image

Nieuw beveiligingslek in Windows actief aangevallen

woensdag 5 september 2018, 16:23 door Redactie, 23 reacties

Een beveiligingslek in Windows dat onlangs openbaar werd gemaakt en waar nog geen beveiligingsupdate van Microsoft voor beschikbaar is wordt actief aangevallen. Dat laat anti-virusbedrijf ESET vandaag weten. Via de kwetsbaarheid kan een aanvaller zijn rechten op het systeem verhogen.

Dit geeft een aanvaller veel meer mogelijkheden om het systeem verder te compromitteren, bijvoorbeeld als de besmette gebruiker met beperkte rechten is ingelogd. Het beveiligingslek werd door een onderzoeker op Twitter openbaar gemaakt, zonder dat Microsoft van tevoren was ingelicht. Een update is dan ook nog niet beschikbaar. ESET meldt nu dat het een groep aanvallers heeft ontdekt die misbruik van de kwetsbaarheid maakt.

De eerste aanvallen werden twee dagen na het online verschijnen van de details en exploit waargenomen. Volgens de virusbestrijder hebben de aanvallers niet de exploit gebruikt die door de onderzoeker openbaar werd gemaakt, maar gaat het om een licht aangepaste variant. Het aantal slachtoffers van de groep is klein en de doelwitten bevinden zich in Chili, Duitsland, India, de Filipijnen, Polen, Rusland, het Verenigd Koninkrijk, de Verenigde Staten en Oekraïne.

Voordat het nieuwe beveiligingslek in Windows kan worden uitgebuit moeten de aanvallers al toegang tot het systeem hebben. Hiervoor worden e-mails met kwaadaardige bijlagen gebruikt. "Deze specifieke campagne is op een beperkt aantal gebruikers gericht, maar laat je daardoor niet misleiden. Het laat zien dat cybercriminelen het nieuws volgen en exploits gebruiken zodra die openbaar worden gemaakt", aldus onderzoeker Matthieu Faou. In afwachting van een beveiligingsupdate van Microsoft heeft het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit verschillende workarounds verzameld. Daarnaast heeft een securitybedrijf een onofficiële patch beschikbaar gemaakt.

Reacties (23)
05-09-2018, 17:21 door karma4
De aanvaller moet toegang tot de machine hebben...
Ofwel de beheerder zelfs is het zwakste punt in de ketting.
Als je root hebt ja dan kun root rechten acties starten.
05-09-2018, 17:58 door Anoniem
Door karma4: De aanvaller moet toegang tot de machine hebben...
Ofwel de beheerder zelfs is het zwakste punt in de ketting.
Als je root hebt ja dan kun root rechten acties starten.
Ben je nu niet een beetje aan het bazelen?
Komt dat alleen omdat het dit keer over Windows gaat?
De aanvaller moet toegang hebben tot de machine als normale user, en kan dan SYSTEM worden.
Met beheerder en root heeft dat niks te maken...
05-09-2018, 18:28 door Anoniem
Door karma4: De aanvaller moet toegang tot de machine hebben...
Ofwel de beheerder zelfs is het zwakste punt in de ketting.
Als je root hebt ja dan kun root rechten acties starten.

In Linux termen is dit meer richting "www-data" of "ftpuser" die sudo rechten krijgt zonder ww.
05-09-2018, 18:52 door [Account Verwijderd]
Door karma4: De aanvaller moet toegang tot de machine hebben...
Ofwel de beheerder zelfs is het zwakste punt in de ketting.
Als je root hebt ja dan kun root rechten acties starten.

Je moet nu echt eens goed gaan beseffen dat heel veel Windows 10 pc's gewone thuis pc's zijn die helemaal geen opgeleide beheerder hebben! Jij denkt alleen maar aan Enterprise systemen waar alles beter dichtgetimmerd is.

Het is wel kwalijk dat de onderzoeker het lek al openbaar heeft gemaakt voordat hij Microsoft ingelicht heeft.
05-09-2018, 20:24 door Bitwiper - Bijgewerkt: 05-09-2018, 20:25
Door Anoniem:
Door karma4: De aanvaller moet toegang tot de machine hebben...
Ofwel de beheerder zelfs is het zwakste punt in de ketting.
Als je root hebt ja dan kun root rechten acties starten.
Ben je nu niet een beetje aan het bazelen?
Hoezo "nu"?
Door Anoniem: De aanvaller moet toegang hebben tot de machine als normale user, en kan dan SYSTEM worden.
Guest volstaat voor deze exploit om SYSTEM te worden. Maar ook dat heeft karma4 al gebagatelliseerd, want met SYSTEM zou je minder kunnen dan root onder Linux. Dat klopt een paar microseconden (je kunt niet direct netwerkverbindingen maken, maar je hebt wel alle privileges om een account te maken dat dit wel kan, en los daarvan kun je desgewenst het hele OS vervangen (naast effectieve rootkits installeren). SYSTEM is het maximaal haalbare voor elke aanvaller.

Maar sowieso is het een flapdrol die uitspraken van anderen op mij afwentelt en kennelijk niet eens het verschil kent tussen task scheduler en task manager (https://security.nl/posting/575170). Een normale discusie is onmogelijk met deze persoon die zichzelf soms compleet tegenspreekt (voorbeeld, zie onderin https://security.nl/posting/573145) en ook dat dan weer met een hoop bla probeert weg te poetsen. Hopeloos.
05-09-2018, 20:28 door Anoniem
karma begrijpt de impact weer eens (expres want MS fanboy?) niet en lezen kan ie ook niet:

"Dit geeft een aanvaller veel meer mogelijkheden om het systeem verder te compromitteren, bijvoorbeeld als de besmette gebruiker met beperkte rechten is ingelogd."

je hoeft dus maar een rare mail in je foutlook van de secretaresse te krijgen en voila een of andere download runt als opperhoofd op je systeem.

da's vervelend. daarom blij dat je een optie hebt die je tijdelijk zou kunnen gebruiken:

https://www.security.nl/posting/575291/Securitybedrijf+ontwikkelt+patch+voor+nieuw+Windows-lek
05-09-2018, 22:48 door Anoniem
Door Bitwiper:
Door Anoniem:
Door karma4: De aanvaller moet toegang tot de machine hebben...
Ofwel de beheerder zelfs is het zwakste punt in de ketting.
Als je root hebt ja dan kun root rechten acties starten.
Ben je nu niet een beetje aan het bazelen?
Hoezo "nu"?
Door Anoniem: De aanvaller moet toegang hebben tot de machine als normale user, en kan dan SYSTEM worden.
Guest volstaat voor deze exploit om SYSTEM te worden. Maar ook dat heeft karma4 al gebagatelliseerd, want met SYSTEM zou je minder kunnen dan root onder Linux. Dat klopt een paar microseconden (je kunt niet direct netwerkverbindingen maken, maar je hebt wel alle privileges om een account te maken dat dit wel kan, en los daarvan kun je desgewenst het hele OS vervangen (naast effectieve rootkits installeren). SYSTEM is het maximaal haalbare voor elke aanvaller.

Maar sowieso is het een flapdrol die uitspraken van anderen op mij afwentelt en kennelijk niet eens het verschil kent tussen task scheduler en task manager (https://security.nl/posting/575170). Een normale discusie is onmogelijk met deze persoon die zichzelf soms compleet tegenspreekt (voorbeeld, zie onderin https://security.nl/posting/573145) en ook dat dan weer met een hoop bla probeert weg te poetsen. Hopeloos.

Het valt allemaal wel mee het is een priv escalation geen RCE.
Je moet eerst dus iets openen voordat er ook maar iets kan gebeuren.
Er is ook een mitigation wat je kan toepassen totdat het gefixed is : https://www.kb.cert.org/vuls/id/906424
05-09-2018, 23:22 door [Account Verwijderd] - Bijgewerkt: 05-09-2018, 23:23
Dat krijg je er nu van als je als securityteam een "patch tuesday" bedenkt. Ik hoop voor de Windows 10 gebruikers dat men daar in Redmond al een fix voorhanden heeft en deze in ieder geval meestuurt op de eerstvolgende updateronde.

Administrator, gewone gebruiker, het zal allemaal wel. Maar het is weer eens een "big fail" voor de Redmond-boys (and girls). Maar let op: bepaalde figuren (met name specifiek één persoon, inmiddels "berucht" op deze website) gaan de schuld weer bij Unix/Linux leggen, omdat het mogelijk is dat exploits over het internet mogelijk zijn en omdat er in sommige gevallen sprake is van slecht beheer. Immers draait 90% van alle servers in de wereld op Linux. En daarom zal het volgens deze persoon ALTIJD aan "de Linux OS-nerds" liggen. Give me a break in advance...

Maar nee, dat pareren we maar even meteen. Heb je een deur (Windows), dan moet daar een slot in om alles wat ongewenst is buiten te houden (antivirus en firewall), óf de sleutel niet in het slot laten (patch).
05-09-2018, 23:29 door [Account Verwijderd]
Door karma4: De aanvaller moet toegang tot de machine hebben...
Ofwel de beheerder zelfs is het zwakste punt in de ketting.
Als je root hebt ja dan kun root rechten acties starten.

Zucht.... Karma4, stop eens met die blindgangers van je. Je bent zó godsgruwelijk overtuigd van je fanboisme, dat je complete nonsens uitslaat. Want wat zegt het bericht? En ik citeer:

Dit geeft een aanvaller veel meer mogelijkheden om het systeem verder te compromitteren, bijvoorbeeld als de besmette gebruiker met beperkte rechten is ingelogd.

Niks root (waarom heet dit niet gewoon "administrator" bij jou? Je bent toch Windows-fanaat?), maar een gewone gebruiker.

Stop eens met het beheer de schuld te geven. Het design van Windows laat dit ook toe. Je kunt niet alles op "beheer" afschuiven. Je kunt tegen een bewaker toch ook niet zeggen dat het zijn schuld is als er een ramkraak is geweest op de voordeur van de bank? Die deur is bestand tegen een stootje, maar niet tegen een ramkraak. En de bewaker kan niets doen aan de kwaliteit van deze voordeur. Zó moet je het zien. Snap je het een keertje?

Doe je Windows-fundamentalisme eens de deur uit en stap in de werkelijkheid.
06-09-2018, 00:15 door Joep Lunaar
Beste mensen,
Valt a.j.b. niet over elkaar in het afgeven op karma4, ook al klopt wat die schreef niet.
Blijf inhoudelijk en on-topic, daar hebben we meer aan.
06-09-2018, 00:31 door Anoniem
Het beveiligingslek werd door een onderzoeker op Twitter openbaar gemaakt,
zonder dat Microsoft van tevoren was ingelicht.

Waarom eigenlijk?
06-09-2018, 06:34 door Anoniem
Betekent dit ook dat een rdp of andere remote desktop oplossing het risico lopen dat gebruikers SYSTEM rechten op de server kunnen verkrijgen? Met een beetje pech zijn ze daarna domain admin als ze creds kunnen dumpen.
06-09-2018, 09:25 door Tha Cleaner
Door Unix4: Dat krijg je er nu van als je als securityteam een "patch tuesday" bedenkt. Ik hoop voor de Windows 10 gebruikers dat men daar in Redmond al een fix voorhanden heeft en deze in ieder geval meestuurt op de eerstvolgende updateronde.
Er had hier inderdaad een out-of-band patch voor kunnen komen. Echter dit kost tijd en deze exploit was direct gepublisheerd. Er is maar 1 die hier echt de fout heeft gemaakt en dit gevaar gecreëerd heeft. Bewust of onbewust.

En juist een goed security team denkt na over zoiets als een "patch tuesday". Dat is juist een gewenste oplossing zodat je alles goed kan regelen. Maar dat is een hele andere discussie. Juist als je ver van de gebruikers afstaat, doe je dit soort opmerkingen. Je hebt dan namelijk helemaal geen idee wat de eind gebruikers willen en hoe je dat kan/moet mnagenen. Jouw opmerking voldoet hieraan precies.
06-09-2018, 12:55 door -karma4
Door Tha Cleaner:
Door Unix4: Dat krijg je er nu van als je als securityteam een "patch tuesday" bedenkt. Ik hoop voor de Windows 10 gebruikers dat men daar in Redmond al een fix voorhanden heeft en deze in ieder geval meestuurt op de eerstvolgende updateronde.
Er had hier inderdaad een out-of-band patch voor kunnen komen. Echter dit kost tijd en deze exploit was direct gepublisheerd. Er is maar 1 die hier echt de fout heeft gemaakt en dit gevaar gecreëerd heeft. Bewust of onbewust.

Inderdaad! Dus Microsoft, doe er wat aan! En snel want wij - de gebruikers - lopen het risico!
06-09-2018, 13:21 door Anoniem
Er was natuurlijk van alles mis met de disclosure dit keer. Omgebouwde ie-gender met klachten, dat zijn baard in de keel was blijven steken, worstelend met grote problemen van de nasleep van deze ingreep en dit uitend op twitter. Had niet de voorgeschreven disclosure weg gevolgd, was ontevereden over de benadering/vergoeding van MS en plempte zijn zero-day vervolgens maar op het openbare net. Cybercrime is blij met zulke acties. POC is getest, de arbeid onder de detectie-radar kan aanvangen.

Nu moet Microsoft de patch nog uitbrengen, anderen kwamen al met een fix, die men later bij de echte patch weer moet verwijderen en hebben we een hoop gezeur omdat de openbaarmaking niet volgens de regels of liever gezegd helemaal niet volgens de regels verliep. Geen excuus voor Microsoft hoor, begrijp me goed. Wel bijzondere omstandigheden.

De "one click netizen" is weer de dupe van een OS dat in de vorige eeuw zo nooit aan het Internet had mogen worden gehangenm, omdat het net als JavaScript en php er nog niet rijp voor was.

Zie de ellende met https/http en daarom gaat Google een "dumbed down" alternatief verzinnen voor de uri.

Wat karma4 betreft, hij heeft wel gelijk dat alle software met het onveiligheidsprobleem blijft kampen. Code en contra-code is als de afwisseling van de golven aan het strand en verloopt in een eeuwigdurend ritme van eb en vloed. Daarom blijft men hier ook voortdurend posten. ;)
06-09-2018, 20:26 door [Account Verwijderd]
Door The FOSS:
Door Tha Cleaner:
Door Unix4: Dat krijg je er nu van als je als securityteam een "patch tuesday" bedenkt. Ik hoop voor de Windows 10 gebruikers dat men daar in Redmond al een fix voorhanden heeft en deze in ieder geval meestuurt op de eerstvolgende updateronde.
Er had hier inderdaad een out-of-band patch voor kunnen komen. Echter dit kost tijd en deze exploit was direct gepublisheerd. Er is maar 1 die hier echt de fout heeft gemaakt en dit gevaar gecreëerd heeft. Bewust of onbewust.

Inderdaad! Dus Microsoft, doe er wat aan! En snel want wij - de gebruikers - lopen het risico!

Je gebruikt toch zelf geen Microsoft hoop ik? ;-)
06-09-2018, 22:00 door Anoniem
Door The FOSS:
Door Tha Cleaner:
Door Unix4: Dat krijg je er nu van als je als securityteam een "patch tuesday" bedenkt. Ik hoop voor de Windows 10 gebruikers dat men daar in Redmond al een fix voorhanden heeft en deze in ieder geval meestuurt op de eerstvolgende updateronde.
Er had hier inderdaad een out-of-band patch voor kunnen komen. Echter dit kost tijd en deze exploit was direct gepublisheerd. Er is maar 1 die hier echt de fout heeft gemaakt en dit gevaar gecreëerd heeft. Bewust of onbewust.

Inderdaad! Dus Microsoft, doe er wat aan! En snel want wij - de gebruikers - lopen het risico!

Volgende week zal hier waarschijnlijk een update voor zijn die gewoon werkt en supported is.
07-09-2018, 05:48 door Anoniem
Door Anoniem: Er was natuurlijk van alles mis met de disclosure dit keer. Omgebouwde ie-gender met klachten, dat zijn baard in de keel was blijven steken, worstelend met grote problemen van de nasleep van deze ingreep en dit uitend op twitter. Had niet de voorgeschreven disclosure weg gevolgd, was ontevereden over de benadering/vergoeding van MS en plempte zijn zero-day vervolgens maar op het openbare net. Cybercrime is blij met zulke acties. POC is getest, de arbeid onder de detectie-radar kan aanvangen.
Tja, ik snap de frustratie wel. Vaak genoeg meegemaakt dat bedrijven totale desinteresse hebben of een vulnerability bagataliseren.

Recent voorbeeld: een cryptocurrency applicatie welke plaintext credentials lekt. Een andere gebruiker op hetzelfde systeem kon deze bemachtigen en inloggen op het online account van zijn slachtoffer. Cryptocurrency overboeken was niet mogelijk maar wel verhandelen dus dan speel je simpelweg alle geld foetsie. Geen bounty want: er is toegang nodig tot het systeem van je slachtoffer.....

Zo kom je op een punt waarop je denkt fuck it en staat er dus een 0-day op het net of zet je een andere kleur hoed op.
07-09-2018, 07:33 door -karma4 - Bijgewerkt: 07-09-2018, 07:34
Door linux4:
Door The FOSS:
Door Tha Cleaner: ...

Inderdaad! Dus Microsoft, doe er wat aan! En snel want wij - de gebruikers - lopen het risico!

Je gebruikt toch zelf geen Microsoft hoop ik? ;-)

Ik heb nog een goedkoop tweedehandsje met Windows (10) staan voor de firmware updates en (voornamelijk) voor als ik de werking van multi-platform software moet testen op Windows. Als ik dus op Windows afgeef is dat vaak uit eigen - tenenkrommende - ervaring.
08-09-2018, 09:32 door karma4
Door Unix4: Zucht.... Karma4, stop eens met die blindgangers van je. Je bent zó godsgruwelijk overtuigd van je fanboisme, dat je complete nonsens uitslaat. Want wat zegt het bericht? En ik citeer:
..
Dit geeft een aanvaller veel meer mogelijkheden om het systeem verder te compromitteren, bijvoorbeeld als de besmette gebruiker met beperkte rechten is ingelogd.
..
Stop eens met het beheer de schuld te geven. Het design van Windows laat dit ook toe. Je kunt niet alles op "beheer" afschuiven. Je kunt tegen een bewaker toch ook niet zeggen dat het zijn schuld is als er een ramkraak is geweest op de voordeur van de bank? Die deur is bestand tegen een stootje, maar niet tegen een ramkraak. En de bewaker kan niets doen aan de kwaliteit van deze voordeur. Zó moet je het zien. Snap je het een keertje?
..
Doe je Windows-fundamentalisme eens de deur uit en stap in de werkelijkheid.
Ik stap in de werkelijkheid en zie het Linux fanboisme met windows bashing met een evangelisten houding.
Enkele basis begrippen en handelingen voor een gedegen security worden stelselmatig genegeerd.

Heb je de analyse gedaan?

Er staat dat de gewone gebruiker (geen admin) zelf de programmatuur moet starten.
" kan worden uitgebuit moeten de aanvallers al toegang tot het systeem hebben."
Ik heb eerder en vaker gepost dat het me tegen staat dat services geen geïsoleerde beperkte rechten krijgen maar er de voorkeur is om local system te gebruiken. Dat werk makkelijk Dat is OS onafhankelijk.

Het gedoe met sudo moet naar root om … is de zelfde houding. Dan zit je met de tenenkrommende ervaringen dat de os nerds er een grote puinhoop van maken wat informatieveiligheid betreft en wat systeemperformance betreft.

In plaats van dat ze dat willen oppakken ter verbetering is het enige wat er uitkomt "ja maar windows…". Dat is nog tenenkrormmender als blijk van onwil en onvermogen.
Wat voorbeelden:
- Hoe staat het IOT veiligheid, is er niet.
- Hoe staat het met shadow ICT cloud oplossingen wat betreft veiligheid, is er niet.

Desktops is de Enterprise krijg je wel dicht, de Enterprise gegevens met schadow IT dan wel niet meedenkende nerds is wat anders. Een thuispc heeft andere zorgen en aandachtspunten dan een schedule functie. Ik gebruik die niet, wie wel?
08-09-2018, 16:44 door mankar - Bijgewerkt: 08-09-2018, 16:48
[Verwijderd door moderator]
10-09-2018, 10:53 door mankar
[Verwijderd door moderator]
10-09-2018, 14:23 door mankar
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.