Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Deadline Windows servers gemist

12-06-2019, 09:06 door [Account Verwijderd], 24 reacties
Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

https://www.bleepingcomputer.com/news/security/bad-cert-vulnerability-can-bring-down-any-windows-server/

Microsoft misses patch delivery deadline

Ormandy disclosed the problem privately to Microsoft in March 2019. At the time, the company replied that it needed until June 11 to come up with a fix.

Although that date meant breaking the responsible disclosure grace period by a day, Ormandy accepted the extension.

However, a subsequent message from the Microsoft Security Response Center (MSRC) informed that a patch wouldn't be ready until next month's release of security updates.

These circumstances prompted Ormandy to make the details public. "As today is 91 days, derestricting the issue," he announced in a comment to the vulnerability disclosure.
Reacties (24)
12-06-2019, 19:40 door [Account Verwijderd]
13-06-2019, 07:42 door Anoniem
Gelukkig heeft Google het beste met je voor…….
13-06-2019, 09:02 door Anoniem
Door Captains of Industry: Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

Alle? Ik lees toch echt iets anders:
Ormandy says that the SymCrypt glitch can allow an attacker to DoS any Windows server, such as IPsec (used for VPN connections), Internet Information Services (IIS), or Microsoft Exchange Server

Je opmerking spreekt weer boekdelen, erg onprofessioneel, maar past precies bij Captains of Chaos.

Al blijft het een slechte, dit hadden ze gewoon moeten fixen.
Gelukkig hangen de meeste webservers niet direct aan het Internet en zit er een Web Application Firewall vaak tussen of je moet vanaf het Interne netwerk direct toegang hebben tot de webserver.

Maar het is en blijf slordig.
13-06-2019, 10:48 door [Account Verwijderd] - Bijgewerkt: 13-06-2019, 11:23
Door Anoniem:
Door Captains of Industry: Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

Alle? Ik lees toch echt iets anders:
Ormandy says that the SymCrypt glitch can allow an attacker to DoS any Windows server, such as IPsec (used for VPN connections), Internet Information Services (IIS), or Microsoft Exchange Server

Zie het vetgedrukte 'any' in jouw quote. Verder nog iets?
13-06-2019, 11:44 door Anoniem
Door Anoniem: Gelukkig heeft Google het beste met je voor…….
Dit is de schuld van Microsoft. Die had de kwetsbaarheid op tijd moeten patchen. Google is er heel duidelijk over dat ze vulnerabilities disclosen na een bepaalde periode. Als ze hiermee gaan marchanderen, betekent dat dat bedrijven als Microsoft de druk niet meer voelen om hun kwetsbaarheden zo snel mogelijk te patchen.

90 dagen is lang genoeg voor een bedrijf als Microsoft. Die hebben de middelen echt wel om een kwetsbaarheid voor die tijd te fixen.
13-06-2019, 12:48 door Anoniem
Door Captains of Industry: Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

https://www.bleepingcomputer.com/news/security/bad-cert-vulnerability-can-bring-down-any-windows-server/

Microsoft misses patch delivery deadline

Ormandy disclosed the problem privately to Microsoft in March 2019. At the time, the company replied that it needed until June 11 to come up with a fix.

Although that date meant breaking the responsible disclosure grace period by a day, Ormandy accepted the extension.

However, a subsequent message from the Microsoft Security Response Center (MSRC) informed that a patch wouldn't be ready until next month's release of security updates.

These circumstances prompted Ormandy to make the details public. "As today is 91 days, derestricting the issue," he announced in a comment to the vulnerability disclosure.
Misschien kun je beter eerst her artikel lezen voordat je iets post, dit is een hele specifieke aanval waarmee je niet zomaar servers offline kunt halen. Dat titel-lezen-en-klakkeloos-overnemen tegenwoording.. Zucht.
13-06-2019, 12:50 door Anoniem
Door Captains of Industry:
Door Anoniem:
Door Captains of Industry: Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

Alle? Ik lees toch echt iets anders:
Ormandy says that the SymCrypt glitch can allow an attacker to DoS any Windows server, such as IPsec (used for VPN connections), Internet Information Services (IIS), or Microsoft Exchange Server

Zie het vetgedrukte 'any' in jouw quote. Verder nog iets?

"Any" betekent "elke versie" in die context.
In jouw context leest "alle" alsof elke Windows server (installatie, dus niet versie) kapot gemaakt kan worden.
Dit is foutief, en een aanname.
13-06-2019, 13:18 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig heeft Google het beste met je voor…….
Dit is de schuld van Microsoft. Die had de kwetsbaarheid op tijd moeten patchen. Google is er heel duidelijk over dat ze vulnerabilities disclosen na een bepaalde periode. Als ze hiermee gaan marchanderen, betekent dat dat bedrijven als Microsoft de druk niet meer voelen om hun kwetsbaarheden zo snel mogelijk te patchen.

90 dagen is lang genoeg voor een bedrijf als Microsoft. Die hebben de middelen echt wel om een kwetsbaarheid voor die tijd te fixen.

Het lek zal door Microsoft wel binnen 90 dagen gepatched zijn.
Er blijft alleen nog wel zoiets als testen op verschillende hardware / omgevingen over en verspreiden van de patches.
Het lijkt me ook niet verstandig om je daarin door een ander groot bedrijf in te laten chanteren.
Zeker niet als datzelfde andere bedrijf voor zijn eigen producten wel deadlines kan verlengen.
Anders kun je wellicht beter bij al je producten decennia lang Beta erbij zetten.

Los hiervan, eindgebruikers moeten ook nog de kans en tijd krijgen de patches te installeren.
Nu is er door Google feitelijk een lek aan de H@x0r community vrij gegeven waar nog een patch voor is en 80% van de computers wereldwijd vatbaar voor zijn.
Wie is hierbij gebaat?

Maargoed, ik ben blij te vernemen dat alle Android telefoons over de wereld ondertussen veilig gepatched zijn.
13-06-2019, 13:46 door [Account Verwijderd]
Door Anoniem:
Door Captains of Industry:
Door Anoniem:
Door Captains of Industry: Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

Alle? Ik lees toch echt iets anders:
Ormandy says that the SymCrypt glitch can allow an attacker to DoS any Windows server, such as IPsec (used for VPN connections), Internet Information Services (IIS), or Microsoft Exchange Server

Zie het vetgedrukte 'any' in jouw quote. Verder nog iets?

"Any" betekent "elke versie" in die context.

Nee hoor, dan zou er nl. any type of Windows server hebben gestaan. De kop van het artikel laat ook weinig ruimte voor twijfel hierover: Bad Cert Vulnerability Can Bring Down Any Windows Server

Door Anoniem: In jouw context leest "alle" alsof elke Windows server (installatie, dus niet versie) kapot gemaakt kan worden. Dit is foutief, en een aanname.

Dat moet je dan met de schrijver van het gelinkte artikel opnemen. De auteur staat erbij.
13-06-2019, 14:55 door Anoniem
Door Captains of Industry: Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

Paar professionele opmerkingen, kan je misschien wat van leren?

Yes, Microsoft needs time to test patches to core components.

It's called "trying to make sure hundreds of millions of machines keep working"...along with hundreds of thousands to millions of apps. Most people (including me) have trouble even imagining what that scale is like.


I'm not on the frontlines of vuln research but I care about people who have to deal with the mess you disclosed, needlessly early in my opinion. It's not like Microsoft was ignoring or disrespecting you. Seriously, I expected better from someone who's been around as long as you.
13-06-2019, 17:32 door [Account Verwijderd]
Door Anoniem:
Door Captains of Industry: Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

Paar professionele opmerkingen, kan je misschien wat van leren?

Yes, Microsoft needs time to test patches to core components.

It's called "trying to make sure hundreds of millions of machines keep working"...along with hundreds of thousands to millions of apps. Most people (including me) have trouble even imagining what that scale is like.


I'm not on the frontlines of vuln research but I care about people who have to deal with the mess you disclosed, needlessly early in my opinion. It's not like Microsoft was ignoring or disrespecting you. Seriously, I expected better from someone who's been around as long as you.

Ben je nu Engelstalige opmerkingen van een ander forum hier aan het plakken? Je weet zelfs niets te bedenken en gaat dan maar shoppen op een ander forum (en een ander onderwerp?) Dat is wel erg zielig.
13-06-2019, 17:55 door Anoniem
Door Anoniem:
Door Captains of Industry: Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

Paar professionele opmerkingen, kan je misschien wat van leren?

Yes, Microsoft needs time to test patches to core components.

It's called "trying to make sure hundreds of millions of machines keep working"...along with hundreds of thousands to millions of apps. Most people (including me) have trouble even imagining what that scale is like.


I'm not on the frontlines of vuln research but I care about people who have to deal with the mess you disclosed, needlessly early in my opinion. It's not like Microsoft was ignoring or disrespecting you. Seriously, I expected better from someone who's been around as long as you.

Daarom disclose ik (als ik dat al toe) eerst met de veroorzaker cq dader namelijk Microsoft in dit geval; en je moet zo'n bedrijf ook de tijd geven om te reageren, patchen enz... dat moet worden afgestemd en kan soms maanden of een half uur duren. Er zijn veel leaks bekend die de Security Researcher netjes voor zichzelf houdt zoals het betaamd.

Want met de credits strijken "oh kijk het is lek" is zo 2005.

Als een bedrijf niet (wil) reageren dan kun je nog altijd kiezen om te disclosen maar dan wel partial zodat niet alles plat gaat want dat neemt niemand je in dank af. Of als je zwarte petter bent verkoop je je bug voor exploits op het darkweb, ofzo? Sommige bedrijven interesseert het namelijk totaal niet om op een responsible disclosure of een andere vorm van 'oplossingen' te komen zoals bugbounty/reward.
20-06-2019, 17:08 door Anoniem
Door [Account Verwijderd]:
Door Anoniem:
Door Captains of Industry:
Door Anoniem:
Door Captains of Industry: Het is weer eens zo ver. Microsoft mist de deadline voor een beveilingsprobleem waarmee alle Windows servers onklaar gemaakt kunnen worden.

Alle? Ik lees toch echt iets anders:
Ormandy says that the SymCrypt glitch can allow an attacker to DoS any Windows server, such as IPsec (used for VPN connections), Internet Information Services (IIS), or Microsoft Exchange Server

Zie het vetgedrukte 'any' in jouw quote. Verder nog iets?

"Any" betekent "elke versie" in die context.

Nee hoor, dan zou er nl. any type of Windows server hebben gestaan. De kop van het artikel laat ook weinig ruimte voor twijfel hierover: Bad Cert Vulnerability Can Bring Down Any Windows Server

Door Anoniem: In jouw context leest "alle" alsof elke Windows server (installatie, dus niet versie) kapot gemaakt kan worden. Dit is foutief, en een aanname.

Dat moet je dan met de schrijver van het gelinkte artikel opnemen. De auteur staat erbij.

Ja want koppen van een tekst zijn nooit suggestief geschreven =)
21-06-2019, 06:41 door karma4
Door Anoniem: ...
Maargoed, ik ben blij te vernemen dat alle Android telefoons over de wereld ondertussen veilig gepatched zijn.
Gebeurt vanzelf gratis en voor niets net zoals dat die apparaten jaren ondersteund worden.

Dat consumentenbond en en gebruikers klagen over het gebrek daaraan is niet waar volgens het oss geloof.
Dat Google een groot commercieel bedrijf zou zijn die lak heft aan privacy is neen leugen voor oss believers.

Er valt weinig eer aan te behslen. Last je ze hun gang gaan dsn heb je er via een omweg veel kast van.
21-06-2019, 10:59 door Anoniem
Deadline Windows servers gemist

Wat erg zeg, indien de kwetsbaarheid nog niet bekend is gemaakt, en responsible disclosure principes worden gevolgd. Je loopt nu een theoretisch risico, indien een crimineel per toeval het zelfde lek ontdekt ?

Klagen om het klagen, dit soort topics, boeiend of het een paar dagen uitloopt.
22-06-2019, 06:33 door [Account Verwijderd] - Bijgewerkt: 22-06-2019, 06:36
Door Anoniem:
Deadline Windows servers gemist

Wat erg zeg, indien de kwetsbaarheid nog niet bekend is gemaakt, en responsible disclosure principes worden gevolgd. Je loopt nu een theoretisch risico, indien een crimineel per toeval het zelfde lek ontdekt ?

Klagen om het klagen, dit soort topics, boeiend of het een paar dagen uitloopt.

Je kan blijkbaar gewoon niet begrijpend lezen: These circumstances prompted Ormandy to make the details public. "As today is 91 days, derestricting the issue," he announced in a comment to the vulnerability disclosure.

De clou is juist dat de details van het probleem publiek zijn gemaakt na 90 inactiviteit bij Microsoft (die wil het probleem gewoon niet oplossen). Met de de details op straat, hoe lang denk je dat het duurt voordat er een exploit is? Juist, 'gisteren'. Grootschalig scannen voor deze kwetsbaarheid is waarschijnlijk al een feit. En daarvoor wil jij je ogen sluiten omdat 'het niet boeit'? Wat niet weet, wat niet deert? Nou, succes daarmee!
22-06-2019, 12:51 door karma4
Door En Rattshaverist: [
.....
Grootschalig scannen voor deze kwetsbaarheid is waarschijnlijk al een feit. En daarvoor wil jij je ogen sluiten omdat 'het niet boeit'? Wat niet weet, wat niet deert? Nou, succes daarmee!
Het begrijpend lezen vraagt ook denkvermogen dat mist bij de blinde microsoft Bashing.
Dacht je nu echt dat Google als grootste privacy schender en als leverancier van een falend Android gebeuren wat updates betreft het td doen was om informatieveiligheid?
Als ze de aandacht Hoe slecht een concurrent wel niet zou zijn kunnen verleggen dan hoeven ze mibd er aan eigen kwaliteit te doen. De belabberde kwaliteit met iot linux wordt via wetgeving opgepakt. Die met linux servers zal nog komen.
22-06-2019, 13:36 door Anoniem
Door En Rattshaverist:
De clou is juist dat de details van het probleem publiek zijn gemaakt na 90 inactiviteit bij Microsoft (die wil het probleem gewoon niet oplossen).
Soms is lezen best lastig. Kan ik begrijpen. Maar ik heb nergens gelezen dat Microsoft het probleem niet wou oplossen. Heb jij misschien daar ook een bron van? Want Microsoft zou hiervoor gewoon een update uitbrengen. Ze hadden alleen meer tijd nodig.


Met de de details op straat, hoe lang denk je dat het duurt voordat er een exploit is? Juist, 'gisteren'. Grootschalig scannen voor deze kwetsbaarheid is waarschijnlijk al een feit. En daarvoor wil jij je ogen sluiten omdat 'het niet boeit'? Wat niet weet, wat niet deert? Nou, succes daarmee!
Lastige keuze....

* Of we wachten nog even om de bug naar buiten te brengen, want misschien heeft iemand anders deze ook al gevonden. Theoretisch kan dit natuurlijk.
* Of we brengen hem gewoon naar buiten, en fuck de wereld.

Inderdaad succes daarmee!
22-06-2019, 14:06 door [Account Verwijderd]
Door karma4:
Door En Rattshaverist: [
.....
Grootschalig scannen voor deze kwetsbaarheid is waarschijnlijk al een feit. En daarvoor wil jij je ogen sluiten omdat 'het niet boeit'? Wat niet weet, wat niet deert? Nou, succes daarmee!
Het begrijpend lezen vraagt ook denkvermogen dat mist bij de blinde microsoft Bashing.

Welke Microsoft bashing? Dit is een Microsoft topic en mijn uitspraken zijn on-topic. Jouw rare spindoctoren zoals gewoonlijk niet.
22-06-2019, 14:54 door karma4
Door En Rattshaverist: ...
Welke Microsoft bashing? Dit is een Microsoft topic en mijn uitspraken zijn on-topic. Jouw rare spindoctoren zoals gewoonlijk niet.
Komt vanuit Google. Pepsi cola is volgens coca cola fout.
Éric Arthur had dd schaapjes 4 leg good 2 leg bad.
22-06-2019, 17:06 door [Account Verwijderd]
Door karma4:
Door En Rattshaverist: ...
Welke Microsoft bashing? Dit is een Microsoft topic en mijn uitspraken zijn on-topic. Jouw rare spindoctoren zoals gewoonlijk niet.
Komt vanuit Google. Pepsi cola is volgens coca cola fout.

Natuurlijk. Google neemt tenminste wel haar verantwoordelijkheid en beschermt ons gebruikers. Microsoft heeft de gebruikelijke 90 dagen gekregen om dit probleem op te lossen. Maar het was weer eens niet genoeg tijd. Ja, ja, omdat ze er niet genoeg geld in willen stoppen. Of omdat het zo'n spaghetticode zootje is dat het niet meer uitmaakt hoeveel geld ze erin stoppen.

Door karma4: Éric Arthur had dd schaapjes 4 leg good 2 leg bad.

Tuurlijk karma4, het is goed hoor...
22-06-2019, 18:09 door Anoniem
Door En Rattshaverist:
Natuurlijk. Google neemt tenminste wel haar verantwoordelijkheid en beschermt ons gebruikers. Microsoft heeft de gebruikelijke 90 dagen gekregen om dit probleem op te lossen.
Lekker verantwoordelijk en beschermd..... Blijkbaar zit daar bij sommige een wereld van verschil in. Wat ze gedaan hebben, is namelijk exact het tegenovergestelde.

Maar het was weer eens niet genoeg tijd. Ja, ja, omdat ze er niet genoeg geld in willen stoppen.

Of omdat het zo'n spaghetticode zootje is dat het niet meer uitmaakt hoeveel geld ze erin stoppen.
Ahaa blijkbaar werkt jij bij Microsoft aan de bugs die er zijn?
Of je snapt niet dat dit best complex is om op te lossen.

Als ze de bug te snel uitbrengen en er komen problemen uit.
Als ze de bug niet snel genoeg uitbrengen, is het ook niet goed.

tja.... Voor sommige is het nooit goed. Je bent het mooiste voorbeeld hiervoor.
22-06-2019, 20:36 door karma4 - Bijgewerkt: 22-06-2019, 20:37
Door En Rattshaverist:
Natuurlijk. Google neemt tenminste wel haar verantwoordelijkheid en beschermt ons gebruikers. ....
De grootste onzin, triest dat je zoiets gelooft.

De grootste zooi zoals Android linux kunnen ze niet aan.
22-06-2019, 20:53 door [Account Verwijderd]
Door karma4:
Door En Rattshaverist:
Natuurlijk. Google neemt tenminste wel haar verantwoordelijkheid en beschermt ons gebruikers. ....
De grootste onzin, triest dat je zoiets gelooft.

Tja, het is alleen geen kwestie van 'geloven'; hun daden spreken toch echt voor zich...

Door karma4: De grootste zooi zoals Android linux kunnen ze niet aan.

En de kwaliteit van hun producten ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.