Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
KB2918614: Error 997.Overlapped I/O operation is in progress.
Sinds kort geeft de installatie van een aantal programma's een foutmelding 'Error 997.Overlapped I/O operation is in progress.'. Deze programma's konden tot voor kort altijd zonder problemen geïnstalleerd worden. Op het internet vonden we een aantal verwijzingen naar KB2918614 en dat de problemen opgelost kon worden door KB2918614 te deinstalleren. Ook onze programma's konden weer gewoon geïnstalleerd worden nadat KB2918614 (Vulnerability in Windows Installer Service Could Allow Elevation of Privilege (2962490)) verwijderd was.
Heeft iemand dezelfde ervaringen of kan iemand verklaren waarom het probleem optreedt en of er een andere oplossing is dan het deinstalleren van KB2918614.
Heeft iemand dezelfde ervaringen of kan iemand verklaren waarom het probleem optreedt en of er een andere oplossing is dan het deinstalleren van KB2918614.
Reacties (3)
Aangezien ik geen details kon vinden over wat hier gepatcht wordt, maar onder "Acknowledgments" [sic] in https://technet.microsoft.com/library/security/MS14-049 staat:
Echter, Stefan Kanthak (hierboven ook fout gespeld) is een bekende op de BugTraq en Full Disclosure maillijsten (Google: Kanthak site:seclists.org). De laatst tijd focust zijn onderzoek op het laden van excutables en DLL's waarbij geen 100% correct pad is opgegeven (bijv. een pad met spaties erin zonder dubbele aanhalingstekens te gebruiken).
Een van zijn trucs is dat hij een file C:\Program.exe op zijn computer heeft (bijv. een kopie van notepad.exe) dat wordt uitgevoerd in plaats van iets als "C:\Program Files\bedrijf\whatever.exe". Recent voorbeeld: http://seclists.org/bugtraq/2014/Sep/33.
Zijn werk is discutabel: op genoemde maillijsten krijgt hij de kritiek dat in recente Windows versies gewone gebruikers geen schrijfrechten hebben in C:\ (maar je kunt niet uitsluiten dat sommige bedrijven redenen hebben om dat weer open te zetten). Eindgebruikers horen daarnaast natuurlijk geen schrijfrechten te hebben in mappen genoemd in de PATH environment variabele van het systeem.
Microsoft vecht al veel langer met dit soort problemen. Zie ook https://isc.sans.edu/diary/Help+eliminate+unquoted+path+vulnerabilities/14464 en mijn comment daaronder.
De kwetsbaarheden die Stefan Kanthak beschrijft lijken zonder uitzondering om privilege escalation issues te gaan waarbij iemand met lokale maar beperkte rechten uitvoerbare bestanden op zodanige plaatsen kan neerzetten (of bestaande vervangen) dat deze kunnen worden uitgevoerd door een higher privileged user of dienst.
De reden voor de foutmelding 'Error 997. Overlapped I/O operation is in progress' weet ik zo niet, maar het zou kunnen dat de installler (wellicht een separate thread daarin) voor de tweede keer een specifieke map probeert te openen en/of een programma of DLL probeert te laden terwijl de eerste operatie nog niet volledig is afgerond (in dit geval waarschijnlijk omdat het door MSI gecorrigeerde pad niet bestaat).
Denis Gundarev of Entisys (http://www.entisys.com/) for reporting the Windows Installer Repair Vulnerability (CVE-2012-4784)
Stepfan Kanthak (http://home.arcor.de/skanthak/safer.html)for working with us on defense-in-depth changes included in this bulletin
Over CVE-2012-4784 is nog niets bekend (zie http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2012-4784). Noch Denis Gundarev, noch Entisys zeggen mij iets.Stepfan Kanthak (http://home.arcor.de/skanthak/safer.html)for working with us on defense-in-depth changes included in this bulletin
Echter, Stefan Kanthak (hierboven ook fout gespeld) is een bekende op de BugTraq en Full Disclosure maillijsten (Google: Kanthak site:seclists.org). De laatst tijd focust zijn onderzoek op het laden van excutables en DLL's waarbij geen 100% correct pad is opgegeven (bijv. een pad met spaties erin zonder dubbele aanhalingstekens te gebruiken).
Een van zijn trucs is dat hij een file C:\Program.exe op zijn computer heeft (bijv. een kopie van notepad.exe) dat wordt uitgevoerd in plaats van iets als "C:\Program Files\bedrijf\whatever.exe". Recent voorbeeld: http://seclists.org/bugtraq/2014/Sep/33.
Zijn werk is discutabel: op genoemde maillijsten krijgt hij de kritiek dat in recente Windows versies gewone gebruikers geen schrijfrechten hebben in C:\ (maar je kunt niet uitsluiten dat sommige bedrijven redenen hebben om dat weer open te zetten). Eindgebruikers horen daarnaast natuurlijk geen schrijfrechten te hebben in mappen genoemd in de PATH environment variabele van het systeem.
Microsoft vecht al veel langer met dit soort problemen. Zie ook https://isc.sans.edu/diary/Help+eliminate+unquoted+path+vulnerabilities/14464 en mijn comment daaronder.
De kwetsbaarheden die Stefan Kanthak beschrijft lijken zonder uitzondering om privilege escalation issues te gaan waarbij iemand met lokale maar beperkte rechten uitvoerbare bestanden op zodanige plaatsen kan neerzetten (of bestaande vervangen) dat deze kunnen worden uitgevoerd door een higher privileged user of dienst.
De reden voor de foutmelding 'Error 997. Overlapped I/O operation is in progress' weet ik zo niet, maar het zou kunnen dat de installler (wellicht een separate thread daarin) voor de tweede keer een specifieke map probeert te openen en/of een programma of DLL probeert te laden terwijl de eerste operatie nog niet volledig is afgerond (in dit geval waarschijnlijk omdat het door MSI gecorrigeerde pad niet bestaat).
06-09-2014, 22:00 door
W. Spu
Ik heb het installatie script aangepast en de optie toegevoegd om een verbose log bestand aan e maken tijdens de installatie. Hieronder het stukje van de log file met de error:
----------
MSI (s) (64!C4) [21:05:04:447]: SECREPAIR: Hash Database: C:\Windows\Installer\SourceHash{xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
MSI (s) (64!C4) [21:05:04:470]: Note: 1: 2262 2: SourceHash 3: -2147287038
MSI (s) (64!C4) [21:05:04:682]: SECREPAIR: New Hash Database creation complete.
MSI (s) (64!C4) [21:05:04:683]: SECREPAIR: A general error running CryptAcquireContext
MSI (s) (64!C4) [21:05:04:683]: SECREPAIR: Crypt Provider not initialized. Error:0
MSI (s) (64!C4) [21:05:04:683]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (64!C4) [21:05:04:684]: SECREPAIR: A general error running CryptAcquireContext
MSI (s) (64!C4) [21:05:04:684]: SECREPAIR: Crypt Provider not initialized. Error:997
MSI (s) (64!C4) [21:05:04:684]: SECUREREPAIR: Failed to CreateContentHash of the file: install.ini: for computing its hash. Error: 997
MSI (s) (64!C4) [21:05:04:684]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied. Counter after decrement: -1
MSI (s) (64!C4) [21:05:04:685]: SECREPAIR: Failed to create hash for the install source files
MSI (s) (64!C4) [21:05:04:685]: SECUREREPAIR: SecureRepair Failed. Error code: 3e5F2F934B8
MSI (c) (88:1C) [21:05:05:712]: Font created. Charset: Req=0, Ret=0, Font: Req=MS Shell Dlg, Ret=MS Shell Dlg
Error 997.Overlapped I/O operation is in progress.
----------
Ik heb vervolgens gezocht op "SECREPAIR: A general error running CryptAcquireContext KB2918614" en vond meer pagina's met vergelijkbare probelemen met dezelfde of een andere foutmelding.
----------
MSI (s) (64!C4) [21:05:04:447]: SECREPAIR: Hash Database: C:\Windows\Installer\SourceHash{xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
MSI (s) (64!C4) [21:05:04:470]: Note: 1: 2262 2: SourceHash 3: -2147287038
MSI (s) (64!C4) [21:05:04:682]: SECREPAIR: New Hash Database creation complete.
MSI (s) (64!C4) [21:05:04:683]: SECREPAIR: A general error running CryptAcquireContext
MSI (s) (64!C4) [21:05:04:683]: SECREPAIR: Crypt Provider not initialized. Error:0
MSI (s) (64!C4) [21:05:04:683]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (64!C4) [21:05:04:684]: SECREPAIR: A general error running CryptAcquireContext
MSI (s) (64!C4) [21:05:04:684]: SECREPAIR: Crypt Provider not initialized. Error:997
MSI (s) (64!C4) [21:05:04:684]: SECUREREPAIR: Failed to CreateContentHash of the file: install.ini: for computing its hash. Error: 997
MSI (s) (64!C4) [21:05:04:684]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied. Counter after decrement: -1
MSI (s) (64!C4) [21:05:04:685]: SECREPAIR: Failed to create hash for the install source files
MSI (s) (64!C4) [21:05:04:685]: SECUREREPAIR: SecureRepair Failed. Error code: 3e5F2F934B8
MSI (c) (88:1C) [21:05:05:712]: Font created. Charset: Req=0, Ret=0, Font: Req=MS Shell Dlg, Ret=MS Shell Dlg
Error 997.Overlapped I/O operation is in progress.
----------
Ik heb vervolgens gezocht op "SECREPAIR: A general error running CryptAcquireContext KB2918614" en vond meer pagina's met vergelijkbare probelemen met dezelfde of een andere foutmelding.
08-09-2014, 23:12 door
W. Spu
Zo onderhand is er steeds meer op internet te vinden over de problemen die de update KB2918614 veroorzaakt. Hierbij de link naar de pagina met informatie die ik gisteren gevonden heb:
WiX-users - SECREPAIR: CryptAcquireContext: Could not create the default key container http://windows-installer-xml-wix-toolset.687559.n2.nabble.com/SECREPAIR-CryptAcquireContext-Could-not-create-the-default-key-container-td7596414.html. Hier in staat ook dat Microsoft op de hoogte is en de klacht al van een aantal klanten heeft gehad.
Vandaag is het onderstaande artikel gepubliceerd:
Microsoft patch KB 2918614 triggers 'key not valid for use,' more errors: http://www.infoworld.com/t/microsoft-windows/microsoft-patch-kb-2918614-triggers-key-not-valid-use-more-errors-249973
In dit artikel staan diverse verwijzingen naar andere pagina's met vergelijkbare/dezelfde problemen:
KB2918614 breaks Windows Installer Service: https://answers.microsoft.com/en-us/windows/forum/windows8_1-windows_install/kb2918614-breaks-windows-installer-service/3d75a1c2-114a-4241-a527-35b536edc158
Possible issue with KB2918614 causing overlapped I/O operation in progress errors.: http://www.edugeek.net/forums/windows-7/140586-possible-issue-kb2918614-causing-overlapped-i-o-operation-progress-errors.html
Issues with kb2918614:http://community.spiceworks.com/topic/561791-issues-with-kb2918614
Did Microsoft break per-user minor upgrades with their recent kb2918614 Fix?: https://community.flexerasoftware.com/showthread.php?217786-Did-Microsoft-break-per-user-minor-upgrades-with-their-recent-kb2918614-Fix
KB2918614 – Windows Installer triggers UAC:http://ccmexec.com/2014/09/kb2918614-windows-installer-triggers-uac/
WiX-users - SECREPAIR: CryptAcquireContext: Could not create the default key container http://windows-installer-xml-wix-toolset.687559.n2.nabble.com/SECREPAIR-CryptAcquireContext-Could-not-create-the-default-key-container-td7596414.html. Hier in staat ook dat Microsoft op de hoogte is en de klacht al van een aantal klanten heeft gehad.
Vandaag is het onderstaande artikel gepubliceerd:
Microsoft patch KB 2918614 triggers 'key not valid for use,' more errors: http://www.infoworld.com/t/microsoft-windows/microsoft-patch-kb-2918614-triggers-key-not-valid-use-more-errors-249973
In dit artikel staan diverse verwijzingen naar andere pagina's met vergelijkbare/dezelfde problemen:
KB2918614 breaks Windows Installer Service: https://answers.microsoft.com/en-us/windows/forum/windows8_1-windows_install/kb2918614-breaks-windows-installer-service/3d75a1c2-114a-4241-a527-35b536edc158
Possible issue with KB2918614 causing overlapped I/O operation in progress errors.: http://www.edugeek.net/forums/windows-7/140586-possible-issue-kb2918614-causing-overlapped-i-o-operation-progress-errors.html
Issues with kb2918614:http://community.spiceworks.com/topic/561791-issues-with-kb2918614
Did Microsoft break per-user minor upgrades with their recent kb2918614 Fix?: https://community.flexerasoftware.com/showthread.php?217786-Did-Microsoft-break-per-user-minor-upgrades-with-their-recent-kb2918614-Fix
KB2918614 – Windows Installer triggers UAC:http://ccmexec.com/2014/09/kb2918614-windows-installer-triggers-uac/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
