Nieuws
image

Slechte beveiliging Windows Update schokt experts

zondag 10 juni 2012, 09:12 door Redactie, 10 reacties

Experts hebben geschrokken gereageerd dat Microsoft voor Windows Update geen aparte certificaten gebruikte, waardoor het Flame-virus zich uiteindelijk wist te verspreiden. De aanvallers achter het geavanceerde spionagevirus wisten via de Terminal Server Licensing Service en een collission-aanval een certificaat te genereren waardoor het Flame-virus van Microsoft afkomstig leek.

De aanvallers konden zo binnen een netwerk het Flame-virus verspreiden door het als een update voor Windows Update aan te bieden. Windows Update installeert alleen software met een geldig Microsoft-certificaat, waar Flame over beschikte.

"Windows Update had een geheel andere certificaat stream dan de rest moeten gebruiken", zegt Andrew Storms van beveiligingsbedrijf nCircle. "Het is gewoon veel te belangrijk om met een andere certificaatketen verbonden te zijn. Voor alles wat Microsoft heeft gedaan om de beveiliging te verbeteren, ben ik behoorlijk verrast dat ze dit niet als aanvalsvector hebben beschouwd."

Update
Microsoft kondigde aan dat het aanpassingen aan Windows Update gaat doorvoeren om herhaling te voorkomen, maar volgens Storms is dat niet voldoende. "Het Windows Update team moet in meer detail uitleggen wat ze gaan doen om het probleem op te lossen. Tot dan denk ik dat veel mensen wel twee keer zullen nadenken over de veiligheid van Windows Update."

Experts zijn wel te spreken over het snelle handelen van Microsoft met het uitbrengen van de noodpatch die het door Flame gebruikte certificaat intrekt. "Je kunt goed zien aan wat Microsoft heeft gedaan dat ze dat dit zeer belangrijk vinden", zegt Wolfgang Kandek van Qualys. "Ze hebben de patch op zondag uitgebracht, ook al is patchdinsdag amper een week verwijderd."

Reacties (10)
10-06-2012, 09:42 door Anoniem
Volgens mij zit het echte probleem niet zozeer die "certificate stream", maar meer in het feit dat er MD5-hashes werden gebruikt/toegestaan.
Ik ga ervan uit dat ze met zo'n "certificate stream" doelen op de lijnen waarin CA's elkaar vertrouwen. Daarin kan natuurlijk nog een extra risico zitten voor zo'n geval waar één van de CA's niet te vertrouwen blijkt te zijn (denk aan DigiNotar).
Maar zolang je een onveilige hash-methode blijft gebruiken, is dat volgens mij verreweg het grootste risico...
10-06-2012, 10:21 door Whoops
Door Redactie: "Voor alles wat Microsoft heeft gedaan om de beveiliging te verbeteren, ben ik behoorlijk verrast dat ze dit niet als aanvalsvector hebben beschouwd."
Zolang kwaadwillenden het ook niet als aanvalsvector beschouwen, is er feitelijk geen probleem.
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
10-06-2012, 15:24 door Anoniem
Raar dat die 'geschokte experts' nooit eerder iets over gezegd hebben.
Niveautje 'zie je wel'.
10-06-2012, 16:19 door Anoniem
Door Whoops:
Door Redactie: "Voor alles wat Microsoft heeft gedaan om de beveiliging te verbeteren, ben ik behoorlijk verrast dat ze dit niet als aanvalsvector hebben beschouwd."
Zolang kwaadwillenden het ook niet als aanvalsvector beschouwen, is er feitelijk geen probleem.
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
Slecht argument, als niemand een probleem ziet, is er geen probleem?
Als niemand mij ziet, ben ik er niet?
Vreemde redenering...
10-06-2012, 22:18 door Whoops
Door Anoniem:
Door Whoops:
Door Redactie: "Voor alles wat Microsoft heeft gedaan om de beveiliging te verbeteren, ben ik behoorlijk verrast dat ze dit niet als aanvalsvector hebben beschouwd."
Zolang kwaadwillenden het ook niet als aanvalsvector beschouwen, is er feitelijk geen probleem.
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
Slecht argument, als niemand een probleem ziet, is er geen probleem?
Neem het recente PHP CGI lek. Bleef ruim 7 jaar onopgemerkt.
Gedurende die 7 jaar is het, praktisch gezien, geen probleem geweest.
Lekken zijn pas een probleem als deze worden gevonden.

Zie bijvoorbeeld het lijste van SirDice:
Door SirDice:
Vijf jaar oude bug:
http://www.theregister.co.uk/2010/08/19/linux_vulnerability_fix/

6 jaar oude bug:
http://www.networkworld.com/community/blog/linux-finally-fixes-six-year-old-critical-bug
13 jaar oude bug:
http://it.slashdot.org/story/11/06/20/2257229/13-year-old-password-security-bug-fixed
14 jaar oude bug:
http://phoronix.com/forums/showthread.php?26128-Linux-2-6-36-rc5-Kernel-Released-Fixes-14-Year-Old-Bug
25 jaar oude bug:
http://www.osnews.com/story/19731/The-25-Year-Old-UNIX-Bug
11-06-2012, 01:04 door Anoniem
eperts van lik me kont.
ik opa van 60 jaar had je dit ook wel kunnen vertellen en dan heb ik geen verstand van software schrijven
de groeten uit r-dam wat een sukkels.ms exp...
11-06-2012, 09:59 door Anoniem
Door Whoops:
Door Anoniem:
Door Whoops:
Door Redactie: "Voor alles wat Microsoft heeft gedaan om de beveiliging te verbeteren, ben ik behoorlijk verrast dat ze dit niet als aanvalsvector hebben beschouwd."
Neem het recente PHP CGI lek. Bleef ruim 7 jaar onopgemerkt.
Gedurende die 7 jaar is het, praktisch gezien, geen probleem geweest.
Lekken zijn pas een probleem als deze worden gevonden.
Je veronderstelt dat je medemens van nature een goede inborst heeft.
Als er een lek is, is het een kwestie van tijd eer die gevonden wordt. En wanneer die gevonden wordt is het nog de vraag of het lek aan de grote klok wordt gehangen.
Het is niet omdat het PHP-lek al 7 jaar bestaat dat het effectief 7 jaar onopgemerkt is gebleven. Als een onethisch persoon of organisatie een lek vindt en beslist het te misbruiken of te verkopen ipv het lek te melden kan het lang duren eer dit "opgemerkt" wordt.
"Onopgemerkte" lekken worden voor grof geld verkocht en worden pas ingezet als er een grote slag geslaan kan worden.
Ik geloof dat het certificate issue van Windows Update al een tijdje 'bekend' geweest was, men heeft gewoon eerst een stevig plan uitgedokterd om hier optimaal gebruik van te maken en is met Flame op de proppen gekomen.

Hoe wordt een lek "opgemerkt"? Ofwel wordt het lek gemeld, ofwel wordt het misbruik ervan ontdekt, en dan nog moet het gemeld worden.
Had de hash dump van LinkedIn niet op Pastebin gestaan was ook dat lek nog even "onopgemerkt" gebleven.
11-06-2012, 10:19 door Ed Dekker
Door Whoops:
Door Anoniem:
Door Whoops:
Door Redactie: "Voor alles wat Microsoft heeft gedaan om de beveiliging te verbeteren, ben ik behoorlijk verrast dat ze dit niet als aanvalsvector hebben beschouwd."
Zolang kwaadwillenden het ook niet als aanvalsvector beschouwen, is er feitelijk geen probleem.
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
Slecht argument, als niemand een probleem ziet, is er geen probleem?
Neem het recente PHP CGI lek. Bleef ruim 7 jaar onopgemerkt.
Gedurende die 7 jaar is het, praktisch gezien, geen probleem geweest.
Definitie-dingetje.
De fout bestond wel.
Het effect werd niet ervaren.
Noem je nu de fout of het effect 'het probleem'?
11-06-2012, 16:56 door Whoops
Door Ed Dekker:
Door Whoops:
Door Anoniem:
Door Whoops:
Door Redactie: "Voor alles wat Microsoft heeft gedaan om de beveiliging te verbeteren, ben ik behoorlijk verrast dat ze dit niet als aanvalsvector hebben beschouwd."
Zolang kwaadwillenden het ook niet als aanvalsvector beschouwen, is er feitelijk geen probleem.
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
Slecht argument, als niemand een probleem ziet, is er geen probleem?
Neem het recente PHP CGI lek. Bleef ruim 7 jaar onopgemerkt.
Gedurende die 7 jaar is het, praktisch gezien, geen probleem geweest.
Definitie-dingetje.
De fout bestond wel.
Het effect werd niet ervaren.
Noem je nu de fout of het effect 'het probleem'?
Yeps, een definitie-dingetje.
Ik bedoel met "probleem" het moment dat kwaadwillenden een lek vinden en/of misbruiken.
Zolang niemand een lek heeft opgemerkt, kan niemand het lek misbruiken en heeft niemand nadelige gevolgen.
Kortom, zolang niemand een lek heeft opgemerkt, is het lek praktisch gezien geen probleem.
13-06-2012, 10:29 door Atropos
Mooie redenering maar is het niet de zaak van de leverancier (MS of wie dan ook) om een degelijk product(software of wat dan ook) te leveren?

Je hebt ook niks aan een tv/gsm of wat dan ook als die na een tijdje door een fabrieksfout niet meer werkt?

Nu kun je natuurlijk redeneren dan je niet ELKE fout kunt ontdekken in software, maar laten we wel wezen, MS heeft niet de naam de klanten (het "gewone volk") als een waardig personen te beschouwen.
Bedrijven en wat grotere bedrijven helemaal, zorgen voor de correcties bij MS, niet jan of piet die leuk met de pc proberen te werken.

En het feit dat er wat experts zijn die af en toe een steentje bijdragen om de kwaadwillenden wat tegen te gaan, zegt meer over het feit het product niet echt goed getest is, EN dus fouten heeft, en zal blijven hebben.

Ik ben niet anti MS, mijn inkomen hangt af van het feit dat ze fouten blijven maken en geen goed uitleg aan de gebruiker geven, maar als de OS een auto was, was deze al lang niet meer op de weg te zien geweest.
Laten we daarover elkaar als volwassen professionals elkaar wel eerlijk in de ogen kijken.

Gegroet,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure