image

Microsoft noodpatch voor ernstig IE-lek, ook voor XP

donderdag 1 mei 2014, 19:48 door Redactie, 12 reacties

Microsoft heeft vanavond een noodpatch voor een ernstig beveiligingslek in Internet Explorer uitgebracht, ook voor het niet meer ondersteunde Windows XP. Dit weekend werd bekend dat er een onbekende kwetsbaarheid in Internet Explorer 6 tot en met Internet Explorer 11 aanwezig was.

Het lek werd actief in IE9, IE10 en IE11 aangevallen, waarop het gebruik van Internet Explorer door allerlei organisaties werd afgeraden. De grote media-aandacht voor het lek lijkt de voornaamste reden te zijn waarom Microsoft nu met een noodpatch komt. Er zouden niet meer aanvallen zijn waargenomen dan de "beperkte" en "gerichte" acties waar Microsoft het eerst over had. Volgens Microsoft werd de media-aandacht mede veroorzaakt doordat het lek samenviel met het einde van de ondersteuning van XP op 8 april.

Uitzondering

Microsofts algemeen directeur van Trustworthy Computing Adrienne Hall laat weten dat de noodpatch voor XP een uitzondering is, die alleen wordt gemaakt omdat het lek net na het einde van de support verscheen. "De werkelijkheid is dat er een klein aantal aanvallen via dit specifieke lek heeft plaatsgevonden en dat de zorgen overdreven werden. Helaas is dat de tijd waarin we leven", aldus Hall. Ze benadrukt dat Microsoft de meldingen verder wel serieus neemt.

De noodpatch zal bij alle ondersteunde versies van Windows, alsmede Windows XP, automatisch worden geïnstalleerd als Windows Update staat ingeschakeld. Iets wat standaard het geval is bij Windows. "Vandaag hebben we onze browser iets veiliger gemaakt. Volgende maand zal die weer iets beter zijn. Je kunt op ons blijven rekenen", besluit Hall.

Reacties (12)
01-05-2014, 19:56 door Anoniem
Ok, eerder en nu niets aan de hand dus. De platte petten kunnen weer overgaan waarvoor ze geschikt zijn: het vermanend toespreken van bengels in de leeftijd van 5 tot 9. 10 jarigen trekken ze niet meer. Wat een zooi weer, en de redactie hier doet lekker mee. Of zou dat komen door een bepaald soort ingenomenheid?

Zoals, doe Linux en heatbleed?
01-05-2014, 20:39 door Leo van Lierop
Lijkt me puur een tactische zet om geen marktaandeel van Internet Explorer te verliezen. Niet dat het voldoende reden is om Internet Explorer onder XP te blijven gebruiken. Mocht je om een of andere duistere reden XP willen blijven gebruiken zou ik zowiezo overstappen op een andere browser.
01-05-2014, 20:55 door r0s3r1dd3r - Bijgewerkt: 01-05-2014, 20:57
Door Leo van Lierop: Lijkt me puur een tactische zet om geen marktaandeel van Internet Explorer te verliezen.

Daar kon je wel een eens gelijk in hebben en dat ze het risico nemen dat XP gebruikers gaan denken dat bij ieder serieus lek van IE er toch wel een update komt van MS. Wat wellicht een gevoel van (schijn)veiligheid kan oproepen.
02-05-2014, 00:27 door Anoniem
Door Leo van Lierop: Lijkt me puur een tactische zet om geen marktaandeel van Internet Explorer te verliezen.

Het lijkt me een heel erg stomme zet. Dit was een uitgelezen kans om verstokte XP-gebruikers het vuur na aan de schenen te leggen en toch maar te laten overstappen naar een hoger Windows platform.

Een gemiste kans.
02-05-2014, 02:09 door Spiff has left the building - Bijgewerkt: 02-05-2014, 03:56
M'n eerste slechte ervaring met een update voor Vista.

Update KB2964358 leidt na een reboot en poging tot inloggen in een van m'n Windows Vista accounts tot de melding:
"Er kan geen verbinding met de service System Event Notification-service worden gemaakt"
En er kan niet worden ingelogd.
Nogal akelig.
Via Veilige Modus heb ik Systeemherstel moeten uitvoeren naar een herstelpunt, en vervolgens update KB2964358 moeten verbergen.

Nog iemand anders die ervaring, met Vista of een andere Windows-versie?
Ik ga aan de slag om het aan Microsoft te melden, in de hoop op een snelle oplossing.
Hier:
http://answers.microsoft.com/nl-nl/windows/forum/windows_vista-windows_update/update-kb2964358-voor-kwetsbaarheid-in-ie/61f447cd-2889-4ceb-8b5f-7eaf6e22ad6c
Laat ik hopen dat het zo snel mogelijk opgepakt en geëscaleerd wordt.
02-05-2014, 10:56 door Fwiffo
Door Spiff: M'n eerste slechte ervaring met een update voor Vista.
Wat vervelend om dit van je te lezen! Zelf had ik problemen onder Windows Vista 32bits met EMET 4.0 en cummulative IE 9 updates van Microsoft. Zie https://www.security.nl/posting/369932#posting369967.

In die draad was het een ander probleem, maar ik heb nog een keer mijn probleem gehad en zag toen een paar EMET stack traces in Process Explorer. Sindsdien is EMET er helemaal af en zijn mijn update problemen over.

Heeft het misschien te maken met update 1 van EMET 4.1 die je geïnstalleerd hebt? Bij mij komt EMET er niet meer op (helaas). Of ik moet IE deselecteren in EMET. Bij mij is de indruk ontstaan dat EMET niet goed getest is met Windows Vista... kan ook verklaren dat deze voor jou unsigned was...

Ik hoop dat je Windows Vista blijft gebruiken ondanks alles, want je posts daarover zijn nuttig voor me geweest in het verleden.
02-05-2014, 11:36 door Spiff has left the building
Door Fwiffo, 10:56 uur:
Heeft het misschien te maken met update 1 van EMET 4.1 die je geïnstalleerd hebt?

Nee, die heb ik nog niet geïnstalleerd, ik gebruik nog EMET 4.1, nog niet niet EMET 4.1 Update 1.
Ik heb tot op heden nog geen al te rare ervaringen met EMET, buiten af en toe een lichte overreactie op een of andere website. Enkel eerder EMET 5.0 Tech Preview 1 wilde nog niet deugen op mijn systeem.

Update gerelateerde problemen heb ik niet eerder gehad.
Ik vermoed niet dat mijn probleem met KB2964358 EMET gerelateerd was. De update ging uitstekend, N.B. er was geen reboot voor nodig, maar pas later na een reboot ontstond het genoemde probleem. Ik kan EMET uiteraard nog niet uitsluiten als boosdoener, maar ik heb vooralsnog ook geen reden om EMET al te zeer te verdenken.

De missende "Microsoft Root Certificate Authority 2010" waarnaar je verwijst (zie mijn bijdragen in deze thread: https://www.security.nl/posting/386398/), daarvoor heb ik eveneens geen reden om EMET te verdenken, maar uitsluiten kan ik het eveneens nog niet.

Ik heb ineens een aantal extra dingen op m'n bord om mee aan de gang te gaan.
Eerst dat probleem met KB2964358 maar eens bij Microsoft onder de aandacht proberen te brengen. En dat valt niet mee, want dat moet via Microsoft Community, en dan moet je maar geluk hebben dat het een beetje op tijd gesignaleerd en hopelijk geëscaleerd wordt. Ik zal Microsoft nog maar eens bellen, om ze erop te wijzen. Normaal wordt je dan naar Microsoft Community verwezen, maar staat de melding er al, dan is misschien iemand wel genegen er naar te kijken.
Aan de slag.
02-05-2014, 13:05 door Spiff has left the building
Inmiddels heb ik Microsoft technische dienst gesproken. De medewerker was zeer behulpzaam en heeft ook even meegekeken naar mijn melding zoals ik die op Microsoft Community heb gepost.
Suggesties:
1.
Update opnieuw doorvoeren (heeft geen reboot nodig)
en vervolgens via Run/Uitvoeren het commando: netsh winsock reset catalog
en reboot.
Treed het probleem ondanks die reset toch op, dan:
2.
Via msconfig.exe het automatisch mee-opstarten van sommige programma's uitschakelen, om te zien of die mogelijk conflicteren met de uitgevoerde update KB2964358. Op dit systeem valt allereerst te denken aan EMET 4.1 en Acronis True Image 2010, maar wie weet nog wat anders. Gelukkig maar dat ik maar weinig automatisch mee-opstartende programma's heb.

1a.
Geen suggestie van Microsoft, maar ik denk er zelf aan:
Ook moet ik G Data 2015's nieuwe Exploit Protection zekerheidshalve maar even verdenken.
Die zal ik bij 1 ook even uitschakelen. Gaat alles dan -hopelijk- goed na de reboot, dan kan ik G Data 2015's Exploit Protection weer inschakelen en zien wat er dán gebeurd na een reboot.
Duim maar voor me ;-)
02-05-2014, 15:34 door Spiff has left the building - Bijgewerkt: 02-05-2014, 16:24
G Data 2015 Exploit Protection uitschakelen,
update KB2964358 opnieuw doorvoeren (heeft geen reboot nodig),
en vervolgens via Run/Uitvoeren het commando: netsh winsock reset catalog
en vervolgens reboot,

dat leidde ertoe dat ik vervolgens wél kon inloggen,
maar nu kwam er vanuit het Windows Systeemvak die eerder genoemde melding "Er kan geen verbinding met de service System Event Notification-service worden gemaakt […]"
Controle van de System Event Notification-service liet zien dat die wel actief was.
Uitloggen leidde tot het verdwijnen van de desktop shortcuts en de complete taakbalk (afsluiten van Windows Explorer, vermoed ik?) zonder dat het uitloggen verder doorzette, netto een 'hang' dus.

Ik moest dus weer geforceerd afsluiten
en ik heb vervolgens opgestart in Veilige Modus.
Daar heb ik via msconfig.exe het automatisch mee-opstarten van EMET en Acronis True Image 2010 uitgeschakeld en vervolgens herstart.

Nu ondervond ik geen problemen meer bij herstart en inloggen.

Eén voor één heb ik vervolgens Acronis True Image 2010, G Data 2015 Exploit Protection, en EMET 4.1 weer ingeschakeld, steeds een voor een na elke keer een reboot.
Opvallend genoeg is het eerdere probleem nu niet meer teruggekomen!

Wat is nu dan anders?
Ik weet het niet.
Het enige dat ik nu anders heb gedaan is na opstarten niet meer wachten met inloggen tot alle opstarttaken uitgevoerd zijn en de HDD's 'tot rust komen', maar veel eerder inloggen, terwijl Windows nog met van alles gaande is.
Kan dat het verschil maken? Een proces dat dwarsligt bij 'laat' inloggen dat nog niet is geactiveerd bij vlot inloggen? Het zou niet verklaren dat eerder ook uitloggen een probleem gaf en nu niet meer.
Misschien is ondertussen iets gecorrigeerd en heeft het probleem zich nu opgelost? Ik mag het hopen.
Eventjes afwachten maar.
07-05-2014, 14:53 door Spiff has left the building
Update op wat ik op 02-05-2014 had bericht:

De Windows foutmelding "Er kan geen verbinding met de service System Event Notification-service worden gemaakt" en de bijbehorende inlog/uitlog-problemen, die kwam zondag 4 mei terug, zonder duidelijke aanleiding.
Ik besloot ik mijn systeempartitie door middel van een image te herstellen naar de toestand van 8 april, een systeemtoestand waarin toentertijd nog geen problemen optraden.

Na een geslaagd herstel naar de toestand van 8 april was mijn schrik aanzienlijk(!) toen ik zag dat ik na inloggen al gelijk weer die melding "Er kan geen verbinding met de service System Event Notification-service worden gemaakt" verscheen vanuit het Windows Systeemvak, en vervolgens uitloggen weer een langdurige hang opleverde.
Duidelijk is dat update KB2964358 géén rol kon spelen, want update KB2964358 was op dat moment nog niet opnieuw doorgevoerd op het naar de toestand van 8 april herstelde systeem.

Mijn verdenking begon toen uit te gaan naar mijn firewall, waarvan ik voorafgaand aan de Windows foutmeldingen "Er kan geen verbinding met de service System Event Notification-service worden gemaakt" een aantal keren een specifiek firewall-verzoek had genegeerd wegens gebrek aan inzicht in dat betreffende firewall-verzoek en met de veronderstelling dat de betreffende groep processen waarvoor de firewall verbinding vroeg geen netwerktoegang nodig had.
Ik heb wegens die verdenking dat dat genegeerde firewall-verzoek het beschreven probleem veroorzaakte, vervolgens mijn firewall in de geautomatiseerde stand gezet, om die zelfstandig te laten besluiten over de netwerktoegang van de betreffende proces-groep, om zo mijn hypothese te toetsen.

Sindsdien zijn de Windows foutmeldingen "Er kan geen verbinding met de service System Event Notification-service worden gemaakt" en de bijbehorende inlog/uitlog-problemen niet meer opgetreden.
Ik vind het nog te vroeg om daarmee met zekerheid vast te kunnen stellen dat ik het probleem daarmee gediagnosticeerd en opgelost heb, voor meer zekerheid zijn meer tijd en meer reboots en meer inlogs en uitlogs nodig, maar het lijkt er tot op heden op dat m'n vermoeden correct was.
15-05-2014, 15:58 door Spiff has left the building
Update op wat ik op 07-05-2014 had bericht:

Inmiddels is het probleem met de Windows foutmelding "Er kan geen verbinding met de service System Event Notification-service worden gemaakt" en de bijbehorende inlog/uitlog-problemen en het bij het optreden van het probleem tevens ontbreken van de Aero weergave opnieuw opgetreden.
(Dat bij het optreden van het probleem tevens ontbreken van de Aero weergave, dat had ik eerder niet genoemd, maar is eveneens een opvallend kenmerk van het probleem.)

Ook mijn eerdere hypothese dat een genegeerd firewall-verzoek het betreffende probleem veroorzaakte, dat is daarmee ontkracht. De firewall was immers inmiddels in geautomatiseerde stand gezet, zoals ik op 7 mei vermeldde.

Opvallend is dat het betreffende probleem verbonden lijkt te zijn aan acties zoals het uitvoeren van Windows Update of het terugplaatsen van een systeemimage. Na het succesvol uitvoeren daarvan, inclusief een succesvolle herstart om Windows Updates te installeren, treed na een volgende herstart het betreffende probleem op met de Windows foutmelding "Er kan geen verbinding met de service System Event Notification-service worden gemaakt" en de bijbehorende inlog/uitlog-problemen en het tevens ontbreken van de Aero weergave.
Het probleem lijkt dus gekoppeld te zijn aan de specifieke systeem-omstandigheden na een tweede herstart na het uitvoeren van Windows Update, of na het terugplaatsen van een systeemimage.

Inmiddels heb ik ontdekt dat het probleem al jaren lang ook bij diverse andere gebruikers optreedt.
Zoek op Windows could not connect to the System Event Notification Service, en je vindt vele pagina's en threads met vele meldingen en met oplos-suggesties.
Het vervelende is dat betreffend die oplos-suggesties vaak wordt gemeld dat die slechts tijdelijk soelaas bieden, en dat het probleem daarna weer terugkomt.

Ik heb nu inmiddels het volgende uitgevoerd:
1.
Opstarten met de Windows installatie-dvd en uitvoeren van Opstartherstel (Startup Repair).
Er werd geen probleem aangetroffen.
2.
Uitvoeren van deze commando's:
netsh winsock reset
netsh winsock reset catalog
en vervolgens de computer herstarten.
3.
De service Windows Font Cache Service stoppen
en onder
C:\Windows\ServiceProfiles\LocalService\AppData\Local
het bestand FontCache-System.dat hernoemen naar FontCache-System.old
en vervolgens de computer herstarten.
4.
Uitvoeren van
sfc /scannow
Er werd geen probleem aangetroffen.

Er bestaat een kans dat 2 of 3 het probleem hebben opgelost.
Er bestaat echter ook een kans dat het probleem na een volgende Windows Update opnieuw zal optreden.
In het geval het probleem opnieuw optreedt, kan ik niet uitsluiten dat de huidige nieuwe versie van mijn antivirus-programma met sinds de huidige nieuwe versie een nieuwe "Exploit Protection" een factor zou kunnen zijn.
In de pagina's en threads betreffend het "Windows could not connect to the System Event Notification Service" probleem wordt diverse malen een verband gelegd met antivirus-software. Symantec, AVG, Avira en Microsoft Forefront worden genoemd. Het eerdere probleem met Microsoft Forefront is opgelost, maar ik weet niet hoe dat voor die andere producten is. Daarom sluit ik niet uit dat met mijn antivirus-programma het probleem geïntroduceerd kan zijn met de huidige nieuwe versie met de nieuwe "Exploit Protection". Ik heb daarover uiteraard de support desk van de betreffende antivirus-leverancier benaderd, maar het met zekerheid vaststellen van een eventuele relatie dat zal niet meevallen, met name doordat het Windows probleem "Er kan geen verbinding met de service System Event Notification-service worden gemaakt" slechts periodiek optreedt.

Ik zal wellicht moeten afwachten tot na de volgende Microsoft Update ronde op 10 juni om te zien of het probleem dan opnieuw optreedt, of dat ik het mogelijk heb verholpen door middel van de uitgevoerde punten 2 of 3.

Ik zal daarna opnieuw hier berichten.
11-06-2014, 15:13 door Spiff has left the building - Bijgewerkt: 11-06-2014, 16:26
Update op het bovenstaande, dat ik op 15-05-2014 had bericht:

Het eerder beschreven probleem, het probleem met de Windows foutmelding "Er kan geen verbinding met de service System Event Notification-service worden gemaakt" en de bijbehorende inlog/uitlog-problemen en het bij het optreden van het probleem tevens ontbreken van de Aero weergave, dat is sinds mijn vorige reactie en ook na de Windows updates van gisteren, 10-06-2014, niet meer opgetreden.

De handelingen zoals ik die 15-5 heb beschreven hebben het probleem opgelost,
óf het probleem is opgelost door een recente update van op mijn systeem aanwezige applicaties, zoals mijn antivirus-programma, Realtek HD Audio driver, NVIDIA graphics driver, of van Windows Update componenten.
Ik ben er echter niet van op de hoogte dat in recente updates van mijn antivirus-programma, Realtek HD Audio driver, NVIDIA graphics driver, of in Windows Update een specifieke aanpassing is gemaakt die betrekking had op het eerder beschreven probleem.

Hoe dan ook - eind goed, al goed, hoop ik.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.