Microsoft waarschuwt voor nieuw lek in Windows XP
Microsoft waarschuwt gebruikers van Windows XP en Windows Server 2003 voor een nieuw beveiligingslek dat aanvallers actief gebruiken om hun rechten op aangevallen systemen te verhogen. De kwetsbaarheid wordt in combinatie met een lek in een ander, niet nader genoemd programma gebruikt.
Wel laat Microsoft weten dat het om gerichte aanvallen gaat waarbij slachtoffers een kwaadaardig PDF-bestand openen. Het PDF-bestand maakt misbruik van een kwetsbaarheid in de PDF-lezer om willekeurige code op de computer uit te voeren. Via de kwetsbaarheid in XP en Server 2003 kan een aanvaller code met de rechten van de kernel uitvoeren, in plaats van de rechten waarmee de gebruiker is ingelogd.
Oplossing
De kwetsbaarheid bevindt zich in een onderdeel van de Windowskernel genaamd NDPROXY, dat invoer niet goed valideert. NDProxy.sys is een systeemdriver die communicatie met de Telephony Application Programming Interfaces (TAPI) services verzorgt. Voor omgevingen waar gebruikers verminderde rechten hebben adviseert Microsoft als tijdelijke oplossing om NDProxy.sys te verwijderen en naar Null.sys om te leiden. Windows Vista en nieuwere Windowsversies zijn niet kwetsbaar.
Update
Beveiligingsbedrijf FireEye laat weten dat de nu ontdekte aanval het op Adobe Reader 9.5.4, 10.1.6, 11.0.02 en eerder heeft voorzien. Dit zijn echter oudere versies. Gebruikers die de meest recente versie van Adobe Reader gebruiken zouden dan ook geen risico lopen.
Reacties (16)
XP is toch al dood, gecremeerd en de as begraven???
Hoe kan dit dan nog nieuws zijn...
En Windows 2003, klinkt mij als 10 jaar oude software...
Misschien moet Microsoft eens kijken naar een makkelijkere manier van updaten, liefst met 'iets' minder ingrijpende stappen zoals de overgang naar Windows 8.
Hang er dan een normaal prijskaartje aan en de Windows gebruikers zullen blij en veiliger online zijn...
Blij dat ik het niet nodig heb en me prima red met OS X en Linux ;)
Hoe kan dit dan nog nieuws zijn...
En Windows 2003, klinkt mij als 10 jaar oude software...
Misschien moet Microsoft eens kijken naar een makkelijkere manier van updaten, liefst met 'iets' minder ingrijpende stappen zoals de overgang naar Windows 8.
Hang er dan een normaal prijskaartje aan en de Windows gebruikers zullen blij en veiliger online zijn...
Blij dat ik het niet nodig heb en me prima red met OS X en Linux ;)
Hebben ze nou precies tot na de ondersteuningsstop zitten wachten met bekendmaken?
Raar trouwens dat een lek in het besturingssysteem via een applicatiebestand te benaderen is. En dat met input valideren... ze hebben een hele hoop van (zeggen ze zelf) de allerallerbesteste programmeurs in dienst, en ze weten al een jaar of tien (vanaf dat ze schoorvoetend toegaven dat beveiliging toch wel prioriteit hoorde te hebben, iets dat heel de wereld ze al een paar jaartjes toeschreeuwde) dat hier aan gewerkt moet worden, dus hadden ze ondertussen best alle punten in hun eigen software waar invoer binnenkomt kunnen doorlopen. Dan hadden ze best het een en ander gevonden (hoop ik dan toch voor ze) dus eigenlijk had dit soort lekken niet meer met zulke hoge frequentie mogen voorkomen.
Gezien hoeveel impact zelfs een klein foutje heeft, simpelweg vanwege de enorme installed base, is het eigenlijk niet meer dan normaal dat je hier toch wel enigszins je verantwoordelijkheid neemt. En gezien de marges die ze op deze software binnengeharkt hebben, had dat ook best gekund.
Raar trouwens dat een lek in het besturingssysteem via een applicatiebestand te benaderen is. En dat met input valideren... ze hebben een hele hoop van (zeggen ze zelf) de allerallerbesteste programmeurs in dienst, en ze weten al een jaar of tien (vanaf dat ze schoorvoetend toegaven dat beveiliging toch wel prioriteit hoorde te hebben, iets dat heel de wereld ze al een paar jaartjes toeschreeuwde) dat hier aan gewerkt moet worden, dus hadden ze ondertussen best alle punten in hun eigen software waar invoer binnenkomt kunnen doorlopen. Dan hadden ze best het een en ander gevonden (hoop ik dan toch voor ze) dus eigenlijk had dit soort lekken niet meer met zulke hoge frequentie mogen voorkomen.
Gezien hoeveel impact zelfs een klein foutje heeft, simpelweg vanwege de enorme installed base, is het eigenlijk niet meer dan normaal dat je hier toch wel enigszins je verantwoordelijkheid neemt. En gezien de marges die ze op deze software binnengeharkt hebben, had dat ook best gekund.
Door Anoniem: XP is toch al dood, gecremeerd en de as begraven???
Hoe kan dit dan nog nieuws zijn...
Hoe kan dit dan nog nieuws zijn...
Nou hier wordt even tamtam over gemaakt wellicht ook met de onderliggende toon "zie je wel je moet updaten anders
heb je straks een probleem", maar helaas is de realiteit dat de meerderheid van de vulnerabilities die maandelijks
worden opgelost niet alleen in XP en 2003 maar ook in de latere versies zitten.
(soms zelfs ALLEEN in de latere versies en NIET in XP en 2003!)
Meer informatie over deze zero-day vondst is te vinden op de FireEye blog: http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/ms-windows-local-privilege-escalation-zero-day-in-the-wild.html
28-11-2013, 10:49 door
Mysterio
Door Anoniem:Blij dat ik het niet nodig heb en me prima red met OS X en Linux ;)
Ik moet toch weer happen... Ik kan het niet laten. Ik heb laatst een 'oude' Mac gekregen met daarop Leopard. Omdat ik graag up to date wil zijn probeerde ik te upgraden naar iets nieuwers, maar ik heb het opgegeven. Leopard komt uit 2007 en is dus best recent, maar upgraden naar recent blijkt nog niet zo eenvoudig en goedkoop te zijn.Linux. Ik draaide een Ubuntu en ging upgraden naar een nieuwere versie. Do I need to say more?
Upgraden vanaf XP naar 8 gaat inderdaad ook niet vanzelf, maar het prijskaartje valt wel mee hoor. Een snelle Google levert mij een prijskaartje van 83,50 op. Valt best mee.
OT: Wel cool dat er weer een lek is wat de rechten van de gebruiker negeert. Ik zou persoonlijk uitkijken met het implementeren van de tijdelijke oplossing. "NDPROXY is a system-provided driver that interfaces NDISWAN and CoNDIS WAN drivers (WAN miniport drivers, call managers, and miniport call managers) to the TAPI services."
Door Mysterio:
Upgraden vanaf XP naar 8 gaat inderdaad ook niet vanzelf, maar het prijskaartje valt wel mee hoor. Een snelle Google levert mij een prijskaartje van 83,50 op. Valt best mee.
Upgraden vanaf XP naar 8 gaat inderdaad ook niet vanzelf, maar het prijskaartje valt wel mee hoor. Een snelle Google levert mij een prijskaartje van 83,50 op. Valt best mee.
Maar dt is alleen de software licentie!
Je moet er nog bij tellen wat het kost om je hardware zodanig te upgraden dat Windows 8 er op kan draaien.
Dat is met typische XP hardware vaak helemaal niet mogelijk.
Dan moet je dus een nieuwe computer kopen.
Eigenlijk zou er een lite versie van Windows 8 moeten zijn die nog gewoon draait op de systeemeisen van XP.
Waar zit toch al die bloat die er voor gezorgd heeft dat je tegenwoordig 2-4GB nodig hebt ipv 512MB? Kan dat
niet worden weggesneden? Idem voor de processorsnelheid. Diskgrootte eisen zijn nog wel acceptabel.
Het zou toch mogelijk moeten zijn voor Microsoft om de simpele XP GUI te implementeren op de moderne kernel
en dan een systeem te produceren dat naar hun idee veilig is zonder dat het zoveel ballast heeft?
(waarschijnlijk is het resultaat dan zelfs veiliger dan wat we nu hebben...)
Gewoon geen kwaadaardig PDF-bestand openen. Of het nu deze keer via lek X je systeem infecteert en de andere keer via lek Y maakt verder niet uit.
Door Anoniem:
Maar dt is alleen de software licentie!
Je moet er nog bij tellen wat het kost om je hardware zodanig te upgraden dat Windows 8 er op kan draaien.
Dat is met typische XP hardware vaak helemaal niet mogelijk.
Dan moet je dus een nieuwe computer kopen.
Eigenlijk zou er een lite versie van Windows 8 moeten zijn die nog gewoon draait op de systeemeisen van XP.
Waar zit toch al die bloat die er voor gezorgd heeft dat je tegenwoordig 2-4GB nodig hebt ipv 512MB? Kan dat
niet worden weggesneden? Idem voor de processorsnelheid. Diskgrootte eisen zijn nog wel acceptabel.
Het zou toch mogelijk moeten zijn voor Microsoft om de simpele XP GUI te implementeren op de moderne kernel
en dan een systeem te produceren dat naar hun idee veilig is zonder dat het zoveel ballast heeft?
(waarschijnlijk is het resultaat dan zelfs veiliger dan wat we nu hebben...)
Door Mysterio:
Upgraden vanaf XP naar 8 gaat inderdaad ook niet vanzelf, maar het prijskaartje valt wel mee hoor. Een snelle Google levert mij een prijskaartje van 83,50 op. Valt best mee.
Upgraden vanaf XP naar 8 gaat inderdaad ook niet vanzelf, maar het prijskaartje valt wel mee hoor. Een snelle Google levert mij een prijskaartje van 83,50 op. Valt best mee.
Maar dt is alleen de software licentie!
Je moet er nog bij tellen wat het kost om je hardware zodanig te upgraden dat Windows 8 er op kan draaien.
Dat is met typische XP hardware vaak helemaal niet mogelijk.
Dan moet je dus een nieuwe computer kopen.
Eigenlijk zou er een lite versie van Windows 8 moeten zijn die nog gewoon draait op de systeemeisen van XP.
Waar zit toch al die bloat die er voor gezorgd heeft dat je tegenwoordig 2-4GB nodig hebt ipv 512MB? Kan dat
niet worden weggesneden? Idem voor de processorsnelheid. Diskgrootte eisen zijn nog wel acceptabel.
Het zou toch mogelijk moeten zijn voor Microsoft om de simpele XP GUI te implementeren op de moderne kernel
en dan een systeem te produceren dat naar hun idee veilig is zonder dat het zoveel ballast heeft?
(waarschijnlijk is het resultaat dan zelfs veiliger dan wat we nu hebben...)
Zo te horen ben jij aan Linux toe. Met Linux heb je de nieuwste kernel nieuwste sofware en een GUI naar je keuze (behoeft, vermogen van je PC, etc)
Gaan we nu steeds vaker dit soort berichten krijgen? MS stopt met XP ondersteuning en nu maken ze de trouwe XP gebruikers bang dat ze toch nog over gaan naar W8. En ja W8 draait niet op een technisch goede PC met XP.
Met 85 euro ben je er trouwens nog niet. Je office is verouderend dus moet nieuw andere software. Een nieuwe PC is al lang niet meer de kosten maker. De software is inmiddels de grootste kosten post. Of je kiest er voor om opensource software te gebruiken.
Mensen die software gebruiken zonder licentie praat ik niet over. Als je wat wilt gebruiken dan moet je je aan de licentie houden. vind je de kicentie niet leuk dan gebruik je maar wat anders.
Door Anoniem:
Maar dt is alleen de software licentie!
Je moet er nog bij tellen wat het kost om je hardware zodanig te upgraden dat Windows 8 er op kan draaien.
Dat is met typische XP hardware vaak helemaal niet mogelijk.
Dan moet je dus een nieuwe computer kopen.
Eigenlijk zou er een lite versie van Windows 8 moeten zijn die nog gewoon draait op de systeemeisen van XP.
Waar zit toch al die bloat die er voor gezorgd heeft dat je tegenwoordig 2-4GB nodig hebt ipv 512MB? Kan dat
niet worden weggesneden? Idem voor de processorsnelheid. Diskgrootte eisen zijn nog wel acceptabel.
Het zou toch mogelijk moeten zijn voor Microsoft om de simpele XP GUI te implementeren op de moderne kernel
en dan een systeem te produceren dat naar hun idee veilig is zonder dat het zoveel ballast heeft?
(waarschijnlijk is het resultaat dan zelfs veiliger dan wat we nu hebben...)
Door Mysterio:
Upgraden vanaf XP naar 8 gaat inderdaad ook niet vanzelf, maar het prijskaartje valt wel mee hoor. Een snelle Google levert mij een prijskaartje van 83,50 op. Valt best mee.
Upgraden vanaf XP naar 8 gaat inderdaad ook niet vanzelf, maar het prijskaartje valt wel mee hoor. Een snelle Google levert mij een prijskaartje van 83,50 op. Valt best mee.
Maar dt is alleen de software licentie!
Je moet er nog bij tellen wat het kost om je hardware zodanig te upgraden dat Windows 8 er op kan draaien.
Dat is met typische XP hardware vaak helemaal niet mogelijk.
Dan moet je dus een nieuwe computer kopen.
Eigenlijk zou er een lite versie van Windows 8 moeten zijn die nog gewoon draait op de systeemeisen van XP.
Waar zit toch al die bloat die er voor gezorgd heeft dat je tegenwoordig 2-4GB nodig hebt ipv 512MB? Kan dat
niet worden weggesneden? Idem voor de processorsnelheid. Diskgrootte eisen zijn nog wel acceptabel.
Het zou toch mogelijk moeten zijn voor Microsoft om de simpele XP GUI te implementeren op de moderne kernel
en dan een systeem te produceren dat naar hun idee veilig is zonder dat het zoveel ballast heeft?
(waarschijnlijk is het resultaat dan zelfs veiliger dan wat we nu hebben...)
Beetje krom om van mening te zijn dat een besturingssysteem op een 10 jaar oude machine moet draaien. Dit is totaal niet gerelateerd aan het lek of het prijskaartje van XP.
Door Mysterio:Leopard komt uit 2007 en is dus best recent, maar upgraden naar recent blijkt nog niet zo eenvoudig en goedkoop te zijn.
Het ligt eraan wat je duur vind. De applestore bied Snow Leopard inmiddels voor € 18.- aan. Dat OS krijgt nog steeds alle security patches. De vraag is natuurlijk: hoe lang nog. Vanaf Snow Leopard kun je wel gratis naar de allernieuwste OS upgraden, ervan uitgaande dat de hardware het aankan. Zo'n 2007 model heeft waarschijnlijk te weinig geheugen, dus daar komen inderdaad € 60.- bij voor een upgrade naar 2 GByte om het nieuwste OS te kunnen installeren. Beter dan een nieuwe computer kopen.Ik heb dit jaar ook mijn oude 'Leopard" computer op die manier naar Marvericks geupdate, maar dat was een early 2009 model en had ik al eens naar 4 GByte geheugen opgewaardeerd.
28-11-2013, 17:26 door
vimes
Wie gaat er nu op een (w2003) server PDF's zitten openen?
Door Anoniem:
Beetje krom om van mening te zijn dat een besturingssysteem op een 10 jaar oude machine moet draaien. Dit is totaal niet gerelateerd aan het lek of het prijskaartje van XP.
Beetje krom om van mening te zijn dat een besturingssysteem op een 10 jaar oude machine moet draaien. Dit is totaal niet gerelateerd aan het lek of het prijskaartje van XP.
Dus het is toch waar dat dit hele gebeuren gewoon een vorm van "planned obsolescence" is?
Microsoft die het op een akkoordje met de PC verkopers gegooid heeft om de mensen te dwingen hun vorige PC
bij de milieustraat te brengen en opnieuw een PC te kopen, terwijl de vorige nog werkt?
Hoe denk je dat een gezinnetje met niet zo veel geld te spenderen daar over denkt?
Door vimes: Wie gaat er nu op een (w2003) server PDF's zitten openen?
Op een terminal server misschien? Deze had dan natuurlijk wel eens een upgrade mogen krijgen.
28-11-2013, 23:27 door
David0s
Maar dt is alleen de software licentie!
Je moet er nog bij tellen wat het kost om je hardware zodanig te upgraden dat Windows 8 er op kan draaien.
Dat is met typische XP hardware vaak helemaal niet mogelijk.
Dan moet je dus een nieuwe computer kopen.
Je moet er nog bij tellen wat het kost om je hardware zodanig te upgraden dat Windows 8 er op kan draaien.
Dat is met typische XP hardware vaak helemaal niet mogelijk.
Dan moet je dus een nieuwe computer kopen.
Precies hetzelfde verhaal is iOS 7 op een iPhone 4. Ook oudere hardware (wat voorlopig zelfs nog ondersteund wordt) en het is niet vooruit te branden. En een nieuw OS op een oudere mac kan ook vrij(lees: heel) irritant vast hangen. Je argument heeft dus niet echt betrekking op Windows maar zeg maar rustig alle upgrades.
29-11-2013, 09:48 door
Mysterio
Door Briolet:
Ik heb dit jaar ook mijn oude 'Leopard" computer op die manier naar Marvericks geupdate, maar dat was een early 2009 model en had ik al eens naar 4 GByte geheugen opgewaardeerd.
Het is al eerder gezegd, maar omdat XP 12 jaar oud is hoeft de hardware niet 12 jaar oud te zijn. Stel dat ik een PC uit 2007 heb (Vista downgrade naar XP) dan heb ik een Intel Core 2 Duo of Quad van ongeveer 3 GHz, dan heb ik 4 GB Ram en een HD van 500 GB. Voldoende voor Windows 8. Door Mysterio:Leopard komt uit 2007 en is dus best recent, maar upgraden naar recent blijkt nog niet zo eenvoudig en goedkoop te zijn.
Het ligt eraan wat je duur vind. De applestore bied Snow Leopard inmiddels voor € 18.- aan. Dat OS krijgt nog steeds alle security patches. De vraag is natuurlijk: hoe lang nog. Vanaf Snow Leopard kun je wel gratis naar de allernieuwste OS upgraden, ervan uitgaande dat de hardware het aankan. Zo'n 2007 model heeft waarschijnlijk te weinig geheugen, dus daar komen inderdaad € 60.- bij voor een upgrade naar 2 GByte om het nieuwste OS te kunnen installeren. Beter dan een nieuwe computer kopen.Ik heb dit jaar ook mijn oude 'Leopard" computer op die manier naar Marvericks geupdate, maar dat was een early 2009 model en had ik al eens naar 4 GByte geheugen opgewaardeerd.
Mijn iMac 7.1 heeft een Intel Core 2 Duo van 2,4 GHz en ook 4 GB Ram en een schijf van 300 GB. Zou in principe voldoende moeten zijn voor Mavericks, dus dat zou betekenen dat ik voor 18 Euro er ben. Das niet gek.
Bij mij draait XP prima. Als straks het niet meer ondersteund wordt, gaat deze offline en blijft lekker zo als ie is. Virussen via usb e.d worden opgevangen door deze standalone aan een Raspberry te hangen alvorens deze aan de XP computer te hangen. Klinkt omslachtig, maar bij mij komt er geen Windows 8 binnen. Draai veel oude XP applicaties die prima draaien. Waarom iets veranderen wat snel en goed werkt. Windows 8 is een gedrocht maar goed dat is mijn mening omdat het niet aanpasbaar is zoals ik het wil. Ik denk ik cirkels en niet in vierkantjes
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
