image

Microsoft waarschuwt voor zeer ernstig Windows-lek

dinsdag 4 januari 2011, 21:07 door Redactie, 11 reacties

Microsoft waarschuwt gebruikers voor een nieuw beveiligingslek in Windows XP, Vista en Server 2003, waardoor aanvallers kwetsbare systemen kunnen overnemen. Het probleem bevindt zich in de Windows Graphics Rendering Engine bij het verwerken van thumbnails en laat aanvallers willekeurige code met de rechten van de ingelogde gebruiker uitvoeren, aldus Microsoft in deze advisory.

Het bezoeken van een gehackte of kwaadaardige website of het openen van een kwaadaardig Word of PowerPoint-bestand is voldoende om gehackt te worden. De exploit is zonder Microsoft eerst te waarschuwen openbaar gemaakt en is inmiddels ook aan de populaire hackertool Metasploit toegevoegd. Onderzoekers Moti en Xu Hao publiceerden dit onderzoek waarin zij het lek openbaren, dat CVE-2010-3970 heeft meekregen.

Volgens het Franse beveiligingsbedrijf Vupen is het jaar van de "ongecoördineerde bekendmakingen" begonnen. Er zijn echter nog geen gevallen van misbruik bekend, aldus Angela Gunn, Microsofts marketing communications manager. Die laat verder weten dat er aan een update wordt gewerkt, maar dat de situatie nog niet ernstig genoeg is om een noodpatch uit te brengen.

Aanval
Een aanval via e-mail zou een Word of PowerPoint-bestand kunnen bevatten waarin een speciale thumbnail-afbeelding is opgenomen. Bij het openen of "previewen" van het bestand ontstaat er een stack overflow. In het geval van een netwerkaanval zou de aanvaller de geprepareerde thumbnail-afbeelding op een UNC (Uniformed Naming Convention) of WebDAV locatie kunnen plaatsen. Door een gebruiker deze locatie met Windows Explorer te laten bekijken is het mogelijk om kwaadaardige code uit te voeren.

Microsoft heeft een tijdelijke oplossing online gezet die niet het onderliggende probleem oplost, maar wel tegen bekende aanvalsvectoren bescherming biedt totdat er een update verschijnt. Deze oplossing kan ervoor zorgen dat bepaalde mediabestanden niet meer goed worden weergegeven. Het lek is niet aanwezig in Windows 7 en zou volgens beveiligingsonderzoeker H.D. Moore ook niet op 64-bit systemen te reproduceren.

Reacties (11)
04-01-2011, 21:09 door Dev_Null
Microsoft heeft een tijdelijke oplossing online gezet die niet het onderliggende probleem oplost, maar wel tegen bekende aanvalsvectoren bescherming biedt totdat er een update verschijnt.
Dat doen ze toch haast nooit? het onderliggende probleem echt aanpakken :-P
04-01-2011, 22:02 door Anoniem
Goh, Microsoft begint 2011 met een marketingcampagne om al haar oudere systemen als zeer onveilig aan te duiden om mensen er maar zo snel mogelijk toe te bewegen naar Windows 7 over te stappen?
05-01-2011, 08:53 door Anoniem
ik ben benieuwd wanneer en of ik een sms ontvang van de waarschuwwings dienst; ik vind ze altijd erg laat
05-01-2011, 09:27 door Skizmo
Het probleem bevindt zich in de Windows Graphics Rendering Engine bij het verwerken van thumbnails en laat aanvallers willekeurige code met de rechten van de ingelogde gebruiker uitvoeren
Klinkt als "zodra ik mijn linker mistlamp aan laat staan, kan mijn auto gestolen worden". Hoe MS het iedere keer weer voor elkaar krijgt is me nog steeds een raadsel.
05-01-2011, 11:19 door Eghie
Ben ik even blij dat we hier het hele huishouden op Linux hebben draaien. Zelfs mijn broertje speelt nu Fifa 11 op Ubuntu met WINE. En dat werkt goed.

Het hele huishouden op Ubuntu Linux draait nu inmiddels zo'n 2 jaar. Wel wat opstart probleempjes gehad, maar die zijn nu allemaal wel verholpen. Het draait echt goed en ik wil niet meer terug. Gewoon een werkbaar 100% legaal (inclusief LibreOffice) huishouden en we zijn er blij mee, zonder dat we stiekem terug verlangen naar Windows. WINE werkt goed genoeg voor ons en wordt steeds beter.

Het grote voordeel hiervan is natuurlijk dat al die Windows lekken ons niets kunnen maken. Ja misschien werken er een aantal in WINE, maar dan nog kom je daar bijna niet mee in aanraking. En ubuntu wordt hier wel onderhouden, dus de Linux lekken die dan uitkomen worden zo snel mogelijk gedicht.

Valt me wel op, ook met bugs die in Linux misbruikt kunnen worden, dat vaak de 64bits versie de bugs niet op werken. Dat is opzich wel een voordeel. Sowieso is de toekomst ook 64bit.

Werkt de 64bits versie van Windows 7 goed? Ik heb voor thuis gebruikers genoeg 64bits versies van Windows 7 geinstalleerd en heb het op het werk ook, onder KVM draaien. En tot nu toe vind ik de 64bits goed draaien. Maar zijn er nog veel voorkomende problemen met 64bits, of zijn over het algemeen de applicaties en drivers goed genoeg om 64bit mainstream te gebruiken?

Op het werk hebben we wel Windows systemen bij klanten staan, ook Windows XP. Daar moet wel even snel wat gebeuren. Gelukkig valt er veel snel uit te rollen via een logonscript.
05-01-2011, 14:07 door Anoniem
Even voor mijn beeldvorming: in de advisory wordt gesproken over misbruik via UNC paden of attachments via mail (het is immers een Shell probleem en geen IE probleem), maar niet via het internet in de vorm van websites. Waar wordt deze conclusie uit getrokken?
05-01-2011, 14:13 door Redactie
Door Anoniem: Even voor mijn beeldvorming: in de advisory wordt gesproken over misbruik via UNC paden of attachments via mail (het is immers een Shell probleem en geen IE probleem), maar niet via het internet in de vorm van websites. Waar wordt deze conclusie uit getrokken?

To target this vulnerability, an attacker must convince a user to visit a specially crafted malicious Web page...

http://blogs.technet.com/b/msrc/archive/2011/01/04/microsoft-releases-security-advisory-2490606.aspx
05-01-2011, 14:36 door Anoniem
Thanks. De blog en de advisory matchen dus niet met elkaar, bijzonder. De grote vraag is natuurlijk nu wat je moet geloven: een blog, of de officiele advisory ;-)
05-01-2011, 22:11 door 3.1415
Door Eghie: Het hele huishouden op Ubuntu Linux draait nu inmiddels zo'n 2 jaar. Wel wat opstart probleempjes gehad, maar die zijn nu allemaal wel verholpen. Het draait echt goed en ik wil niet meer terug. Gewoon een werkbaar 100% legaal (inclusief LibreOffice) huishouden en we zijn er blij mee, zonder dat we stiekem terug verlangen naar Windows. WINE werkt goed genoeg voor ons en wordt steeds beter.

Daar stip je het al aan, goed genoeg. Is dat nu wel zo leuk als je bijvoorbeeld net een nieuwe pc hebt, dat veeleisende games "goed genoeg" draaien in emulator die directx naar opengl vertaald en nooit de native performance gaat halen.


Het grote voordeel hiervan is natuurlijk dat al die Windows lekken ons niets kunnen maken. Ja misschien werken er een aantal in WINE, maar dan nog kom je daar bijna niet mee in aanraking. En ubuntu wordt hier wel onderhouden, dus de Linux lekken die dan uitkomen worden zo snel mogelijk gedicht.

Niet echt een argument, wie met dezelfde bedachtzaamheid zijn windows systemen update en beschermt tegen virussen en malware, heeft ook een zeer veilig en robuust systeem. Maar dat systeem ondersteunt vervolgens wel heel veel meer interessante software, games en hardware. Je zit er niet mee op een eiland, je kunt gewoon werken met de top10 van filetypes die andere mensen met je willen delen.
06-01-2011, 12:10 door Eghie
Door 3.1415:
...
Daar stip je het al aan, goed genoeg. Is dat nu wel zo leuk als je bijvoorbeeld net een nieuwe pc hebt, dat veeleisende games "goed genoeg" draaien in emulator die directx naar opengl vertaald en nooit de native performance gaat halen.
Klopt ben ik met je eens, al hoewel het nog wel eens wil gebeuren dat in WINE soms de performance net iets beter is dan op Windows, is het over het algemeen wel waar wat je zegt.


...

Niet echt een argument, wie met dezelfde bedachtzaamheid zijn windows systemen update en beschermt tegen virussen en malware, heeft ook een zeer veilig en robuust systeem.
Robuust misschien wel, maar veilig wil ik Windows niet echt noemen. Windows 7 is al wel een behoorlijke stap veiliger en zeker de 64bits versie, maar er zitten nog steeds onveilige dingen in. Ook UAC blijkt lang niet altijd de veiligheid te verhogen, want veel malware omzeilt dat gewoon (zie bijvoorbeeld: http://www.zdnet.be/news/109882/uac-windows-7-laat-meeste-malware-door/ ). Ik vind de sudo/su manier van Linux een stuk veiliger. Ook daar is een local root exploit mogelijk, maar een stuk minder makkelijk.

Maar dat systeem ondersteunt vervolgens wel heel veel meer interessante software, games en hardware. Je zit er niet mee op een eiland, je kunt gewoon werken met de top10 van filetypes die andere mensen met je willen delen.
Dit is persoonlijk. Wij, het volledige gezin, kunnen met Linux werken, zonder dat het voor ons een "eiland" vormt en een beperking. We wisselen nog steeds allerlei office bestanden uit, powerpoint presentaties, foto's, archief bestanden, en zelfs Windows programma's soms die prima draaien onder WINE. (ik weet dat niet alles onder WINE draait)

We hebben geen Windows OEM licenties bij onze apparatuur. En we wilden geen 200 euro (ongeveer) uit gaan geven voor Windows + Microsoft Office, want die bestandsformaten waar je het over hebt, moet veelal nog steeds uit de applicaties komen, waaronder Microsoft Office. Wij willen het 100% legaal houden, vanwege principes, echter gaat ons dat wel geld kosten als je dat via Microsoft producten willen doen. Beveiligingssoftware ontkom je bij Windows ook niet aan, maar dat kan gratis via MSE en dat werkt redelijk goed. Maar we werken via een 100% gratis oplossing, namelijk Ubuntu. Voor ons veel goedkoper en we kunnen er alles op doen wat wij WILLEN. Zelfs Fifa 11 draait er als een zonnetje op (ook online spelen). Alle muziek formaten speelt hij af, alle video formarten speelt hij af. Is gebruiksvriendelijk, want zelfs de mensen die nooit Linux hebben gezien kunnen er mee overweg zonder eerst uitleg te krijgen. Meer plug-and-play met printers dan Windows. Alle rand apparatuur (camera's,printers, etc) wat we hebben werkt uitstekend). Gewoon een volledig draaiende omgeving. We voelen ons niet echt op een eiland.

Dus ook wij kunnen werken met de top10 van filetypes die andere mensen met ons willen delen. Bij office is de opmaak wel een probleem, maar dat is nog het enige wat niet goed compatible is met Microsoft Office. Maar ook Microsoft Office kan onder WINE geinstalleerd worden, maar dan moeten we die weer kopen. Dus we nemen de opmaak problemen voor lief.
06-01-2011, 21:38 door 3.1415
Door Eghie:
Door 3.1415:
Robuust misschien wel, maar veilig wil ik Windows niet echt noemen. Windows 7 is al wel een behoorlijke stap veiliger en zeker de 64bits versie, maar er zitten nog steeds onveilige dingen in. Ook UAC blijkt lang niet altijd de veiligheid te verhogen, want veel malware omzeilt dat gewoon (zie bijvoorbeeld: http://www.zdnet.be/news/109882/uac-windows-7-laat-meeste-malware-door/ ). Ik vind de sudo/su manier van Linux een stuk veiliger. Ook daar is een local root exploit mogelijk, maar een stuk minder makkelijk.
Het staat vrij om Linux veiliger te vinden, feit blijft dat ik van Windows XP SP2 tot Windows 7 met een lokale firewall, geupdate virusscanner, malwarescanning, en verstandig gebruik nooit het slachtoffer ben geweest van een virus of malware. Ik denk dat de veiligheid meer bepaald wordt door:
-de gebruiker en die is op linux gemiddeld verstandiger
-de hoeveelheid aanvallen en die is op linux veel lager (vanwege bovenstaande)

Op mijn werk draaien we zo'n 300 windows servers en 100 linux servers, de linux servers kennen meer problemen, beheerders weten de weg niet, geen AD integratie, geen centrale update mechanismen, achterlopen met ondersteuning van nieuwe virtuele hardware.

Kortom het OS linux is niet veiliger of robuuster, een verstandige gebruiker kan gewoon windows gebruiken en is dan veilig.


Dit is persoonlijk. Wij, het volledige gezin, kunnen met Linux werken, zonder dat het voor ons een "eiland" vormt en een beperking. We wisselen nog steeds allerlei office bestanden uit, powerpoint presentaties, foto's, archief bestanden, en zelfs Windows programma's soms die prima draaien onder WINE. (ik weet dat niet alles onder WINE draait)

We hebben geen Windows OEM licenties bij onze apparatuur. En we wilden geen 200 euro (ongeveer) uit gaan geven voor Windows + Microsoft Office, want die bestandsformaten waar je het over hebt, moet veelal nog steeds uit de applicaties komen, waaronder Microsoft Office. Wij willen het 100% legaal houden, vanwege principes, echter gaat ons dat wel geld kosten als je dat via Microsoft producten willen doen. Beveiligingssoftware ontkom je bij Windows ook niet aan, maar dat kan gratis via MSE en dat werkt redelijk goed. Maar we werken via een 100% gratis oplossing, namelijk Ubuntu. Voor ons veel goedkoper en we kunnen er alles op doen wat wij WILLEN. Zelfs Fifa 11 draait er als een zonnetje op (ook online spelen). Alle muziek formaten speelt hij af, alle video formarten speelt hij af. Is gebruiksvriendelijk, want zelfs de mensen die nooit Linux hebben gezien kunnen er mee overweg zonder eerst uitleg te krijgen. Meer plug-and-play met printers dan Windows. Alle rand apparatuur (camera's,printers, etc) wat we hebben werkt uitstekend). Gewoon een volledig draaiende omgeving. We voelen ons niet echt op een eiland.

Dus ook wij kunnen werken met de top10 van filetypes die andere mensen met ons willen delen. Bij office is de opmaak wel een probleem, maar dat is nog het enige wat niet goed compatible is met Microsoft Office. Maar ook Microsoft Office kan onder WINE geinstalleerd worden, maar dan moeten we die weer kopen. Dus we nemen de opmaak problemen voor lief.

Dus je kunt niet samenwerken in een office docx bestand en dat is toch wel het meest gebruikte bestand in nederland. Erg onhandig lijkt me dat, je had toch een computer gekocht om dat te kunnen delen met andere gebruikers. Ik geef met overtuiging 200 euro uit aan een videokaart, kan me niet voorstellen dat ik dat niet zou willen aan een basisfunctie als "veel voorkomende files met iedereen kunnen delen"
Wil je stellen dat ook alle tools en software bij randapparatuur als printers, scanners en tvkaarten in linuxversies beschikbaar zijn?
Het blijft natuurlijk zo dat er voor Windows veel meer software is, veel meer keus en ook veel meer games. Of kunnen alle games altijd onder WINE draaien.
En ergens klopt de gedachte toch niet helemaal. WINE draaien om Windows apps op Linux te draaien. Dan wil je kennelijk gewoon Windows.
Het komt er kennelijk uiteindelijk op neer: heb je 200 euro extra over om 5 jaar lang een windows OS met office te draaien. Bij de aanschaf van hardware zijn dat soort keuzes snel gemaakt, dan nemen we een mooiere kast of meer RAM, omdat we het apparaat toch dagelijks gebruiken. Waarom dan niet met software?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.