image

Microsoft al maanden bekend met omvangrijk Windows-lek

maandag 23 augustus 2010, 15:02 door Redactie, 22 reacties

Een omvangrijk beveiligingslek dat honderden Windows applicaties treft, is al maanden bekend bij Microsoft. Vorige week werd er eerst gewaarschuwd voor een nieuw lek in zo'n veertig applicaties, waaronder de Windows shell. Een aanvaller zou een legitieme applicaties kwaadaardige bestanden kunnen laden. Het bedrijf dat beweert het lek gevonden te hebben, noemt het "remote binary planting". Een dag later werd bekend dat het probleem in bijna alle Windows applicaties zit. Het is echter de vraag of het om een geheel nieuwe kwetsbaarheid gaat.

Volgens beveiligingsonderzoeker H.D. Moore is het probleem mogelijk al tien jaar geleden gerapporteerd. Hij wijst naar deze melding, die een 'Microsoft Windows DLL Search Path Weakness' beschrijft.

Rapport
Dit weekend liet een andere onderzoeker weten dat hij al maanden geleden de kwetsbaarheid aan Microsoft heeft gerapporteerd. In januari publiceerden Taeho Kwon en Zhendong Su van de Universiteit van Californië het rapport "Automatic Detection of Vulnerable Dynamic Component Loadings." Het tweetal omschrijft een manier voor het laden van 1.700 onveilige DLL-bestanden in 28 populaire programma's.

Microsoft
"Microsoft heeft een Microsoft Security Response Center (MSRC) zaak over onze gerapporteerde problemen geopend en werkt met ons samen om de vereiste patches te ontwikkelen", zo is in het rapport te lezen. In totaal vonden de onderzoekers 19 lekken die eenvoudig op afstand zijn te misbruiken voor het uitvoeren van willekeurige code. Het gaat onder andere om Firefox, Winamp, Office en andere bekende programma's. In veel gevallen zijn de geteste versies al geruime tijd door een nieuwere versie vervangen. Het is echter onbekend of hier ook de "resolution failure" en "resolution hijacking" problemen bij behoren. Het rapport van Kwon en Su werd tijdens het 'International Symposium on Software Testing and Analysis' (ISSTA) in juli gepresenteerd.

"Ons onderzoek toont dat het onveilig laden van DLL-bestanden veel voorkomt en tot ernstige dreigingen kan leiden. Onze tool detecteerde meer dan 1.700 onveilige DLL loadings in populaire software van de meeste leveranciers. Het ontdekte ook potentiële remote code execution aanvallen die het onveilig laden van DLL's misbruiken", aldus de onderzoekers.

Reacties (22)
23-08-2010, 15:20 door Anoniem
Met "Process Monitor" van Microsoft Sysinternals kun je eenvoudig vaststellen of een process .DLL bestanden eerst probeerd te openen in de folder waar vandaan de aplicatie gestart is.

Greetingz,
Jacco
23-08-2010, 15:22 door Anoniem
Microsoft heeft alles onder controle
23-08-2010, 15:51 door ej__
Goed he, het bedrijf dat zo snel patcht. 10 jaar geleden gemeld. Closed source is zoooooo veilig. Veel veiliger dan Open source.
23-08-2010, 16:02 door Anoniem
Ja de Windows fan-boys zijn stil he. Ben ik toch blij helemaal overgestapt te zijn op opens-source, kost niks en werkt in negen van de 10 gevallen gewoon zoals het hoort. Plus geen shit reclame die closed source programma´s je mee lastig vallen. Als je gratis progje installeer in Windows word je 9 van de tien keer kapot gespamt.
Lang leve de open-source!!!!
23-08-2010, 16:10 door Eerde
Volgens Jeff Jones is het een leugen, die patch was er al na enkele dagen en het hele lek was toch al de schuld van open source ;)
23-08-2010, 16:40 door SirDice
Door ej__: Goed he, het bedrijf dat zo snel patcht. 10 jaar geleden gemeld.
Iets waar men 10 jaar terug al op de hoogte was dat het niet zo makkelijk te patchen is. Er is vrij veel third party software die gebruik maakt van deze "feature". Stel Microsoft patcht het, vervolgens breekt het tientallen zoniet honderden applicaties en wie denk je dat daarvan de schuld krijgt? Hint: het is niet die brakke software die leunt op deze 'feature'.
23-08-2010, 16:42 door SirDice
Door Anoniem: Als je gratis progje installeer in Windows word je 9 van de tien keer kapot gespamt.
En dat is natuurlijk de schuld van Microsoft?
23-08-2010, 16:45 door SirDice
Door Anoniem: Met "Process Monitor" van Microsoft Sysinternals kun je eenvoudig vaststellen of een process .DLL bestanden eerst probeerd te openen in de folder waar vandaan de aplicatie gestart is.

Greetingz,
Jacco
Ondanks de spelfouten is dit tenminste een post waar je wat aan hebt.
23-08-2010, 17:20 door Anoniem
Wat ik grappig vind aan anti-Windows mensen vind is dat ze over gaan op Linux (o.d.) en zichzelf daarmee een handicap geven.

Te grappig
23-08-2010, 20:14 door cyberpunk
Door Anoniem: Als je gratis progje installeer in Windows word je 9 van de tien keer kapot gespamt.
Lang leve de open-source!!!!

Ofwel is dit pure flame bait, ofwel heb jij nog nooit freeware geïnstalleerd onder Windows. Buiten Windows XP (OEM), Nero (OEM) en Forté Agent is er op mijn PC enkel freeware (ook open source) te vinden. Programma's als avast! en Online Armor vragen idd om een e-mailadres, maar van avast! heb ik nog nooit spam ontvangen. Online Armor stuurt je 1 (één) mail bij registratie en als (ALS) er al een tweede volgt, dan kan je je makkelijk uitschrijven.

Wat jij dus beweert is onzin. Ik heb een gratis cjb.net domain en gebruik unieke adressen als me ergens registreer (bijv. security.nl@[domain].cjb.net). Dus als ik spam ontvang, dan weet ik dadelijk van welk domein het komt. Groot nieuws voor jou: ik ontvang géén spam van de freeware die ik gebruik.
23-08-2010, 20:29 door Anoniem
Door Anoniem: Ja de Windows fan-boys zijn stil he. Ben ik toch blij helemaal overgestapt te zijn op opens-source, kost niks en werkt in negen van de 10 gevallen gewoon zoals het hoort. Plus geen shit reclame die closed source programma´s je mee lastig vallen. Als je gratis progje installeer in Windows word je 9 van de tien keer kapot gespamt.
Lang leve de open-source!!!!

Nee hoor, de Windows-fanboys zijn blij dat het product Windows zo goed bekeken wordt door zoveel mensen, dat er zoveel bug/security-issue's naar boven komen. Hoe meer men over het product weet, hoe veiliger het uiteindelijk wordt. Verder denk ik dat je lekker de confrontatie probeert op te zoeken en dat je met je puberale geleuter als een echte dombo overkomt. Ik ben ook erg blij dat je helemaal bent overgestapt op open source, maar ik snap niet wat je met je "post" (als ik het al zo mag noemen) probeert te bereiken.
23-08-2010, 20:45 door [Account Verwijderd]
[Verwijderd]
23-08-2010, 20:49 door cyberpunk
Door D3nn3: @cyberpunk:

Ik denk dat hij het vooral had over de reclame die in de software zelf zit ingebakken, i.p.v e-mails e.d.

Voor avast! is dat (sinds 5.x, denk ik) wel het geval, maar dat gebeurt enkel als ik de avast user interface open. Dan krijg je onderaan wat reclame. Voor de andere freeware die ik gebruik is dat (voor zo ver ik me kan herinneren) niet het geval. Dus wat mij betreft blijft die stelling onzin. :-)
23-08-2010, 21:13 door ej__
Door SirDice:
Door ej__: Goed he, het bedrijf dat zo snel patcht. 10 jaar geleden gemeld.
Iets waar men 10 jaar terug al op de hoogte was dat het niet zo makkelijk te patchen is. Er is vrij veel third party software die gebruik maakt van deze "feature". Stel Microsoft patcht het, vervolgens breekt het tientallen zoniet honderden applicaties en wie denk je dat daarvan de schuld krijgt? Hint: het is niet die brakke software die leunt op deze 'feature'.

Niet zo makkelijk te patchen. Lame excuse. Veiligheidsrisico? Patchen. Niet zeuren.
24-08-2010, 08:38 door Anoniem
Door ej__:
Door SirDice:
Door ej__: Goed he, het bedrijf dat zo snel patcht. 10 jaar geleden gemeld.
Iets waar men 10 jaar terug al op de hoogte was dat het niet zo makkelijk te patchen is. Er is vrij veel third party software die gebruik maakt van deze "feature". Stel Microsoft patcht het, vervolgens breekt het tientallen zoniet honderden applicaties en wie denk je dat daarvan de schuld krijgt? Hint: het is niet die brakke software die leunt op deze 'feature'.

Niet zo makkelijk te patchen. Lame excuse. Veiligheidsrisico? Patchen. Niet zeuren.

ej__, betaal jij dan de schadeclaims van alle bedrijven met productieuitval? Vergeet niet dat MS toch op heel veel plaatsen is geinstalleerd en dat bedrijven zonder computers tegenwoordig weinig meer kunnen.

Het probleem moet worden gepatched, ja, maar ik denk dat dan veel software leveranciers ook aan de gang moeten, om te zorgen dat hun apps het daarna ook nog doen. Als ik dan kijk hoe lang het duurt, voor softwarebedrijven een aanpassing hebben, dan is dat in een aantal gevallen bedroevend...
24-08-2010, 09:21 door Anoniem
voor mensen die in een tijdelijke oplossing geïnteresseerd zijn, zie het laatste stukje van dit artikel:
http://www.theregister.co.uk/2010/08/24/binary_planting_attack_advisory/
24-08-2010, 09:26 door Anoniem
Door Anoniem: Wat ik grappig vind aan anti-Windows mensen vind is dat ze over gaan op Linux (o.d.) en zichzelf daarmee een handicap geven.

Te grappig

Lang leve Wine.... werkt de meeste windows progjes zelfs op linux...
24-08-2010, 10:16 door Anoniem
Door ej__: Goed he, het bedrijf dat zo snel patcht. 10 jaar geleden gemeld. Closed source is zoooooo veilig. Veel veiliger dan Open source.

Ach, ik kan me nog iets herinneren van een lek in OpenSSL wat ook een jaar of wat geduurd heeft eer men dat serieus wilde nemen. Dus, in de praktijk maakt het niet zo veel uit welk OS je draait.
Bovendien zal er vast een risico analyse aan ten grondslag liggen, als het exploit risico laag ligt en de kosten om te patchen hoog dan neem je als bedrijf dat risico.
Veel mensen snappen dat niet en denken dat er een ideale wereld bestaat, maar helaas die bestaat niet. Ook binnen OSS wordt niet altijd alles gepatcht, dat is soms helemaal niet nodig.
24-08-2010, 18:48 door ej__
Door Anoniem:
Door ej__:
Door SirDice:
Door ej__: Goed he, het bedrijf dat zo snel patcht. 10 jaar geleden gemeld.
Iets waar men 10 jaar terug al op de hoogte was dat het niet zo makkelijk te patchen is. Er is vrij veel third party software die gebruik maakt van deze "feature". Stel Microsoft patcht het, vervolgens breekt het tientallen zoniet honderden applicaties en wie denk je dat daarvan de schuld krijgt? Hint: het is niet die brakke software die leunt op deze 'feature'.

Niet zo makkelijk te patchen. Lame excuse. Veiligheidsrisico? Patchen. Niet zeuren.

ej__, betaal jij dan de schadeclaims van alle bedrijven met productieuitval? Vergeet niet dat MS toch op heel veel plaatsen is geinstalleerd en dat bedrijven zonder computers tegenwoordig weinig meer kunnen.

Het probleem moet worden gepatched, ja, maar ik denk dat dan veel software leveranciers ook aan de gang moeten, om te zorgen dat hun apps het daarna ook nog doen. Als ik dan kijk hoe lang het duurt, voor softwarebedrijven een aanpassing hebben, dan is dat in een aantal gevallen bedroevend...


Wat is er mis met productaansprakelijkheid? Waarom zou _ik_ dat moeten betalen? Microsoft laat de steek vallen, niet ik. Het is van den gekke dat die elke aansprakelijkheid denkt te kunnen afwijzen.
24-08-2010, 19:36 door soeperees
Wat ik grappig vind aan anti-Windows mensen vind is dat ze over gaan op Linux (o.d.) en zichzelf daarmee een handicap geven.

Te grappig

Ik denk dat veel mensen hier niet anti-windows zijn, maar anti-proprietary (lees restricted) software. De keuze voor een vrij systeem als Linux ligt dan voor de hand. De enige reden die ik kan bedenken dat je dat een "handicap" noemt, is dat je zelf nog nooit met iets anders dan Windows heb gewerkt.

Dat de dingen anders gaan dan je gewend bent als je overstapt op een ander OS, betekent niet dat het minder goed gaat. Na jaren lang Windows te hebben gebruikt en dik twee jaar OSX ervaar ik Linux juist als een bevrijding van een handicap.

Het enige wat minder goed gaat op Linux is het spelen van de nieuwste games. Dat ligt echter niet aan het OS, maar aan de makers van de games.

Met andere woorden, jouw stelling is van geen enkele waarde en komt op mij in elk geval ontzettend dom over.
25-08-2010, 12:16 door SirDice
Door ej__: Wat is er mis met productaansprakelijkheid? Waarom zou _ik_ dat moeten betalen? Microsoft laat de steek vallen, niet ik. Het is van den gekke dat die elke aansprakelijkheid denkt te kunnen afwijzen.
Laten we het eens omdraaien. Stel dat er een wet komt die de producent van een stuk software aansprakelijk stelt voor eventuele fouten die ontstaan door het gebruik van die software of voor fouten in de software zelf. Dan zou je MS dus aansprakelijk kunnen stellen en eventueel een poot uit draaien (dat is waar je naar toe wilt volgens mij). Maar wat denk jij dat er en passant met OSS gebeurd? Daar gaat nooit iets fout? Na de eerste de beste rechtszaak kan heel linux en de rest van de OSS gemeenschap wel inpakken. Diezelfde wet maakt ze namelijk net zo aansprakelijk als wat jij voor ogen hebt met MS.

Ja, ik hoor het al, maar Linux/OSS is gratis en Windows niet en daar kun je onderscheid in maken qua wetgeving. Inderdaad, dat kan. Wat dan ook kan is dat MS vervolgens Windows helemaal gratis maakt om zo die aansprakelijkheid te ontlopen. Ook niet wat je wilt lijkt me.
25-08-2010, 18:25 door ej__
Dat is wel een reeele gedachte, aansprakelijk stellen voor schade. Waarom is dat bij hardware zoals auto's (en dus ook de embedded software) wel zo en niet zo bij software? Als er door een fout in de software van een auto, neem een remsysteem of gaspedaal van laten we zeggen een hybride van een bekende japanse autofabrikant, dan volgt daar een schadeclaim uit.

Niet de zaak omdraaien en het probleem dan bij OSS neerleggen. Dat is niet waar het hoort. En als Microsoft het businessmodel zodanig verandert dat zij hun software gratis leveren, dan gaan ze onder dezelfde voorwaarden als OSS vallen. Eerder niet.

Microsoft gaat zeer ernstig de fout in en laat een ander er voor opdraaien. Dat is toch de omgekeerde wereld en doet geen recht aan rechtvaardigheidsgevoelens...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.