CERT/CC waarschuwt voor lek in snelkoppelingen Windows
In juni patchte Microsoft een ernstig beveiligingslek in de manier waarop Windows met snelkoppelingen omgaat, maar het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft nu ruim anderhalve maand later alsnog besloten om een extra waarschuwing voor het lek af te geven.
Windows ondersteunt het gebruik van lnk-bestanden, ook bekend als snelkoppelingen. Het openen van een lnk-bestand is eigenlijk hetzelfde als het openen van het bestand waar de snelkoppeling naar wijst. Windows bleek echter op een onveilige manier de iconen van een lnk-bestand te laden. Een aanvaller zou hier misbruik van kunnen maken om Windows automatisch de snelkoppeling uit te laten voeren.
Alleen het openen van een map met een kwaadaardige snelkoppeling in Windowsverkenner of andere applicatie die iconen weergeeft was voldoende om de snelkoppeling, en de kwaadaardige code waar het naar verwees, uit te voeren. Een aanvaller zou hier bijvoorbeeld via een usb-stick of cd/dvd gebruik van kunnen maken. Afhankelijk van de Autorun/Autoplay-instellingen van het systeem kan het zijn dat de map automatisch wordt geopend en zo de kwaadaardige snelkoppeling wordt uitgevoerd.
De oorsprong van deze kwetsbaarheid dateert van 2010 en werd door de beruchte Stuxnetworm gebruikt. Het ging destijds om een geheel nieuwe aanvalsvector om Windowscomputers mee aan te vallen. In 2010 bracht Microsoft een update voor de kwetsbaarheid uit, maar die blijkt zeven jaar later niet voldoende te zijn geweest. Daardoor liepen gebruikers nog steeds risico. In juni werd het probleem via een nieuwe patch verholpen. Gebruikers en beheerders krijgen het advies om de update te installeren. Volgens Microsoft werd de kwetsbaarheid namelijk al aangevallen voordat de patch beschikbaar was.
maakt het nou niet bepaald meteen duidelijk om welke update het gaat...
maakt het nou niet bepaald meteen duidelijk om welke update het gaat...
Ook in [2] kun je "CVE-2017-8464" vinden met een verwijzing naar [3].
In [3] kun je, per OS, vinden welke "security-only" of "monthly-rollup" deze kwetsbaarheid verhelpt.
[1] https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
[2] https://technet.microsoft.com/en-us/library/security/4025685.aspx
[3] https://support.microsoft.com/en-us/help/4025686/microsoft-security-advisory-4025685-guidance-for-supported-platforms
je wordt gewoon moe van het gepruts en het korte bochten werk steed...
De lnk is een Gebruikers actie en de aa valsvector is sociale verleiding om er op te klikken. Niet veel anders dan "uw heeft een prijs gewonnen draai deze malware" of uw baas wilt dat "maak dit bedrag over naar ...". Oplichting is van alle tijden weinig nieuws komkommers.
Scenario: plaats zo'n shortcut in de homedir van gebruiker. Stuur een mail naar een beheerder die altijd als admin werkt (met UAC schuif onderaan, anders wordt ie "gek" van alle popups - ja die ken ik) met als afzender die gebruiker en vraag hem of hij wil kijken naar wat er mis is met de permissies in die homedir...
Ik sluit niet uit dat Microsoft liegt in die pagina, maar ik vermoed dat deze info klopt en dat Microsoft, onder invloed van haar obsessieve dwangneurose om, duidelijk zonder dat capabele human interface designers daar invloed op hebben (ribbon, tiles op een desktop anyone?), over een betere GUI dan Apple te beschikken.
Sterker, ik kan me niet aan de indruk onttrekken dat in Redmond, i.p.v. ervaren interaction designers, omhoog gevallen managers met "back of the envelope" / bierviltje in de kroeg ontwerptechnieken (vermoedelijk tegen de adviezen van experts in) hun zin doordrammen. En er daarbij nog van overtuigd zijn ook dat het eindeloze gepruts aan de Windows en Office GUIs een belangrijker verkoopargument voor nieuwe versies vormt dan serieus innoveren (waar blijft bijv. het beloofde associatieve filesystem maar we gaan wel cmd opleuken) en vervangen van legacy meuk als SMB. Nieuwe kwetsbaarheden in die GUI zijn daarbij helaas collateral damage.
Vanzelfsprekend zal dit speeltuingedrag de afdeling verkoop en aandeelhouders een biet zijn - zolang de vendor lock-in en verslaving aan Outlook, Word, Excel en AD blijft voortbestaan.
Scenario: plaats zo'n shortcut in de homedir van gebruiker. Stuur een mail naar een beheerder die altijd als admin werkt (met UAC schuif onderaan, anders wordt ie "gek" van alle popups - ja die ken ik) met als afzender die gebruiker en vraag hem of hij wil kijken naar wat er mis is met de permissies in die homedir...
Ik bagetaliseer niets. Het grootste probleem wat ik gezien zijn beheerders die het leuk vonden om gebruikers zo met ellende en schrik op te zadelen. Een spelletje wat de formateerde moest hij maar niet zo stom zijn om overal op te klikken. Een drip die de boel door elkaar bracht was nog relatief onschuldig.
En natuurlijk beheerders die gewoon met domain admin de dagelijkse werkzaamheden uitvoeren. Wel zo makkelijk om bestanden waarom gevraagd is zo in ieders home diir te zetten. De bofh in de richting van uberbofh.
Scenario: plaats zo'n shortcut in de homedir van gebruiker. Stuur een mail naar een beheerder die altijd als admin werkt (met UAC schuif onderaan, anders wordt ie "gek" van alle popups - ja die ken ik) met als afzender die gebruiker en vraag hem of hij wil kijken naar wat er mis is met de permissies in die homedir...
Ik bagetaliseer niets. Het grootste probleem wat ik gezien zijn beheerders die het leuk vonden om gebruikers zo met ellende en schrik op te zadelen. Een spelletje wat de formateerde moest hij maar niet zo stom zijn om overal op te klikken. Een drip die de boel door elkaar bracht was nog relatief onschuldig.
En natuurlijk beheerders die gewoon met domain admin de dagelijkse werkzaamheden uitvoeren. Wel zo makkelijk om bestanden waarom gevraagd is zo in ieders home diir te zetten. De bofh in de richting van uberbofh.
je slaat de plank mis en je begrijp niet wat the point was. laat een status quo niet een status quo zijn omdat er volgens jou asshole beheerders zijn die alles als een cowboy doen en die moeten maar leren dus we doen niets aan die stupide bug die er nooit had mogen zijn. security gaat met lagen, ook hier, mensen is een laagje, het brakke OS met dit soort 'features' is ook een laag. had de mens perfect gewerkt, dan geen issue, had OS perfect gewerkt, ook geen issue. beiden werken niet perfect en er is dus zo nu en dan 'overlap'. de fabrikant heeft invloed op het OS en moet dus zijn verantwoordelijkheid nemen, de mensen en de beheerders ook, maar aangezien hele wijze mensen al een geconstateerd hebben dat er aan stupiditeit en eigenwijsheid vrijwel geen grenzen zitten (recursie waarschuwing: kijk naar jezelf), en mensen mondiaal verdeeld zijn, acht ik de kans groter dat we vlugger een betere security krijgen als we ons focussen de fabrikant zijn zaakjes op orde te hebben. waarom moet een OS alles default aan hebben staan en de beheerder niet een KEUS geven een safe en sane default installatie? dat geldt dus niet alleen voor SMB issues waar we er elke maand wel eentje van gehad hebben nu, tot aan code uit executables uitvoeren om een icoontje in een verkenner te laten zien of linkjes alvast uitvoeren in een e-mail om meuk binnen te halen en thumbnails te maken oid. er wordt dus terrecht geconstateerd dat je de zaak bagataliseerd omdat je ten toon stelt het menselijke en het overzicht te missen in deze saga!
p.s.
Beetje saai dit standpunt, want het is steeds hetzelfde liedje ...
Helaas kunnen de 'bugs' ondertussen ook door andere kwaadwillenden mis/gebruikt worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
