image

Google vindt zeer ernstig beveiligingslek in Windows

maandag 8 mei 2017, 10:23 door Redactie, 34 reacties

Een onderzoeker van Google heeft een zeer ernstig beveiligingslek in Windows gevonden waardoor machines op afstand kunnen worden overgenomen. De kwetsbaarheid werd door Natalie Silvanovich van Google Project Zero ontdekt. Dit is een team van hackers dat naar beveiligingslekken in veelgebruikte software zoekt om zo internetgebruikers tegen aanvallen te beschermen.

Volgens Tavis Ormandy, ook een beveiligingsonderzoeker bij Google, gaat het om één van de ergste beveiligingslekken in Windows die het op afstand uitvoeren van willekeurige code mogelijk maken sinds lange tijd. De aanval werkt volgens Ormandy tegen de standaardversie van Windows en de aanvaller en aangevallen machine hoeven niet op hetzelfde lokale netwerk te zitten. Ormandy laat verder weten dat de kwetsbaarheid door een worm is te gebruiken.

Verdere details worden niet door Silvanovich en Ormandy gegeven, maar de laatstgenoemde laat weten dat er binnenkort een rapport met details zal worden vrijgegeven. Google onthult details van kwetsbaarheden als de betreffende softwareleverancier de kwetsbaarheid heeft gepatcht of dat het lek 90 dagen nadat het is gemeld nog steeds op een update wacht. In februari van dit jaar maakte Google al ongepatchte kwetsbaarheden in Windows en in Internet Explorer en Edge openbaar.

Reacties (34)
08-05-2017, 13:17 door Anoniem
Windows is doos.
Tijd om over te stappen op chrome os, linux of om een mac te kopen.
08-05-2017, 13:35 door karma4
Door Anoniem: Windows is doos.
Tijd om over te stappen op chrome os, linux of om een mac te kopen.
Daar schiet je weinig mee op. De slechte meuk wordt in de basis gedeeld. Mogelijk is een vms machi e wat als je de energierekening kan betalen. Nieman die weet hoe het te hacken
08-05-2017, 13:49 door Anoniem
Door Anoniem: Windows is doos.
Tijd om over te stappen op chrome os, linux of om een mac te kopen.

En mijn printers en applicaties dan? Hoe moet ik daar mee om gaan? Heb je daar ook zo'n goede oplossing voor?
08-05-2017, 14:16 door Anoniem
Door Anoniem: Windows is doos.
Tijd om over te stappen op chrome os, linux of om een mac te kopen.
Elk OS is lek. Accepteer dat nou eens.

Elke keer dat Linux-gezever op artikels over Windows-lekken. Linux is leuk, maar "ff overstappen" is lang niet voor iedereen een optie.
08-05-2017, 14:17 door Anoniem
Qube OS, is al eens eerder hier behandeld,
08-05-2017, 15:16 door potshot
Door Anoniem: Windows is doos.
Tijd om over te stappen op chrome os, linux of om een mac te kopen.

ahum..

2014.
'Er is een ernstig lek in Unix-gebaseerde besturingssystemen zoals Linux en Mac OS X ontdekt waardoor een aanvaller op afstand willekeurige code op het systeem kan uitvoeren. De kwetsbaarheid bevindt zich in bash, de Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven.'
08-05-2017, 15:38 door Ron625
Door Anoniem:
Elke keer dat Linux-gezever op artikels over Windows-lekken. Linux is leuk, maar "ff overstappen" is lang niet voor iedereen een optie.
Klopt.
Maar een MAC gebruikt standaard geen Linux, maar een afgeleide van BSD en dat is echt iets anders.
08-05-2017, 15:50 door Anoniem
Door Ron625:
Door Anoniem:
Elke keer dat Linux-gezever op artikels over Windows-lekken. Linux is leuk, maar "ff overstappen" is lang niet voor iedereen een optie.
Klopt.
Maar een MAC gebruikt standaard geen Linux, maar een afgeleide van BSD en dat is echt iets anders.
Hetzelfde geldt voor Mac OS, en welk ander OS dan ook. Het is hier security.nl. Laten we ons bezig houden met daadwerkelijk security-gerelateerd advies, in plaats van "Oh, OS X is lek, stap dan maar over op OS Y."

Ik ben trouwens erg benieuwd of dit lek nu SYSTEM rechten geeft, of dat het om user-land gaat. Beide zijn natuurlijk zeer onwenselijk. Vooral als dit gecombineerd kan worden met andere exploits.
08-05-2017, 18:29 door Anoniem
Door Anoniem:
Door Anoniem: Windows is doos.
Tijd om over te stappen op chrome os, linux of om een mac te kopen.

En mijn printers en applicaties dan? Hoe moet ik daar mee om gaan? Heb je daar ook zo'n goede oplossing voor?
Veel gebruikers hebben tegenwoordig geen eigen applicaties meer, en dan is het wel een goede oplossing.
Het scheelt in ieder geval een hoop koppijn!
08-05-2017, 18:39 door [Account Verwijderd] - Bijgewerkt: 08-05-2017, 18:40
[Verwijderd]
08-05-2017, 18:44 door [Account Verwijderd]
[Verwijderd]
08-05-2017, 18:47 door [Account Verwijderd]
[Verwijderd]
08-05-2017, 18:52 door [Account Verwijderd]
Ahum...

Tot nu hier in dit topic - met uitzondering van 15:50 uur - nog zotter dan het gekrakeel tussen democraten en republikeinen. Ieder om het hardst aan het miepen over de ander zijn besturingssysteem.

(het ljkt wel of dit met de dag erger wordt op security.nl)
08-05-2017, 18:54 door [Account Verwijderd]
[Verwijderd]
08-05-2017, 19:02 door [Account Verwijderd]
[Verwijderd]
08-05-2017, 19:20 door slartibartfast
Wat mij betreft mag het etiquette worden dat iedereen die alleen in dit soort discussies begint te emmeren dat een ander OS beter is, direct een permaban krijgt.

Als je het evangelie wil uitdragen en dominee/pastoor/rabbijn/imam wil zijn voor je favoriete besturingssysteem prima maar doe het niet hier. Het voegt nl. niets toe. We weten het al. Het is al dertig jaar of zoiets op internet de discussie.

En dan nog; wat is voor een Linux adept de definitie van "beter"? Wel eens "Zen and the art of motorcycle maintenance" gelezen? Nee zeker? Want dan wist die Linux dominee/pastoor etc. dat je kwaliteit niet kunt benoemen.

Hou er maar mee op met die eeuwige strijd, je zult het nooit winnen. Apple is beter dan PC? Windows is beter dan Linux? Als je mij kan duiden wat "beter" is - en dan niet op je mening gebaseerd maar wetenschappelijk onderbouwd - dan luister ik. Tot die tijd gaan je berichten in de bitbucket... en beschouw ik je als een troll.
08-05-2017, 19:49 door Ron625
Door slartibartfast: Als je mij kan duiden wat "beter" is - en dan niet op je mening gebaseerd maar wetenschappelijk onderbouwd - dan luister ik. Tot die tijd gaan je berichten in de bitbucket... en beschouw ik je als een troll.
Mee eens.
Voor de meeste eindgebruikers is Windows het beste, bij problemen kan de buurman vaak helpen.
Voor servers is Linux (vaak) beter v.w.b. veiligheid en/of mogelijkheden, maar dit is niet zalig makend.
Soortgelijke vergelijkingen zijn te maken voor en met ieder OS, het is maar net met welk doel, welke kennis en welk programma je gaat werken.
08-05-2017, 19:51 door karma4
Door 4amrak:
De slechte meuk wordt in de basis gedeeld.

wat bedoel je hier mee?
Als je naar een gedegen veilig systeem kijkt moet dat vanuit de basis ontworpen worden. Er wordt gewoon te veel.mef pleisterwerk gewerkt om constructiefouten te verhullen.
Neem nu dat intel AMT gebeuren. Doel prima om remote beheer apart in te vullen. Maar waarom dat zo met specifieke moeilijk onderhoubare en controleerbare realisaties moet dat is een meer fundamenteel iets.
Dat die bash op een plek in een webserver zit met privilege switching dat had ook zonder bash gekund. Het is een ontwerp keuze om snel klaar te zijn. De clou lib functies en alles wat daaraan hangt zul je overal in elk os tegenkomen. Fouten in memory beheer en verkeer gedeelte memory gebruik evenzo. Het staat vaak als fout voorbeeld in de er bij geleverde documentatie. Open ssl vind je ook overal terug inclusief de fouten.
08-05-2017, 20:23 door [Account Verwijderd] - Bijgewerkt: 08-05-2017, 20:25
[Verwijderd]
08-05-2017, 20:28 door [Account Verwijderd]
[Verwijderd]
08-05-2017, 21:27 door Ron625
Door 4amrak: Ik volg dit niet, "Als je mij kan duiden wat "beter" is" -> "Mee eens. ... is Windows het beste," lijkt mij een tegenstelling?
Blijkbaar ben ik niet duidelijk.
Een andere vergelijking dan: wat is de beste auto?
Wanneer je veel wilt vervoeren, moet je geen Ferrari nemen, wanneer je wilt racen, moet je geen Lada nemen, enz.
Er is, ook in ICT, een hoop afhankelijk van het doel, de gebruiker, de middelen en de beschikbare kennis en smaak.
Conclusie: de beste bestaat niet!
08-05-2017, 21:45 door [Account Verwijderd] - Bijgewerkt: 08-05-2017, 21:48
[Verwijderd]
08-05-2017, 22:42 door Anoniem
Mag ik raden: die Patch komt er niet op Patch Tuesday ?

Heeft de NSA misschien meer tijd nodig ?
09-05-2017, 08:04 door [Account Verwijderd]
[Verwijderd]
09-05-2017, 08:07 door Anoniem
Door Anoniem:
Door Ron625:
Door Anoniem:
Elke keer dat Linux-gezever op artikels over Windows-lekken. Linux is leuk, maar "ff overstappen" is lang niet voor iedereen een optie.
Klopt.
Maar een MAC gebruikt standaard geen Linux, maar een afgeleide van BSD en dat is echt iets anders.
Hetzelfde geldt voor Mac OS, en welk ander OS dan ook. Het is hier security.nl. Laten we ons bezig houden met daadwerkelijk security-gerelateerd advies, in plaats van "Oh, OS X is lek, stap dan maar over op OS Y."

Ik ben trouwens erg benieuwd of dit lek nu SYSTEM rechten geeft, of dat het om user-land gaat. Beide zijn natuurlijk zeer onwenselijk. Vooral als dit gecombineerd kan worden met andere exploits.

Ik denk dat het hierom gaat:
https://technet.microsoft.com/en-us/library/security/4022344.aspx

Een bug in de anti-malware engine, zodat deze gebruikt kan worden als malware launcher... ;-)
09-05-2017, 09:11 door Anoniem
Goed gevonden, Anoniem 08.07!

Domme vraag. Ik heb Norton draaien en dus is Defender uitgeschakeld (Win7). Dan loop ik geen risico, toch?
09-05-2017, 09:14 door Anoniem
Het is nu gepatch.
Zie https://www.engadget.com/2017/05/08/microsoft-windows-malware-protection-engine-rce/
Winow$ is toch zo lek als een zeef.
Je kan beter linux gebruiken.
09-05-2017, 11:45 door Anoniem
dat sommige mensen hier nooit moe van zichzelf worden.. ik wel in ieder geval.
09-05-2017, 18:21 door karma4 - Bijgewerkt: 09-05-2017, 19:25
Door Anoniem: Het is nu gepatch.
Zie https://www.engadget.com/2017/05/08/microsoft-windows-malware-protection-engine-rce/
Winow$ is toch zo lek als een zeef.
Je kan beter linux gebruiken.
Gaat helpen: https://www.security.nl/posting/514069/120_000+ip-camera%27s+kwetsbaar+voor+nieuw+IoT-botnet = Linux
Als je met OS flaming bezig wilt zijn, Linux is zo lek als een mandje, kunnen ze beter MS tools gebruiken.
Dit issue is is no time opgelost voor de OSS adepten het argument dat het goed is en er niets aan de hand is.

Nu meer serieus. Als je de KB echt had gelezen dan zouden je een paar dingen moeten opvallen.
1- De speciaal geprepareerde bestanden (waarschijnlijk html/mail) zijn niet verder uitgewerkt of toegelicht.
als het windows specfiek zou zijn hadden ze dat wel kunnen doen.
2- De 64bits systemen zijn kwetsbaar de 32-bits niet. Dat duidt op een programma onderhoud beheerprobleem met specifieke afhankelijkheden. Waarschijnlijk een struct aanpassing gemist.

Update:
https://www.golem.de/news/project-zero-microsofts-antivirensoftware-gefaehrdet-windows-nutzer-1705-127705.html Java script deel met een type confusion. Het hele antimalware gebeuren heeft een probleem als je het proces probeert na te lopen.
Ad 1/ is als dat waar is een bedreiging voor elke OS. Voor je het weet is het shell-shock revited (webserver of andere poort). Dat issue is namelijk niet structureel opgelost. Er moet zo min mogelijk functionaliteit zijn op een privilege switch punt.
Ad 2/ Dan hebben we een algemeen probleem op het oog. Er zijn nogal wat versioning tools in omloop. Deze richting zihc voornamelijk op het beslechten van de ruzies bij bouwers. Elke code klopper vind zijn code perfect en de nieuwe productie versie. Wat ontbreekt is een behoorlijke aanpak van de onderlinge afhankelijkheden en hoe je dat bij een verandering ergens met een impactanalyse laat doorwerken. Dat er fouten in generieke libraries (dll's) en frameworks lang doorwerken ook al is in het de bron met een fix aangepast is een bekend issue. Wat wordt daar aan gedaan?
09-05-2017, 19:41 door Anoniem
Door karma4:
Door Anoniem: Het is nu gepatch.
Zie https://www.engadget.com/2017/05/08/microsoft-windows-malware-protection-engine-rce/
Winow$ is toch zo lek als een zeef.
Je kan beter linux gebruiken.
Gaat helpen: https://www.security.nl/posting/514069/120_000+ip-camera%27s+kwetsbaar+voor+nieuw+IoT-botnet = Linux
Als je met OS flaming bezig wilt zijn, Linux is zo lek als een mandje, kunnen ze beter MS tools gebruiken.
Dit issue is is no time opgelost voor de OSS adepten het argument dat het goed is en er niets aan de hand is.

Nu meer serieus. Als je de KB echt had gelezen dan zouden je een paar dingen moeten opvallen.
1- De speciaal geprepareerde bestanden (waarschijnlijk html/mail) zijn niet verder uitgewerkt of toegelicht.
als het windows specfiek zou zijn hadden ze dat wel kunnen doen.
2- De 64bits systemen zijn kwetsbaar de 32-bits niet. Dat duidt op een programma onderhoud beheerprobleem met specifieke afhankelijkheden. Waarschijnlijk een struct aanpassing gemist.

Update:
https://www.golem.de/news/project-zero-microsofts-antivirensoftware-gefaehrdet-windows-nutzer-1705-127705.html Java script deel met een type confusion. Het hele antimalware gebeuren heeft een probleem als je het proces probeert na te lopen.
Ad 1/ is als dat waar is een bedreiging voor elke OS. Voor je het weet is het shell-shock revited (webserver of andere poort). Dat issue is namelijk niet structureel opgelost. Er moet zo min mogelijk functionaliteit zijn op een privilege switch punt.
Ad 2/ Dan hebben we een algemeen probleem op het oog. Er zijn nogal wat versioning tools in omloop. Deze richting zihc voornamelijk op het beslechten van de ruzies bij bouwers. Elke code klopper vind zijn code perfect en de nieuwe productie versie. Wat ontbreekt is een behoorlijke aanpak van de onderlinge afhankelijkheden en hoe je dat bij een verandering ergens met een impactanalyse laat doorwerken. Dat er fouten in generieke libraries (dll's) en frameworks lang doorwerken ook al is in het de bron met een fix aangepast is een bekend issue. Wat wordt daar aan gedaan?

Bla bla blaaaaaaaaaaaaaa

Meer dan 95 % van alles wat met OS problemen, aanvallen, misbruik, malware en virussen te maken heeft gaat over
Windows,
&
Windows,
&
Windows,
&
Windows,
&
Windows,
&
Windows,
&
Windows,
&
Windows,
&
Windows,
&

dan een mini beetje linux waarvan heet meeste android betreft
& dan nog een kleiner mini beetje OS X en iOS.

De praktijk laat eenvoudigweg zien dat sommige platforms geteisterd worden door problemen.
Dat is op zich best wel lullig maar gebruikers kunnen dat een keertje zat zijn.
Focus je op de problemen van je eiegn systeem in plaats van te googelen naar linkjes over systemen waar je geen ruk verstand van hebt.

Wat een kippenhok hier.
Als iemand een lada zat is vanwege de voortdurende problemen ermee mag ie van mening zijn te gaan voor een japanner.
Dat is zijn goed recht en heel begrijpelijk.

Niet zo schijnheilig doen dus.
09-05-2017, 21:42 door karma4 - Bijgewerkt: 09-05-2017, 21:43
Door Anoniem: .....Niet zo schijnheilig doen dus.
Gewoon fact checking https://www.cvedetails.com/top-50-products.php?year=2016
https://www.cvedetails.com/top-50-products.php?year=2017 Wat is dat nou Linux als koploper?
Ik durf nog onafhankelijk te reageren ik heb geen os of fabrikant binding . Gezien je reactie is alles wat een geloof raakt eng en moet bestreden worden. Niet echt iets voor vertrouwen dan wel Linux advocacy en zeker niet voor informatieveiligheid. Dat laatste is niet gediend in het blijven hagen in OS flaming.
09-05-2017, 23:02 door Ron625 - Bijgewerkt: 09-05-2017, 23:03
Door karma4: Niet echt iets voor vertrouwen dan wel Linux advocacy en zeker niet voor informatieveiligheid.
Dat durf ik te bestrijden.
Tel het aantal dagen tussen de ontdekking van de fout en de update hiervoor, en je komt tot hele andere resultaten.
Een update voor Linux komt wanneer hij klaar is en niet op een vaste dag van de maand!
Daarbij waren er in 2015 en 2016 wel lekken in Linux, maar voor veel hiervan was fysieke toegang tot het toetsenboord nodig.
09-05-2017, 23:18 door [Account Verwijderd] - Bijgewerkt: 09-05-2017, 23:20
Het lijkt in dit topic alweer helemaal slieberen over de afgewerkte motorolie van de DHZ autogarage van Joris Oliespoor en zn. Karel Opel is aan het klooien met de ontluchtnippels op de voorste remklauwen, komt Piet Tesla aanglijen dat die van hem beter is.

Windows, Linux, Apple: Allemaal een pot digitale brij, nog minder als gebakken lucht. De accu eruit; de stroom eraf en de hele verafgode illusie dondert in een zwart gat zo diep als de melkweg breed is.
Windows, Linux, Apple: De een net iets anders als de ander, en toch maar kankerlijeren tegen elkaar over een eventuele superioriteit van de ene potentiele gatenkaas ten opzichte van de ander.

Tsjonge jonge we blijven toch een stelletje digitaal volkomen onderontwikkelde peuters hé, hoe we ook poneren zo bijzonder te zijn. Al ruim 40 jaar een digitale doos voor onze neus en toch tot in het eindeloze voortstamelen, vooral zo stom als het achtereind van een varken als het erop aankomt om de verschillende besturingssystemen onderling en vooral ten opzichte van elkaar te relativeren.

Het is om te schaterlachen en te huilen tegelijkertijd.
10-05-2017, 08:59 door karma4 - Bijgewerkt: 10-05-2017, 09:06
Door Aha: Al ruim 40 jaar een digitale doos voor onze neus en toch tot in het eindeloze voortstamelen, vooral zo stom als het achtereind van een varken als het erop aankomt om de verschillende besturingssystemen onderling en vooral ten opzichte van elkaar te relativeren.

Het is om te schaterlachen en te huilen tegelijkertijd.
Exact... ;?[ 40 jaar stilstand en :?)) te beweren dat het zo veranderend en nieuw is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.