Microsoft "bestraft" wegens oude lekken
Microsoft, HP en IBM zijn allemaal "bestraft" omdat ze beveiligingslekken te lang hebben laten zitten. Vorig jaar kondigde beveiligingsbedrijf TippingPoint aan dat het leveranciers wil aansporen om kwetsbaarheden eerder op te lossen. Het bedrijf koopt via het Zero Day Initiative beveiligingslekken van onderzoekers en hackers, rapporteert die vervolgens aan de betreffende leverancier en verwerkt een update in de eigen producten, zodat klanten eerder beschermd zijn dan de rest van de populatie.
Ondanks te zijn gewaarschuwd laten veel leveranciers de lekken gewoon zitten. Om daar verandering in te brengen hanteert TippingPoint sinds vorig jaar een deadline van zes maanden, waarna het details over de kwetsbaarheid vrijgeeft. In het geval van Microsoft gaat het om vijf lekken in Office 2003 en Office 2007, waardoor een aanvaller kwetsbare systemen kan overnemen. Hiervoor moet het slachtoffer wel een kwaadaardig bestand of website openen.
De lekken ware rond juli vorig jaar aan Microsoft gerapporteerd. Aangezien de softwaregigant de 'patch-deadline' niet haalde, is TippingPoint tot publicatie overgegaan. In het geval van IBM gaat het om negen geopenbaarde lekken, terwijl HP vier kwetsbaarheden te verwerken kreeg.
En de niet Microsoft vulns zijn vaak een stuk ouder (veel meer dan 180 dagen), authentication is niet altijd nodig en sommigen geven SYSTEM access, en exploits zijn zo te zien niet erg lastig te maken, voorbeelden:
ZDI-11-059: CA ETrust Secure Content Manager Common Services Transport Remote Code Execution Vulnerability
Authentication is not required to exploit this vulnerability.
The specific flaw exists in the eTrust Common Services Transport (ECSQdmn.exe) running on port 1882. When making a request to this service a user supplied DWORD value is used in a memory copy operation. Due to the lack of bounds checking an integer can be improperly calculated leading to a heap overflow. If successfully exploited this vulnerability will result in a remote system compromise with SYSTEM credentials.
2008-05-23 - Vulnerability reported to vendor
ZDI-11-045: IBM Lotus Domino IMAP/POP3 Non-Printable Character Expansion Remote Code Execution Vulnerability
Authentication is not required to exploit this vulnerability.
The specific flaw exists within the POP3 and IMAP services while processing malformed e-mails. The vulnerable code expands specific non-printable characters within a "mail from" command without allocating adequate space. By providing enough of these characters, memory can be corrupted leading to arbitrary code execution under the context of the SYSTEM user.
2008-08-26 - Vulnerability reported to vendor
ZDI-11-057: Hewlett-Packard Data Protector Cell Manager Service Authentication Bypass Vulnerability
User interaction is not required to exploit this vulnerability.
The specific flaw exists within the Cell Manager Service which listens by default on a random TCP port. The crs.exe process fails to properly validate supplied username, domain, and hostname credentials. A remote attacker can leverage this flaw to execute code on all Data Protector clients.
2009-01-26 - Vulnerability reported to vendor
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
