image

Windows 10 niet kwetsbaar voor recente zeroday-aanval

dinsdag 28 maart 2017, 10:09 door Redactie, 2 reacties

Deze maand patchte Microsoft een zeroday-lek in Windows waardoor aanvallers die al toegang tot een systeem hadden hun rechten konden verhogen, maar Windows 10 was niet kwetsbaar voor deze aanval, zo heeft de softwaregigant laten weten.

Met de lancering van de Windows 10 Anniversary Update in augustus vorig jaar zijn er verschillende nieuwe beveiligingsmaatregelen aan het besturingssysteem toegevoegd die ervoor zorgen dat de aanval niet werkt. Ook de aanvallers hadden dit door. De zeroday-exploit controleerde namelijk de gebruikte Windowsversie, zodat die alleen op Windows 7 en Windows 8 werd uitgevoerd.

"De zeroday-exploit voor CVE-2017-0005 vermeed nieuwere systemen omdat die niet zou hebben gewerkt en alleen voor onnodige aandacht had gezorgd. De aanvallers kijken niet alleen naar oudere systemen maar zijn ook bezig om beveiligingsverbeteringen in moderne hardware en platformen zoals Windows 10 Anniversary Update te vermijden", zegt Microsofts Matt Oh. Hij merkt op dat Microsoft informatie over de groep aanvallers aan het verzamelen is die de kwetsbaarheid gebruikte. De groep wordt Zirconium genoemd, maar verdere details worden niet gegeven.

Reacties (2)
28-03-2017, 12:09 door Erik van Straten - Bijgewerkt: 28-03-2017, 12:17
Nee. Wat Matt Oh werkelijk stelt is:

1) Dat één specifieke exploit, de onderzochte, gericht was op Windows systemen vanaf versie 2000 t/m desktop 8.1 en server 2012 R2;

2) Dat de exploit in principe ook werkt op Windows 10 maar dat er sprake is van aanvullende beveiligingsmaatregelen die de aanval bemoeilijken, en die in de volgende release van Windows 10 zullen worden uitgebreid.

CVE-2017-0005 is gerapporteerd door het CERT team van Lockheed Martin (zie [1]) en die kwetsbaarheid is, volgens [2], ook in Windows 10 aanwezig.

Ik heb er geen enkel bewijs voor, maar sluit ook niet uit, dat Lockheed Martin aangevallen is met deze exploit en die vervolgens door het CERT team is ontdekt en aan Microsoft is gemeld (zie ook [3], CVE-2017-0005 is de enige daadwerkelijke "being exploited" in het lijstje van 4 GDI kwetsbaarheden). Als het om een targeted attack gaat en Lockheed Martin geen (interessante) W10 systemen gebruikt, waarom zou je dan, als aanvaller, moeite doen om de exploit ook op W10 systemen te laten werken (met het risico dat die crashen en je zo ontdekt wordt)?

Kortom, een marketingverhaal. De beveiliging van W10 is op een aantal punten verbeterd, maar tegelijkertijd is het aanvalsoppervlak is ook toegenomen (denk alleen maar aan de crap die in "live tiles" wordt bijgewerkt ook als je daar niet naar kijkt).

[1] https://technet.microsoft.com/en-us/library/security/mt745121.aspx
[2] https://technet.microsoft.com/en-us/library/security/ms17-013.aspx#Affected%20Software%20and%20Vulnerability%20Severity%20Ratings
[3] https://technet.microsoft.com/en-us/library/security/ms17-013.aspx#Vulnerability%20Information
28-03-2017, 17:54 door karma4
Door Erik van Straten: ....
Kortom, een marketingverhaal. De beveiliging van W10 is op een aantal punten verbeterd, maar tegelijkertijd is het aanvalsoppervlak is ook toegenomen (denk alleen maar aan de crap die in "live tiles" wordt bijgewerkt ook als je daar niet naar kijkt).
Je hebt altijd die zwarte bril op. Zie nu iets positiefs.
-Het issue is al lang opgelost gewoon de nieuwe distro w10 uitrollen.
- voor de overbruggen tijd is er iets gebackport zodat iedereen daar profijt van heeft. Ik moet Linus dat nog zien doen voor kernels van die leeftijd.
- Ah je hebt zelf nog een klusje te doen w10 enterprise ready maken. Dus niet het thuisgebruik open benadering maar met overwogen beheer dat aansluit bij de bedrijfspolitiek. Duurt even en ms zal dat niet doen atos of cgi dan wel een andere grote toko kan ook als service ingezet worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.