image

VS waarschuwt voor verkeerd uitrollen van Windows-update

zondag 9 augustus 2015, 09:35 door Redactie, 21 reacties

Vorig jaar bracht Microsoft een beveiligingsupdate voor Windows uit, maar doordat bedrijven en organisaties de update niet goed uitrollen vinden er nog steeds aanvallen plaats die van de onderliggende kwetsbaarheid gebruik maken. Daarvoor waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).

De kwetsbaarheid wordt veroorzaakt door de manier waarop Active Directory wachtwoorden verspreidt die via Group Policy preferences zijn geconfigureerd. Via Group Policies kunnen systeembeheerders Windowscomputers beheren en allerlei zaken configureren en instellen. Om van het beveiligingslek gebruik te kunnen maken moet een aanvaller eerst toegang tot een gebruikersaccount op het domein hebben.

Als er vervolgens via Group Policy preferences een lokaal beheerderswachtwoord of inloggegevens voor een netwerkschijf, een geplande taak of het configureren van een service is ingesteld, kan een aanvaller het wachtwoord dat in Group Policy preferences is opgeslagen achterhalen en ontsleutelen. Met deze gegevens kan een aanvaller een nieuwe lokale- of domeinbeheerder aanmaken en zo verhoogde rechten op het domein krijgen. Uiteindelijk kan een aanvaller op deze manier malware installeren, nieuwe accounts aanmaken of andere acties uitvoeren.

Aanvallen

Volgens het US-CERT vinden er nog steeds aanvallen plaats die van onveilig opgeslagen wachtwoorden in Group Policy preferences gebruik maken, doordat beveiligingsupdate MS14-025 niet goed is uitgerold. Ook al hebben systeembeheerders de patch geïnstalleerd, dan lopen ze nog steeds risico als ze niet alle wachtwoorden die eerst waren opgeslagen hebben verwijderd.

Een aanvaller kan de wachtwoorden, die voor het uitrollen van de patch al waren opgeslagen, namelijk ontsleutelen en zo zijn rechten verhogen. Het US-CERT adviseert systeembeheerders dan ook om het PowerShell-script te gebruiken dat Microsoft aanbiedt en de instructies over het verwijderen van wachtwoorden te volgen.

Reacties (21)
09-08-2015, 09:50 door Anoniem
Daarom ik geen Windows. Ik blijf erbij dat Linux stabieler is dan Windows.
09-08-2015, 09:56 door Anoniem
het oude liedje , laten we allemaal heel voorzichtig zijn en obama volgen , nu is het de vs die ons op de hoogte houd van verkeerde uitrollen ?!?!
09-08-2015, 10:23 door karma4
"What does the update do? The update removes the ability to configure and distribute passwords using the following Group Policy preferences xtensions .
•Configuring Mapping Drives •Configuring Local Users and Groups
•Configuring Scheduled Tasks •Configuring Services
•Configuring Data Sources "

Lijkt me inderdaad voor bedrijven waar een "closed desktop" gangbaar is. Je mag niets zelf op de desktop zetten en de eigen ICT organisatie moet er voor zorgen dat het gewenste er op komt. Dat is geen MS strategie het is een bedrijfsvoering voorwaarde.

Dat is een heel andere houding met de "eigen thuis pc" van 25 jaar terug. Met cloud thuis lijkt het op de bedrijfssituatie.
Ik vraag me af of de thuisgebruiker dan wel de thuis-nerd die verandering in houding nog moet maken.
09-08-2015, 11:05 door karma4
Door Anoniem: Daarom ik geen Windows. Ik blijf erbij dat Linux stabieler is dan Windows.
IAM (Identity Access management) is een zeer teleurstellend iets op enterprise (bedrijfs) niveau. https://access.redhat.com/products/Identity_Management

Er zijn geen meerdere high-privileged accounts met Linux en geen domain en geent Mandatory Access Control. Wil je die wel (bedrijfsvoering voorwaarde) dan kom in Selinux. Dat is geleverd als open source door de NSA. Dan heb heb je ook beter grip op workloadmanagment (cgroups). Met confinement zijn de processen beter in containers te zetten zodat ook root niet te veel kan. De weerstand tegen Selinux is behoorlijk groot.

Om applicaties op het OS te krijgen weten de Unix admins gewoonlijk niet het verschil tussen applicaties=tools en applicaties business-logica business code. Het gevolg is dat de omgevingen zeer onvriendelijk kreupel en vaak lek opgeleverd worden. Je kunt die werkelijke oorzaak pas aanpakken als het waanidee dat het OS alles is, weg is.
Nee Linux is echt niet stabieler, het is anders.
09-08-2015, 11:57 door Anoniem
Waarom verwijdert de patch dan niet automatisch ook de eerder opgeslagen wachtwoorden? Waarom waarschuwt de patch niet dat de uitrol mislukt is als de beheerder de opgeslagen wachtwoorden niet verwijdert?
Indien een patch niet de kwetsbaarheid geheel oplost is de patch incompleet. Of wees dan meteen vanaf het begin heel duidelijk bij het uitrollen wat er nog anders gedaan zou moeten worden en hoe dat kan worden gecontroleerd. Maar dat lijkt door MS verzuimd.
09-08-2015, 12:40 door Anoniem
Door Anoniem: Daarom ik geen Windows. Ik blijf erbij dat Linux stabieler is dan Windows.


Je hebt gelijk !
09-08-2015, 14:24 door Anoniem
Op zich is er niks mis met windows.

Ze gaan een kant op die velen niet willen:

- Standaart automatisch updaten
- Updates delen met anderen
- Privacy schending door data naar huis te sturen

Ikzelf heb Linux, maar de enige reden is dat dat ten alle tijden gratis is, en (nog) niet vatbaar is voor boze code.
Verder vindt ik het stabieler als Windows.

- Fijne dag
09-08-2015, 14:51 door karma4
Door Anoniem: Waarom verwijdert de patch dan niet automatisch ook de eerder opgeslagen wachtwoorden?
Het gaat om het interne gebruikte beleid van omgaan met users/wachtwoorden. De beheerder kon dat zelf instellen en dan gaat het naar de lokale desktop (remote management) om later bij een reboot, aangepast te worden. De foute manier van werken wordt door de patch geblokkeerd. De opgeslagen wachtwoorden lijken maar een beperkte duur aanwezig te zijn op de desktop. Na de "remote update" (restart uw computer) zal het verdwenen zijn, anders hadden ze dat wel genoemd.

Wat ook onbreekt is het noemen van alternatieven voor het remote beheer van die fucnties. Niet zo heel verwonderlijk, het hele lijstje zou je niet op een desktop remote moeten willen beheren. Noem eens wat je daarvan op die manier nodig zou hebben en niet anders zou kunnen.


De beschijving van het problem lijkt overigens op de klassieke race-condition, moet zeer bekend van de Linux wereld zijn, zie: https://en.wikipedia.org/wiki/Time_of_check_to_time_of_use
09-08-2015, 15:38 door Anoniem
Wat ook wel belangrijk is in dit verband is de beheer accounts die je gebruikt op domein en werkstations.
Je komt in Windows netwerken vaak tegen dat de Domain Administrator tevens de Administator van de werkstations is.
Dat is echter nergens voor nodig. Je kunt gewoon zelf een groep Workstation Administrators aanmaken en DIE de
beheer rechten op de werkstations (zoals het installeren van software) geven, dat staat helemaal los van de Domain
administrator! Dus als het wachtwoord daarvan achterhaald wordt, dan biedt dat helemaal geen mogelijkheden om
andere accounts in active directory aan te maken of er op in te loggen.
Je kunt dan ook instellen dat het verboden is om als Domain Administrator in te loggen op een werkstation. Dat scheelt
ook weer in het risico op bepaalde vlakken (zoals het proberen te ontsleutelen van opgeslagen account credentials op
een werkstation).

Helaas, de gemiddelde Windows beheerder verdiept zich hier niet in en verschillende bedrijven die vinden dat ze Windows
netwerken kunnen beheren heb ik al die fout zien maken om als Administrator op de werkstations de Domain Administrator
te kiezen.
09-08-2015, 16:52 door Anoniem
Door Anoniem: Daarom ik geen Windows. Ik blijf erbij dat Linux stabieler is dan Windows.

Dat kan zijn Maar Ik blijf er bij dat bedrijven er alleen zo weinig mee kunnen, dat de meeste core applicaties van bedrijven niet op linux gesupport worden.

Dus ja, heb je een "veilig" OS, kan je er niets mee.
09-08-2015, 17:20 door karma4
Anoniem, 15:38 Ik heb het nog zouter gezien. Het domain admin account gebruiken (applicatie server process) omdat het dan zo makkelijk is rapporten en bestandjes voor gebruikers in hun omgeving neer te zetten. Toen dat niet meer mocht was het een groot issue (ja triest). De opzet naar Linux, draai alles onder root hebben we geen beveiligingsproblemen.

Anoniem 16:52. Op de desktop Office (met externe plugins) Excel en meer en je komt met Linux inderdaad niet ver.
Voor de Server omgeving printer/fileserver en AD gaat met de desktop mee. SQL-server SISS loopt ook aardig.
Dan zijn de rest van de servers meestal toch echt wel Unix/Linux based bij de grotere bedrijven. Enterprices editions Oracle SAP en meer van dat soort spul. Echter eindgebruikers op zulke omgevingen wordt als een soort vloek gezien. Nauwelijks er door heen te krijgen. Meer door onbekendheid en onwil dan het technisch zou kunnen.


Anoniem 14:52
Bijblijven met updates is een verplichting niet iets optioneels waar je te kiezen hebt..
Privacy schending door data naar huis te sturen, Lees de privacyvoorwaarden, je reageert op horen zeggen niet zelf weten nagaan. https://www.security.nl/posting/438638/Jouw+eigendom+%3D+eigendom+Microsoft
10-08-2015, 00:32 door Anoniem
Tja,inderdaad Linux is een goed alternatief voor windows,als je niet alles voorgeschoteld wil hebben en meer zelf naar de hand wil zetten.
Ook is het een goed alternatief voor mensen die zich geen Mac kunnen veroorloven met het eigen OSX wat standaard al een Unix achtige achtergrond heeft.
Vaak is het goedkoper in gebruik,en stabieler,vandaar dat er veel servers op Linux draaien.
10-08-2015, 01:02 door Anoniem
Door Anoniem: Daarom ik geen Windows. Ik blijf erbij dat Linux stabieler is dan Windows.
Bewijs je stelling. Aan reageren om te reageren is geen behoefte, dus verduidelijk je stelling.
10-08-2015, 01:04 door Anoniem
Door karma4: Anoniem, 15:38 Ik heb het nog zouter gezien. Het domain admin account gebruiken (applicatie server process) omdat het dan zo makkelijk is rapporten en bestandjes voor gebruikers in hun omgeving neer te zetten. Toen dat niet meer mocht was het een groot issue (ja triest). De opzet naar Linux, draai alles onder root hebben we geen beveiligingsproblemen.

Anoniem 16:52. Op de desktop Office (met externe plugins) Excel en meer en je komt met Linux inderdaad niet ver.
Voor de Server omgeving printer/fileserver en AD gaat met de desktop mee. SQL-server SISS loopt ook aardig.
Dan zijn de rest van de servers meestal toch echt wel Unix/Linux based bij de grotere bedrijven. Enterprices editions Oracle SAP en meer van dat soort spul. Echter eindgebruikers op zulke omgevingen wordt als een soort vloek gezien. Nauwelijks er door heen te krijgen. Meer door onbekendheid en onwil dan het technisch zou kunnen.


Anoniem 14:52
Bijblijven met updates is een verplichting niet iets optioneels waar je te kiezen hebt..
Privacy schending door data naar huis te sturen, Lees de privacyvoorwaarden, je reageert op horen zeggen niet zelf weten nagaan. https://www.security.nl/posting/438638/Jouw+eigendom+%3D+eigendom+Microsoft
Met andere woorden Windows 10 is een open dirretje voor de NSA.
10-08-2015, 10:44 door Mysterio
Door Anoniem:
Door Anoniem: Daarom ik geen Windows. Ik blijf erbij dat Linux stabieler is dan Windows.
Je hebt gelijk !
Stelletje thuisgebruikers... je hebt geen idee waar het probleem over gaat.
10-08-2015, 19:31 door Anoniem
Door Mysterio:
Door Anoniem:
Door Anoniem: Daarom ik geen Windows. Ik blijf erbij dat Linux stabieler is dan Windows.
Je hebt gelijk !

Stelletje thuisgebruikers... je hebt geen idee waar het probleem over gaat.

Geachte heer/mevrouw Mysterio een andere toon aanslaan zou u sieren. Die reactie van u ,daar lach ik om.
Er zijn nu eenmaal mensen die niet zo gecharmeerd zijn van Windows, waaronder ik.
Bovendien kunt u al helemaal niet aan de hand van een reactie bepalen wie wel of niet een thuisgebruiker is, geloof ik helemaal niets van.
10-08-2015, 20:17 door karma4
Mysterio, je hebt gelijk.....
Eens kijken een paar 19" inch rekjes met een aantal 1u servers mogelijk een 5u voor het zware werk met allerlei enterprise edities firewalls en meer. Dan een AD domain SCCM (voormalig softgrid) en RAS support voor een +100 tal desktops. Budget van zo'n ton per jaar (koopje). Dat zou bij de heren/dames thuis in gebruik zijn? Zeer onwaarschijnlijk.

Nog even verder in dat MS14-025 gedoken. Dat is even lachen zie: http://blogs.technet.com/b/srd/archive/2014/05/13/ms14-025-an-update-for-group-policy-preferences.aspx
let op de tekst achter http://msdn.microsoft.com/en-us/library/cc422924.aspx. Ze hebben het akelig goed gedocumenteerd. Om nu ook de gebruikte AES symetrische encryptiekeys te documenteren.... mag ik een geeltje?

Als ik er over nadenk begrijp ik ook waarom de beheerder en MS zich niet al te druk maken. MS het is toch niet gewenste functionaliteit. De beheerders daar,wat kan dat zijn? Lijkt me niet dat het echte desktops met mensen er achter hoeven te zijn. Mogelijk hebben ze wat "applicaties van thuisgebruikers" over de muur gekregen die moesten draaien. Als dat alleen op een desktop kan hebben ze die in een afgeschermde ruimte gezet. Probleem getackled (niemand logt daar aan) alleen nog uitleggen aan zo'n auditor. Geheel volgens principe "volg of leg uit".
10-08-2015, 20:26 door karma4
Door Anoniem: nagaan. https://www.security.nl/posting/438638/Jouw+eigendom+%3D+eigendom+Microsoft
Met andere woorden Windows 10 is een open dirretje voor de NSA.[/quote]Als je de NSA noemt verdiep je dan er in waarin ze geinteresseerd zijn. Dat zijn voor het eerste de algemene metadata ofwel wie staat met wie in verbinding. Vandaar dat telecom providers en routers (vnl niet Windows) zo interressant zijn.
Daar bouw je de "social network analyses" mee op. Gericht komt later aan de orde. Budget en mankracht zijn heel behoorlijk. Ik zou denken dat ze dol zijn op Linux/Unix omgevingen omdat de bewaking (IDS) op dat vlak niet echt behoorlijk is. Wat niet weet wat niet deert. Het is big-data data-science wereld.

Waar je in ieder geval zorgen over moet maken.... lees MCnealy standpunt maar eens.
http://www.computerworld.com/article/2941019/data-privacy/scott-mcnealys-view-on-privacy-you-still-dont-have-any.html
11-08-2015, 08:13 door Anoniem
Door Anoniem:
Door Mysterio:
Door Anoniem:
Door Anoniem: Daarom ik geen Windows. Ik blijf erbij dat Linux stabieler is dan Windows.
Je hebt gelijk !

Stelletje thuisgebruikers... je hebt geen idee waar het probleem over gaat.

Geachte heer/mevrouw Mysterio een andere toon aanslaan zou u sieren. Die reactie van u ,daar lach ik om.
Er zijn nu eenmaal mensen die niet zo gecharmeerd zijn van Windows, waaronder ik.
Bovendien kunt u al helemaal niet aan de hand van een reactie bepalen wie wel of niet een thuisgebruiker is, geloof ik helemaal niets van.

Toch heeft mysterio een punt, het artikel gaat over een onderdeel van Windows dat alleen gebruikt wordt in active directory met group preferences, thuis heb je helemaal niets met deze feature te maken en daarnaast heeft het niets met het Windows cliënt OS zelf te maken.
11-08-2015, 09:13 door Mysterio
Door Anoniem:
Door Mysterio:
Door Anoniem:
Door Anoniem: Daarom ik geen Windows. Ik blijf erbij dat Linux stabieler is dan Windows.
Je hebt gelijk !

Stelletje thuisgebruikers... je hebt geen idee waar het probleem over gaat.

Geachte heer/mevrouw Mysterio een andere toon aanslaan zou u sieren. Die reactie van u ,daar lach ik om.
Er zijn nu eenmaal mensen die niet zo gecharmeerd zijn van Windows, waaronder ik.
Bovendien kunt u al helemaal niet aan de hand van een reactie bepalen wie wel of niet een thuisgebruiker is, geloof ik helemaal niets van.
Oooh jawel, ik wil namelijk graag van de Linux roepende profeten graag zien hoe zijn dit probleem met Linux hadden kunnen voorkomen en/of kunnen tackelen. Zeker wanneer je stelt dat Linux stabieler (??) zou zijn in deze situatie!? Right.

Prima als je een hekel hebt aan Windows. Prima dat je dat OVERAL waar het woordje Microsoft valt wilt roepen. Maar moet je het dan ook daadwerkelijk doen?
31-08-2015, 04:05 door Anoniem
Je ziet wel vaker dat WinAdmins de mogelijkheden van linux onderschatten.
Zo komt het regelmatig voor dat ze sudo van unix/linux vergelijken met "Run as" onder Windows :-)
Als het niet zo triest was zou ik zeggen: maak je maar niet druk om zulke mannen....
Maar ja, dan is er altijd het belang van de onwetende klanten hè, die gun je toch iets beters.

jaaput
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.