image

Govcert waarschuwt nu pas voor Windows LNK-lek *Update*

vrijdag 30 juli 2010, 12:32 door Redactie, 9 reacties

Hoewel het ernstige LNK-lek in Windows al ruim twee weken bekend is, kwam het Computer Emergency Response Team van de Nederlandse overheid (Govcert) pas gisteren met een waarschuwing, die ook nog onvolledig is. De kwetsbaarheid werd op 15 juli voor het eerst gerapporteerd, waarna Microsoft een dag later met een advisory kwam. Een fout in de verwerking van icoontjes van snelkoppelingen zorgt ervoor dat het vrij eenvoudig voor aanvallers is om systemen over te nemen.

In de advisory gaf Microsoft een tijdelijke oplossing om de aanvalsvectoren voor het lek uit te schakelen. Op 21 juli verscheen er vervolgens een Fix-it tool, die gebruikers via één muisklik het register laat aanpassen, waardoor ze beschermd zijn.

Aanvalsvector
Verder werd de advisory door Microsoft aangepast, aangezien er meerdere aanvalsvectoren mogelijk zijn. Naast het gebruik van USB-sticks, zou een aanvaller ook een kwaadaardige website of remote netwerk share kunnen opzetten en daar de kwaadaardige componenten plaatsen.

"Als de gebruiker naar de website met een browser zoals Internet Explorer of een file manager zoals Windows Explorer surft, zal Windows het icoon van de snelkoppeling proberen te laden en wordt de kwaadaardige binary aangeroepen. Daarnaast kan een aanvaller een exploit in een document verstoppen dat ingebedde snelkoppelingen ondersteunt of een hosted browser control (zoals, maar niet beperkt tot Microsoft Office documenten)."

Onvolledig
Een week na het verschijnen van de Fix-it tool kwam Govcert pas gisteren met een Factsheet en via de Waarschuwingsdienst (een dienst van Govcert) met een waarschuwing. De waarschuwing is onvolledig, aangezien niet alle aanvalsvectoren staan beschreven.

"Het softwarelek kan worden uitgebuit wanneer je met de Windows Verkenner een map opent waarin zich een kwaadaardige snelkoppeling bevindt. De kwetsbaarheid kan op deze manier worden gebruikt voor het verspreiden van een virus op bijvoorbeeld een CD-ROM of USB-Stick, die je met de Windows Verkenner hebt geopend."

Het gebruik van websites en documenten door aanvallers wordt achterwege gelaten, terwijl documenten wel in de Factsheet als aanvalsvector staan vermeld. Security.nl vroeg Govcert om een reactie, maar er was niemand aanwezig die de pers te woord kon staan.

Update 16:20
Govcert laat in een reactie weten dat het gebruikers nu via Waarschuwingsdienst.nl heeft gewaarschuwd, omdat het meer malware ziet die van het lek misbruik maakt. Volgens de overheidsinstantie richt ze zich op twee groepen. Deelnemers, zoals ministeries, en thuisgebruikers. Al op 15 juli werden de deelnemers voor een potentieel nieuw Windows-lek gewaarschuwd. Een waarschuwing die via het informatiepunt cybercrime ook onder bedrijven met een SCADA-omgeving werd verspreid.

Aangezien de eerste aanvallen op SCADA-systemen waren gericht, vond Govcert het niet noodzakelijk om thuisgebruikers te waarschuwen, mede omdat de oplossing van Microsoft niet gebruiksvriendelijk is. Die zorgt ervoor dat alle icoontjes wit worden. Op 18 juli verscheen er op de Waarschuwingsdienst.nl wel een artikel over de mogelijk nieuwe exploit. Er ontbreekt echter een datum in het artikel, waardoor niet duidelijk is wanneer het werd gepubliceerd.

Risicoprofiel
Het risicoprofiel voor thuisgebruikers veranderde doordat er sinds deze week meer malware werd gesignaleerd die het lek misbruikte. Malware die volgens Govcert ook een risico voor het Nederlandse IP-gebied vormt. Ondanks de vervelende bijwerking van Microsoft's Fix-it oplossing, besloot het nu wel via e-mail een waarschuwing uit te geven.

Wat betreft het ontbreken van alle aanvalsvectoren in de advisory op Waarschuwingsdienst.nl, laat Govcert weten dat men het voor de thuisgebruiker niet ingewikkelder wil maken dan noodzakelijk. De overheidsinstantie erkent dat het een te simpele weergave van de feiten is, maar benadrukt dat het om de actie gaat die mensen moeten ondernemen.

Reacties (9)
30-07-2010, 12:46 door Anoniem
Het is vakantietijd. Consignatiedienst als je op vakantie bent, dat kan natuurlijk niet.

Jongens, realiseer je nu eens: security is een 24/7 job.
30-07-2010, 12:58 door Anoniem
Foutje, kan gebeuren.
30-07-2010, 16:52 door _Peterr
Echt weer een op en top "Hoe kunnen we GovCERT onderuithalen" artikeltje. Beetje kinderachtig.
31-07-2010, 16:12 door xy22
Door Redactie: Hoewel het ernstige LNK-lek in Windows al ruim twee weken bekend is, kwam het Computer Emergency Response Team van de Nederlandse overheid (Govcert) pas gisteren met een waarschuwing, die ook nog onvolledig is.
Door Anoniem: Het is vakantietijd. Consignatiedienst als je op vakantie bent, dat kan natuurlijk niet.

Jongens, realiseer je nu eens: security is een 24/7 job.
waarom zo negatief? De service van de Waarschuwingsdienst is vooral een makkelijke manier voor mensen die niet permanent security-nieuws volgen om op de hoogte te zijn zodra dat echt noodzakelijk is; dat is voor 90% van de Nederlanders prima.....
31-07-2010, 16:38 door Anoniem
@Peterr

Nam jij ze serieus dan?

Lijkt me een veel groter risico als natuurlijke en rechtspersonen zich blind op GovCERT vertrouwen.

CERTs zijn over-rated alleen bij structurele issues die mondiaal bekend zijn kan enig vorm van structurele aanpak nuttig zijn. (b.v. opsporing van internationale bendes)


De ruil handel in 0days is in de afgelopen 10 jaar alleen maar toegenomen.

Voor mensen die daar geen zicht op hebben er is een wereldwijde handel van 0day for a 0day, en ik zo snel een CERT of bedrijf (met ethisch besef) 0 days verspreiden om nieuwe te krijgen.

Tevens is dat wereldje zelf reinigend, iemand die een 0 day publiek maakt krijgt nooit meer iets.

Met een paar duizend 0days in het wild, is het grappig om te zien hoe mensen blind staren op AV/IDS leveranciers en CERT's.
31-07-2010, 20:57 door Anoniem
Door xy22:
Door Redactie: Hoewel het ernstige LNK-lek in Windows al ruim twee weken bekend is, kwam het Computer Emergency Response Team van de Nederlandse overheid (Govcert) pas gisteren met een waarschuwing, die ook nog onvolledig is.
Door Anoniem: Het is vakantietijd. Consignatiedienst als je op vakantie bent, dat kan natuurlijk niet.

Jongens, realiseer je nu eens: security is een 24/7 job.
waarom zo negatief? De service van de Waarschuwingsdienst is vooral een makkelijke manier voor mensen die niet permanent security-nieuws volgen om op de hoogte te zijn zodra dat echt noodzakelijk is; dat is voor 90% van de Nederlanders prima.....

Misschien omdat advies redelijk laat kwam. Gebruikers konden wel degelijk wat doen om het risico te beperken.

Overigens is denken zoals Microsoft vroeger deed: "we zeggen maar niets om een te grote belasting van de helpdesk te voorkomen", niet zo'n goede strategie gebleken.

Verder is de houding van de overheid (en dientengevolge van de medewerkers) in het algemeen ondermaats. Ambtenaren die iets in de vakantie of buiten normale werktijden doen worden gezien als volslagen belachelijk. Management zorgt dat aan de cosmetische voorwaarden wordt voldaan (er zit toch een mannetje?), maar die weet niet van hoed en de rand.
01-08-2010, 15:13 door Dev_Null
Take care of your own security en maak je niet afhankelijk van een overheid-clubje :-)

"Echter security doe je zelf - postbus 52"
02-08-2010, 09:18 door Anoniem
Wanneer komt het sein veilig voor het LNK-lek ?
02-08-2010, 11:58 door xy22
Door Anoniem: Wanneer komt het sein veilig voor het LNK-lek ?
http://www.security.nl/artikel/34037/1/Microsoft_noodpatch_voor_Windows_LNK-lek.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.