Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hitman Pro LNK-lek bescherming

30-07-2010, 14:31 door Spiff has left the building, 17 reacties
Zoals Anoniem gisteravond meldde in de thread van de "Ben jij al beschermd tegen het Windows LNK-lek?" poll,
ook Hitman Pro 3.5.6 build 108 biedt nu bescherming tegen het LNK beveiligingslek.
Zie:
http://www.surfright.nl/nl/support/fix-2286198
en
http://www.wilderssecurity.com/showthread.php?p=1719630#post1719630
en de rest van die thread.

De bescherming die Hitman Pro 3.5.6 build 108 biedt tegen het LNK beveiligingslek is mijns inziens stukken beter dan die van Microsoft, Sophos en GDATA.
Zie de tabel in de informatie van Surfright,
http://www.surfright.nl/nl/support/fix-2286198

In eerste instantie was versie 3.5.6.108 nog een beta,
maar inmiddels wordt 3.5.6 build 108 ook via de reguliere update en download aangeboden.

N.B.
Om de betreffende bescherming van Hitman Pro 3.5.6.108 tegen het LNK beveiligingslek te benutten, is het belangrijk eerst de Sophos, GDATA, of Microsoft fix uit te schakelen.
Reacties (17)
30-07-2010, 14:55 door Anoniem
"De bescherming die Hitman Pro 3.5.6 build 108 biedt tegen het LNK beveiligingslek is mijns inziens stukken beter dan die van Microsoft, Sophos en GDATA. "

Leg eens uit waarom je dat vind.
30-07-2010, 15:50 door Spiff has left the building
Aan Anoniem van 14.55 uur -

Ik baseer dat op de informatie van Surfright, waarvan ik de link al in de eerste versie van mijn bericht aanbood.
Voor de duidelijkheid heb mijn oorspronkelijke bericht aangepast en verwijs ik na mijn uitspraak dat de Hitman Pro oplossing mijns inziens beter is nu naar de tabel in die informatie van Surfright.

Concreet:
1. De Hitman Pro oplossing biedt bescherming tegen schadelijke snelkoppelingen op lokale stations, evenals de Microsoft Fix. De Sophos en GDATA oplossingen bieden niet die bescherming.
2. De Hitman Pro oplossing biedt bescherming tegen schadelijke pif-bestanden, evenals de Microsoft Fix. De Sophos en GDATA oplossingen bieden niet die bescherming.
3. De Hitman Pro oplossing behoudt evenals de Sophos en de GDATA oplossingen de weergave van pictogrammen voor snelkoppelingen naar programma's.

Zie de tabel in de informatie van Surfright,
http://www.surfright.nl/nl/support/fix-2286198
30-07-2010, 16:48 door Erik Loman
De exploit zit in shell32.dll die LoadLibrary gebruikt om een icon uit een extern DLL-bestand te lezen.

Omdat LoadLibrary dit DLL-bestand met EXECUTE rechten inleest en tevens dllmain() in het DLL-bestand aanroept, wordt er code uitgevoerd tijdens het inlezen van een icoon!

De oplossing in Hitman Pro vangt op het juiste punt de LoadLibrary functie af en zorgt ervoor dat het DLL-bestand ingelezen wordt zonder EXECUTE rechten. Hierdoor wordt het icoon wel geladen maar wordt er geen code uitgevoerd (de exploit wordt dus niet getriggerd).

Voordeel van deze methode is dat er voor de gebruiker niets veranderd (functioneel werkt alles zoals voor de beveiliging) en verliezen sommige legitieme snelkoppelingen (zoals snelkoppelingen naar VPN verbindingen) hun ikoon niet en werkt de oplossing ook op lokale schijven.

Daarnaast werkt de oplossing ook op Windows 2000.
31-07-2010, 00:00 door Spiff has left the building
Dank je voor de uitleg en de aanvullingen, Erik Loman.
Kun je misschien ook iets zeggen over het volgende?

Peter V heeft het volgende gepost:
http://www.security.nl/artikel/34033/1/Maandag_a.s._PATCH_LNK-lek.html
Maandag a.s. PATCH LNK-lek
Op de site van het SANS-instituut is vandaag te lezen dat er een out-of-band patch gaat komen voor het LNK-lek in Windows.
Link: http://www.dshield.org/diary.html?storyid=9304
De workarounds en tools kunnen het beste worden teruggedraaid, voordat de patch geïnstalleerd wordt.
Erik, kun je in relatie tot Hitman Pro aangeven of het het verstandigst is om voorafgaand aan die Windows-patch de LNK-lek bescherming door Hitman Pro uit te schakelen? Of bestaat daartoe geen enkele noodzaak?
Op de Surfright site lees ik:
http://www.surfright.nl/nl/support/fix-2286198
Zodra Microsoft een definitieve oplossing voor het probleem heeft uitgebracht zal Hitman Pro worden bijgewerkt en de tijdelijke bescherming automatisch uitschakelen.
Alvast hartelijk dank.
31-07-2010, 10:57 door Erik Loman
Hitman Pro LNK Exploit Protection hoeft niet eerst uitgeschakeld te worden voordat Microsoft's patch geïnstalleerd wordt. Naar alle waarschijnlijkheid wordt het shell32.dll bestand gepatcht omdat daar de vulnerability in zit.

De workarounds (Microsoft's Fix-it en de tools van Sophos, G Data en SurfRight) werken allemaal met een afwijkende Icon Handler. Ik denk niet dat Microsoft z'n patch blokkeert omdat er een afwijkende Icon Handler geïnstalleerd is. Microsoft's eigen Fix-it gebruikers zouden immers hierdoor de patch niet krijgen.

De Hitman Pro LNK Exploit Protection wordt automatisch uitgeschakeld wanneer Microsoft's patch is aangebracht.

Meer informatie over de interne werking van Hitman Pro LNK Exploit Protection is hier te lezen:
http://hitmanpro.wordpress.com
31-07-2010, 12:18 door [Account Verwijderd]
[Verwijderd]
31-07-2010, 13:18 door Spiff has left the building
Dank je, Peter.
Ik had in deze thread vandaag om 00.00 uur al naar jouw bericht verwezen, in verband met mijn vraag aan Erik Loman.

In je geupdate bericht zie ik dat naast de eerdere informatie van SANS nu ook The Microsoft Security Response Center op de TechNet Blogs de patch voor aankomende maandag aankondigt:
Out of Band Release to address Microsoft Security Advisory 2286198
http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx

Nogmaals dank, Peter.
01-08-2010, 11:10 door Zipper306
Zolang Hitman Prul, nog steeds informatie naar buiten stuurt, vertrouw ik dit programma, nog minder dan google.
01-08-2010, 11:12 door Spiff has left the building
Aan de anoniemen die negatieve ratings uitdelen,
Het zou leuk zijn wanneer jullie niet alleen ratings zouden uitdelen, maar ook zouden reageren met een bijdrage om jullie mening te geven, zodat we weten waaróm jullie vinden dat bepaalde berichten een negatieve rating verdienen.
Bedankt.
02-08-2010, 19:38 door Spiff has left the building
Opvallend:

Na het binnenhalen en installeren van Windows Update KB2286198 heb ik gekeken hoe Hitman Pro reageert wanneer de optie "Bescherming tegen LNK beveiligingslek (kb 2286198)" wordt uitgevinkt.
Hitman Pro geeft nu opnieuw aan: "Uw computer is kwetsbaar voor aanvallen die een beveiligingslek in Windows Shell misbruiken."
Een reboot verandert daar niets aan.
Da's merkwaardig.

Herkent Hitman Pro 3.5.6.108 de patch door de Microsoft update nog niet?
Of fixt de Microsoft update iets niet dat wél gefixt werd door de oplossing van Hitman Pro, en waarschuwt het programma daarom nog steeds?
Of deugt de Microsoft update mogelijk niet?
02-08-2010, 19:56 door Erik Loman
Zoals gemeld is nu pas de informatie bekend hoe de patch van Microsoft te herkennen is. We zijn nu bezig met een update van Hitman Pro om de patch te detecteren waardoor de melding niet meer verschijnt. In geen geval loopt de computer gevaar want zowel LNK Exploit Protection als de zojuist verschenen patch van Microsoft beveiligd tegen de exploit.
02-08-2010, 20:02 door Spiff has left the building
Hartelijk dank voor je reactie, Erik Loman.
Duidelijk.
03-08-2010, 18:51 door Erik Loman
Hitman Pro build 109 is zojuist online. De release notes:

* Added universal detection of the LNK vulnerability.
* Added automatic disabling of the Hitman Pro LNK Exploit Protection when Windows is no longer vulnerable for attacks abusing the LNK vulnerability. Ex. when Security Update KB2286198 (MS10-046) is installed.
Note: Since Microsoft no longer supports Windows 2000 and Windows XP RTM, SP1 and SP2, the Hitman Pro LNK Exploit Protection remains available for these operating systems.

Hitman Pro gebruikers worden automatisch bijgewerkt naar de nieuwste versie.
03-08-2010, 19:05 door Spiff has left the building
Ik had een uurtje of wat geleden de update naar de nieuwe build al gezien.
Netjes.
Dankjewel, Erik.
04-08-2010, 09:08 door Anoniem
Hitman Pro is brol
04-08-2010, 10:27 door Spiff has left the building
Door Anoniem: Hitman Pro is brol
Net zo gemakkelijk kan ik zonder enige onderbouwing zeggen "Anoniem is brol".
Dat is net zomin interessant als wat jij roept.

Zomaar dom wat roepen is erg gemakkelijk.
Met onderbouwing waarom je iets vindt wordt een reactie een stuk interessanter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.