Microsoft noodpatch voor ernstig Windows-lek *update*
Microsoft zal vandaag een noodpatch voor een ernstig lek in Windows uitbrengen, waardoor aanvallers hun rechten op het systeem kunnen verhogen. De kwetsbaarheid werd gisteren al door Microsoft gerapporteerd in een advisory. Het lek bevindt zich in het Microsoft .NET Framework en laat aanvallers op eenvoudige wijze webservers platleggen. De softwaregigant gaf in de advisory een tijdelijke oplossing en liet weten dat het de noodzaak voor een noodpatch zou onderzoeken.
Gisterenavond werd besloten dat dit vanwege de ernst van de kwetsbaarheid toch nodig was. Het lek bevindt zich in alle ondersteunde Windows-versie en laat een aanvaller ook zijn rechten verhogen. In eerste instantie stelde Microsoft nog vast dat een aanvaller alleen een denial of service kon veroorzaken.
Niet alleen is dit de eerste noodpatch van Microsoft dit jaar, het zal ook de honderdste beveiligingsupdate zijn die de softwaregigant uitbrengt. Tijdens de patchcyclus van december zou het dit aantal al hebben bereikt, ware het niet dat een update voor een SSL-probleem wegens kwaliteitsredenen werd teruggetrokken. De update wordt vanaf vanavond aangeboden.
Update 14:47
Er lijkt enige verwarring te zijn of de vanavond aangekondigde update voor het ASP-lek is. Via Twitter meldt Microsoft dat er een "out-of-band security update" voor Security Advisory 2659883 komt. Dat is deze advisory, die voor ASP.NET lek waarschuwt. De out-of-band patch is voor een ernstig-lek waardoor een aanvaller zijn rechten kan verhogen, terwijl het ASP-lek een Denial of Service conditie betreft.
Als dat zo is dan is http://www.security.nl/artikel/39608/1/Microsoft_onderzoekt_Windows_7_Safari-lek_%28video%29.html waarschijnlijk de aanleiding. Vaak zit zo'n kwetsbaarheid dieper dan je in eerste instantie verwacht en kan het op meerdere manieren worden getriggered. Via Safari wellicht alleen een BSOD, maar onderzoek kan hebben uitgewezen dat op andere wijze onbedoelde code execution (met systeemrechten) mogelijk is.
Het derde comment van Alex onderaan http://isc.sans.edu/diary/New+Vulnerability+in+Windows+7+64+bit/12238 verwijst naar https://bugzilla.mozilla.org/show_bug.cgi?id=320430, een in 2005 al gesignaleerde BSOD, deze zou hier ook mee te maken kunnen hebben.
Er is echter wel meer aan de hand dan "slechts" een DoS kwetsbaarheid in ASP .NET: http://technet.microsoft.com/en-us/security/bulletin/ms11-100 repareert in totaal vier verschillende kwetsbaarheden in .NET. Wel lijkt het in alle gevallen om patches te gaan die t/m critical zijn voor webservers (voor zover ik zie is er geen noodzaak om PC's -die geen IIS met ASP.NET draaien- versneld te patchen).
Bij CVE-2011-3414 gaat het om de al eerder benoemde Denial of Service kwetsbaarheid in hashtables in de .NET bibliotheken waardoor met name ASP .NET websites kwetsbaar zijn.
Bij CVE-2011-3415 betreft een potentieel phishing probleem in ASP.NET: "return-URL's" worden (onvoldoende) gevalideerd. Return-URL's worden gebruikt als je direct een webpagina opent waarvoor je eerst op de betreffende website moet inloggen. De website stuurt je dan naar de logon pagina maar stuurt tevens de URL waar je eigenlijk naar toe wil mee (zodat de webbrowser deze onthoudt). Kennelijk kan een aanvaller bijv. in een phishing mail een zodanige URL construeren dat je naar de login pagina van een legitieme site (bijv. van je bank) wordt gestuurd, en direct na inloggen naar een website naar keuze van de aanvaller. Als ik het goed begrijp is ook dit een server-only kwetsbaarheid, maar helemaal zeker weten doe ik dat niet.
Zowel CVE-2011-3416 als CVE-2011-3417 betreffen kwetsbaarheden in ASP.NET waardoor een aanvaller volledige toegang kan krijgen tot een bestaand web account (bijv. webmail) van een ander.
Ik vind de term "elevation of privilege" onjuist in deze context. Microsoft gebruikt deze term kennelijk omdat een aanvaller zelf een account op de betreffende ASP .NET site aan moet maken (of al hebben) om een ander account over te kunnen nemen, maar in de praktijk is dat een stuk simpeler dan een account op een systeem of in een domein aanmaken.
Affijn ik ga verder lezen om beter te snappen wat er aan de hand is.
Wijziging 2011-12-30 00:21 - diverse aanvullingen/correcties.
http://blog.eeye.com/vulnerability-management/hashdos
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
