een week mee bezig en dat is snel. Gemiddeld kost het drie personen een volle maand om een exploit te ontwikkelen. 'Dat is veel tijd, of in andere woorden, veel geld", aldus Aitel.

Toch vindt hij het ontwikkelen van exploits nog steeds de moeite waard. "Zonder exploits weet je niet wat belangrijk is, of realistischer, wat niet belangrijk is." In het geval van het SMB2-lek blijkt dat 64-bit computers immuun zijn. "Aangezien alle bedrijven Vista hebben overgeslagen en 64-bit voor hun Windows 2008 servers gebruiken, is SMB2 niet zo erg als je zou verwachten." Het is dan ook helemaal geen voordeel dat het ontwikkelen van exploits zo'n kostbare aangelegenheid is geworden.

Exploit
Volgens beveiligingsexpert Dan Geer is een ander nadeel dat steeds meer grote beveiligingslekken niet gemeld zullen worden, aangezien de kans dat onderzoekers iets weggeven omgekeerd evenredig is aan de kosten die er nodig waren om het te verkrijgen. Aitel vraagt zich echter af wat een "publieke" exploit is. Het CANVAS framework waarin de werkende SMB2 exploit in zit, kost minder dan 4000 dollar.

"Als een werkende exploit in de handen van tienduizenden mensen is die er om geven, moet dat dan niet als publiek worden beschouwd?" Hij noemt het vreemd dat alle nieuwsartikelen erover gaan of de exploit via het internet te downloaden is, terwijl alle mensen die er iets mee kunnen hem al hebben.

Reacties (13)
07-10-2009, 14:45 door Anoniem
"Windows geeft hackers het nakijken"

Nou, vooralsnog komt er anders nog aardig wat malware uit. En conficker gaf windows ook niet 'het nakijken'. Dat de SMB2 vulnerability wat minder erg is dan verwacht klopt, maar dat doet weinig af aan het feit dat windows nog steeds dagelijks onder vuur ligt van nieuwe malware.
07-10-2009, 15:31 door bernd
Ik denk dat het tevens een kwestie is van de weg van de minste weerstand. Als produkten als Adobe reader een makkelijkere ingang vormen, zullen zij eerder of meer gebruikt worden als aanvalsvector en zullen onderzoekers zich hier meer op focussen.

Als de stelling "steeds meer grote beveiligingslekken niet gemeld zullen worden, aangezien de kans dat onderzoekers iets weggeven omgekeerd evenredig is aan de kosten die er nodig waren om het te verkrijgen." waar is, zou dat impliceren dat gevonden lekken meer verkocht worden aan organisaties die hier financieel belang bij hebben. Dit betekent dat deze kennis niet bij de scriptkiddies, maar bij de maffia terechtkomt. Toch een iets minder veilig gevoel dan de titel suggereert...
07-10-2009, 15:56 door Preddie
Ik zit eigenlijk te wachten op het moment dat ook 64-bit stations geexploiteerd kunnen worden `
07-10-2009, 17:00 door MrBil
Jup, die exploit werkt goed op Vista SP1 x86, en SP2.

http://img194.imageshack.us/img194/7493/smb2.jpg
07-10-2009, 18:02 door SirDice
Gemiddeld kost het drie personen een volle maand om een exploit te ontwikkelen. 'Dat is veel tijd, of in andere woorden, veel geld", aldus Aitel.
Black-hats, crackers of hoe je ze wil noemen hebben tijd zat en dat kost ze helemaal niets.
07-10-2009, 18:03 door SirDice
Door Predjuh: Ik zit eigenlijk te wachten op het moment dat ook 64-bit stations geexploiteerd kunnen worden `
Dat moet toch niet al te moeilijk zijn. Solaris draait al sinds jaar en dag op 64 bit architectuur en daar zijn toch ook de nodige exploits voor.
07-10-2009, 21:50 door Anoniem
Door SirDice:
Gemiddeld kost het drie personen een volle maand om een exploit te ontwikkelen. 'Dat is veel tijd, of in andere woorden, veel geld", aldus Aitel.
Black-hats, crackers of hoe je ze wil noemen hebben tijd zat en dat kost ze helemaal niets.

SirDice, ik moet toegeven dat je het fout hebt. Die Black-hats maken wel degenlijk verlies, ipv exploits te ontwikkelen verliezen ze op
het verdienen aan 'crap' PPI's of aan andere black-hat activiteiten
07-10-2009, 22:26 door Anoniem
Door MrBil: Jup, die exploit werkt goed op Vista SP1 x86, en SP2.

http://img194.imageshack.us/img194/7493/smb2.jpg

Waar is die source te vinden?
08-10-2009, 09:31 door Anoniem
Door Anoniem: "Windows geeft hackers het nakijken"

Nou, vooralsnog komt er anders nog aardig wat malware uit. En conficker gaf windows ook niet 'het nakijken'. Dat de SMB2 vulnerability wat minder erg is dan verwacht klopt, maar dat doet weinig af aan het feit dat windows nog steeds dagelijks onder vuur ligt van nieuwe malware.



Meeste malware dat uitkomt maakt gebruik van bekende, oudere lekken waar al patches voor zijn. Ik denk dat het er omk gaat dat het steeds moeilijker wordt nieuwe lekken uit te buiten op windows systemen omdat het maken van een exploit langer duurt dan het reparen van het probleem.
08-10-2009, 09:46 door Anoniem
Door Anoniem: "Windows geeft hackers het nakijken"

Nou, vooralsnog komt er anders nog aardig wat malware uit. En conficker gaf windows ook niet 'het nakijken'. Dat de SMB2 vulnerability wat minder erg is dan verwacht klopt, maar dat doet weinig af aan het feit dat windows nog steeds dagelijks onder vuur ligt van nieuwe malware.


En? Wat wil je daar nou mee zeggen? Wie maakt die malware dan? Microsoft soms? Je lijkt die inbreker wel die zo boos is op de politie omdat die hem neerschoot. Rot toch op met je gezeur.
08-10-2009, 11:41 door Anoniem
Door Anoniem:
Door MrBil: Jup, die exploit werkt goed op Vista SP1 x86, en SP2.

http://img194.imageshack.us/img194/7493/smb2.jpg

Waar is die source te vinden?
Jij weet zeker niet hoe het er in de echte wereld aan toe gaat? Je krijgt niet zomaar iets wat je wilt.

Vooral geen SMB2 exploit.
09-10-2009, 21:02 door Anoniem
Wat ik hier lees is dat het ontwikkelen van exploits door beveiligingsbedrijven steeds moeilijker wordt. Dit is aan de ene kant goed nieuws....aan de andere kant niet. Het zorgt er namelijk voor dat de wil om informatie te delen duurder wordt waardoor dit minder gebeurt. Hierdoor kan het gebeuren dat exploits door echte hackers (met kwaad in de zin) ongemoeid blijven.

Het zou dus een goed systeem zijn indien firma's zoals MS zouden betalen voor het aandragen van exploits door beveiligingsbedrijven (die erkend zijn).

Het orakel
10-10-2009, 01:22 door Anoniem
Ik ben het eens met ' Het orakel' .

Op deze manier gaan monetair georienteerdeondezoekers van beveiligings lekken hun gevonden blinkers niet meer bekend maken aan de software ontwikkelaars maar aan de betalende spam / zombie / sploit maffia. Het wordt dus zaak voor de commerciele software ontwikkelaars met beveiliging hoog in het vaandel om op te bieden tegen de spam / zombie / sploit maffia en zo enigzins de schede te beperken door de pathes aan te kunnen bieden voordat de IDS systemen ze moeten afvangen...

Greatz,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Advertentie
Certified Secure