image

Duitsland waarschuwt voor Internet Explorer

zaterdag 16 januari 2010, 09:41 door Redactie, 14 reacties

Eindgebruikers en bedrijven doen er verstandig aan direct te stoppen met het gebruik van Internet Explorer, zo waarschuwt het Federaal Bureau voor Veiligheid in de Informatietechnologie (BSI). De BSI geeft de waarschuwing vanwege het zero-day beveiligingslek in Microsoft's browser, dat gebruikt is om bij Google en 33 andere bedrijven in te breken. Gisteren publiceerde Microsoft al een advisory waarin het verklaart dat Internet Explorer 6, 7 en 8 kwetsbaar zijn. Daarnaast geeft het tips en adviezen om de ernst van het lek te beperken.

Dat is volgens het BSI niet voldoende. "Het draaien van Internet Explorer in 'protected mode' alsmede het uitschakelen van Active Scripting maakt de aanval moeilijker, maar kan die niet helemaal voorkomen. Daarom adviseert de BSI om naar een alternatieve browser over te stappen totdat Microsoft met een patch komt." De overheidsinstantie verwacht dat het lek in korte tijd voor meer aanvallen zal worden gebruikt. Als het lek is gedicht publiceert het BSI aanvullende informatie over wat internetgebruikers kunnen doen. Die hoeven met IE alleen naar een kwaadaardige of gehackte website te surfen om besmet te raken.

Exploitcode
Om hackers en security professionals de kwetsbaarheid eenvoudiger te laten gebruiken, is die ook aan populaire hackertool Metasploit toegevoegd. Metasploit bedenker H.D. Moore laat weten dat Data Execution Prevention (DEP) de Metasploit module blokkeert. DEP staat standaard in IE 8 ingeschakeld. Toch verwacht Symantec meer misbruik door cybercriminelen. "Beschikbaarheid van deze exploit vergroot de kans op misbruik in het wild van dit lek." De alarmfases die de beveiliging gebruikt voor het aangeven van de veiligheid op internet, blijft onveranderd op ThreatCon 2.

De kwetsbaarheid bevindt zich in mshtml.dll en laat aanvallers willekeurige code op systemen uitvoeren. Is DEP echter ingeschakeld, dan is dit niet mogelijk, zegt Kevin Liston van het Internet Storm Center. Hij verwacht dat Microsoft het lek tijdens de patchcyclus van februari zal dichten, tenzij iemand anders met een onofficiële update komt. Iets waar de softwaregigant gisteren al voor waarschuwde.

Reacties (14)
16-01-2010, 11:16 door Spiff has left the building
De kwetsbaarheid bevindt zich in mshtml.dll en laat aanvallers willekeurige code op systemen uitvoeren. Is DEP echter ingeschakeld, dan is dit niet mogelijk, zegt Kevin Liston van het Internet Storm Center.

DEP is standaard ingeschakeld voor Internet Explorer 8 onder XP met SP3, en voor Windows 2003, Vista, 2008, en Windows 7 (waarbij Vista, 2008, en Windows 7 tevens beschermd worden door ASLR).
Zie:
http://laws.qualys.com/lawsblog/2010/01/more-info-on-the-ie-0-day.html

IE7 onder Vista, en IE7 en IE6 onder XP (en IE6 onder Windows 2000) worden niet beschermd door DEP.
Gebruik je Internet Explorer, gebruik dan IE8.
16-01-2010, 11:40 door capricornus
UWV blijft bij IE6. Op systemen met P4, 512 DDR RAM, een 40GB schijfje en een videokaart die de naam niet waardig is. Met WinXP. Alle documenten worden gemaakt in .doc, ondanks het feit dat Nederlandse bewindslui internationaal de OpenSource-beweging steunen. De beveiliging van dat speelgoed legt het praktisch ook bijna lam. Lang leve de Traditio. En de domheid.
16-01-2010, 12:36 door Anoniem
Door capricornus: UWV blijft bij IE6. Op systemen met P4, 512 DDR RAM, een 40GB schijfje en een videokaart die de naam niet waardig is. Met WinXP. Alle documenten worden gemaakt in .doc, ondanks het feit dat Nederlandse bewindslui internationaal de OpenSource-beweging steunen. De beveiliging van dat speelgoed legt het praktisch ook bijna lam. Lang leve de Traditio. En de domheid.
Maar daar kijken we niet naar, anders valt er minder te kankeren op Microsoft.
16-01-2010, 13:48 door Eerde
Altijd leuk zo'n humoristisch bericht op de zaterdag ;)
16-01-2010, 18:03 door MrBil
Ik heb de exploit hierzo gepost:
http://security.nl/artikel/32106/1/%22Google_niet_gehackt_via_Adobe_Reader%22.html
16-01-2010, 18:58 door cowboysec
Hoe kunnen we snel testen of DEp draait?
16-01-2010, 19:43 door Spiff has left the building
Door cowboysec: Hoe kunnen we snel testen of DEP draait?

Wat bedoel je precies?
Of DEP is ingeschakeld voor IE?

Dat zie je in IE via Extra, Internetopties, Geavanceerd.

En of DEP is ingeschakeld voor het hele systeem, voor alle programma's en services, of alleen voor essentiële Windows programma's en services, dat zie je onder Properties (Systeemeigenschappen), Advanced (Geavanceerd), Settings (Instellingen), Performance Options (Instellingen voor prestaties), tabblad DEP.
Zie ook:
http://blogs.technet.com/rhalbheer/archive/2010/01/15/leveraging-data-execution-prevention-dep.aspx
16-01-2010, 21:29 door monica8
De duitse overheid doet meer aan publieke voorlichting over veiligheids lekken dan landen zoals NL, Dit doen ze, zowel met waarschuwingen als op reeds bekende problemen die een grote gebruikers groep benadeeld hebben. De waarschuwingen veroorzaken in de praktijk geen paniek bij het publiek. In NL hoeft dat dus ook geen reden voor geheimzinnigheid te zijn.
16-01-2010, 22:18 door [Account Verwijderd]
[Verwijderd]
16-01-2010, 23:54 door [Account Verwijderd]
[Verwijderd]
17-01-2010, 12:22 door Spiff has left the building
Dankjewel, Peter.

Ja, zie beslist ook:
http://www.security.nl/artikel/32114/1/FIX_voor_IE-zero_day_lek.html

Belangrijk om te zien is dat de lijst van kwetsbare systemen op
http://support.microsoft.com/kb/979352
breder is dan wat weergegeven wordt in het eerder genoemde schema op
http://laws.qualys.com/lawsblog/2010/01/more-info-on-the-ie-0-day.html
17-01-2010, 17:08 door cowboysec
Spiff,

bedankt: ik zag dat ik DEP voor alle programmas had ingeschakeld.

Door Spiff:
Door cowboysec: Hoe kunnen we snel testen of DEP draait?

Wat bedoel je precies?
Of DEP is ingeschakeld voor IE?

Dat zie je in IE via Extra, Internetopties, Geavanceerd.

En of DEP is ingeschakeld voor het hele systeem, voor alle programma's en services, of alleen voor essentiële Windows programma's en services, dat zie je onder Properties (Systeemeigenschappen), Advanced (Geavanceerd), Settings (Instellingen), Performance Options (Instellingen voor prestaties), tabblad DEP.
Zie ook:
http://blogs.technet.com/rhalbheer/archive/2010/01/15/leveraging-data-execution-prevention-dep.aspx


19-01-2010, 07:54 door Anoniem
Door capricornus: UWV blijft bij IE6. Op systemen met P4, 512 DDR RAM, een 40GB schijfje en een videokaart die de naam niet waardig is. Met WinXP. Alle documenten worden gemaakt in .doc, ondanks het feit dat Nederlandse bewindslui internationaal de OpenSource-beweging steunen. De beveiliging van dat speelgoed legt het praktisch ook bijna lam. Lang leve de Traditio. En de domheid.
Getronics betaalt jou niet om op forums te posten.

Ga jij maar weer aan het werk.
21-01-2010, 13:25 door monica8
Door Sjaan:
Door monica8: De duitse overheid doet meer aan publieke voorlichting over veiligheids lekken dan landen zoals NL, Dit doen ze, zowel met waarschuwingen als op reeds bekende problemen die een grote gebruikers groep benadeeld hebben. De waarschuwingen veroorzaken in de praktijk geen paniek bij het publiek. In NL hoeft dat dus ook geen reden voor geheimzinnigheid te zijn.

Dat doen ze hier ook.
BSI is het duitse equivalent van de Waarschuwingsdienst.

Hoeveel mensen en met welke qualificaties werken daar dan, en hoeveel waarschuwingen bereiken het grote publiek en zijn die waarschuwingen effectief?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.