image

Kritiek op hype rondom Badlock-lek in Samba en Windows

donderdag 14 april 2016, 11:18 door Redactie, 2 reacties

Verschillende beveiligingsexperts hebben kritiek geuit op de hype die rondom het Badlock-lek in Samba en Windows werd gecreëerd. Op 23 maart van dit jaar werd de kwetsbaarheid via een aparte website aangekondigd. De ontdekker van het beveiligingslek wilde systeembeheerders zo van tevoren waarschuwen als de update op 12 april zou verschijnen.

Afgelopen dinsdag verscheen de beveiligingsupdate, alsmede details. Een aanvaller kan via een man-in-the-middle-aanval Samba-verkeer onderscheppen om vervolgens een Active Directory-database aan te passen, waaronder wachtwoordhashes van gebruikers, of kan belangrijke diensten te kunnen uitschakelen. In het geval van Windowssystemen zou een aanvaller via een man-in-the-middle-aanval het authenticatieniveau van de SAM- LSAD-kanalen kunnen downgraden en zo een ingelogde gebruiker nabootsen.

Ondanks de waarschuwing beoordeelde Microsoft de kwetsbaarheid als 'belangrijk' en niet als ernstig, omdat een aanvaller alleen zijn rechten kan verhogen en geen willekeurige code kan uitvoeren. Ook volgens anti-virusbedrijf Trend Micro is er sprake van een hype en komt de kwetsbaarheid niet in de buurt van andere ernstige Windowslekken, zoals MS08-067, waar de beruchte Confickerworm gebruik van maakte.

Vanwege de aankondiging dachten veel beheerders dat de impact zeer groot zou zijn, zoals met de Heartbleed-bug het geval was, merkt Paul Ducklin van Sophos op. Iets wat niet zo blijkt te zijn. "Sinds Heartbleed waren de meeste van deze vooraf aangekondigde kwetsbaarheden niet een echt groot probleem. Ik zeg niet dat het om kwetsbaarheden gaat die geen datalek kunnen veroorzaken. Het grootste deel haalt echter de aandacht van veel ernstigere problemen weg en dat is een probleem", voegt Karl Sigler van Trustwave toe. Inmiddels hebben critici de website Sadlock.org gelanceerd waarin Badlock op de korrel wordt genomen.

Reacties (2)
14-04-2016, 23:52 door Anoniem
DIt zinnetje van https://www.riskbasedsecurity.com/2016/03/bad-luck-over-the-upcoming-badlock-vulnerability/ zegt al genoeg:
Since March 22, when Badlock was announced, there have been 227 vulnerabilities disclosed with a CVSSv2 score higher than that of Badlock, 63 of which carry a 10.0 score. One has to wonder how many of those were lost in the hype and noise created by Badlock?
15-04-2016, 01:01 door Anoniem
Overhyped of niet.. Het is en blijft een beveiligingslek. Ik heb zojuist de Sadlock website eens bekeken, man man man wat een narigheid wordt daar geschreven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.