OMFG, het is weer zover. Nu is zelfs het meest veilige Microsoft OS ook kwetsbaar.
Zucht, gaan we weer.

Idd, zucht, daar gaan we weer. Weer iemand die gelijk begint te blaten dat Windows zo onveilig is. Gaan we weer als een Pavlov-hondje aan Windows-bashing doen, of kunnen we het deze keer wel objectief houden...

Wees blij, dat ze het zelf gevonden hebben EN een oplossing voor hebben. Hetzelfde gebeurt bij andere OSsen, eerst de brug oplossen en dan pas bekend maken.

Waarom bouwen ze toch iedere keer die lekken in?
Ik bedoel, tot 2008 was er niks aan de hand en daarna kwamen er nog meer van die "veiligste Windows ooit" releases
en nou zitten er ineens twee ernstige lekken in...
Op die manier kunnen we de fabrikant toch helemaal niet meer vertrouwen?

RDP staat op al mijn machines standaard uitgeschakeld, al sinds XP dagen.

en feitelijk is dat op dit moment volledig correct en juist. MS marketeerd win10 als het veiligste systeem ooit. edoch. je hoeft er ook niet op te reageren.

Lijkt me een goed plan. Windows is alleen maar kwetsbaar omdat er zoveel PC's op dit besturingssysteem draaien. Daarom is het hacken of wat dan ook een lucratieve business. Verder heb ik nooit problemen en al helemaal niet met Windows 10

.
Het grootste risico in de hele veiligheidsketen is nog steeds de mens.

Microsoft merkt op dat Windows XP, Server 2003 en 2008 niet kwetsbaar zijn.

En ik maar denken dat Windows XP niet veilig was, en dat mensen moesten overstappen op Windows7 of Win10.
WindowsXP is gestopt met updaten, dus waarom onderzoeken ze dit Uberhaput nog?

Alle OS zijn op zijn tijd kwetsbaar. Het gaat erom hoe snel de kwetsbaarheden aangepakt worden. Het lijkt erop dat Microsoft snel met een update gekomen is al was het wel toevallig ook de tweede dinsdag van de maand gisteren.

Met het gebruik van de term OMFG laat je wel doorschemeren dat je waarschijnlijk een niet al te hoog opgeleid snotneusje bent.

Met het gebruik van de term OMFG laat je wel doorschemeren dat je waarschijnlijk een niet al te hoog opgeleid snotneusje bent.


Of hij is ook zo een puisterige puber,die het ook leuk vind om systemen te hacken met aangekochte "malware"en nu de vermoorde onschuld en z.g.n. deskundigheid speelt.

Ik blaat niet, claim niet dat Windows zo onveilig is en doe geen Windows bashing. Wat ik zeg is dat het meest veilige (Microsoft claimt dat zelf) nu ook kwetsbaar is, daar waar W10 bij vorige lekken vaak buiten schot is gebleven zijn de gebruikers van dat OS nu ook de pineut. Dat is mijn objectieve vaststelling. Bedrijven worstelen nog om op sommige systemen het ene lek te dichten en het andere dient zich alweer aan. En nou niet roepen dat ide bedrijven het slecht voor elkaar hebben, er zijn bijna altijd uitzonderings systemen, zeker in complexe omgevingen waar je niet zomaar kunt patchen of systemen offline kunt halen.

toch genuanceerder aub, een emmer met een klein gaatje is lek en een vergiet is lek. wel een verschil. we hebben het nu wel over: "twee zeer ernstige beveiligingslekken waardoor een aanvaller op afstand kwetsbare systemen zonder enige interactie van de gebruiker kan overnemen."

wat zij bill gates nog eens over windows 98, virussen en hackers zijn onmogelijk ,hehe

Remote Desktop Services is altijd al een risico geweest en blijft dit nog steeds,
of dit nu MS betreft of niet:
https://www.perspectiverisk.com/remote-desktop-service-vulnerabilities/

Cain & Abel stonden altijd al klaar. "Win32:Cain-B [Tool]", Chrome geeft dit aan als "malware", av vlagt.

Maar tegenwoordig kunnen cybercriminelen alles misbruiken, zelfs GDPR privacy wet verzoeken:
https://www.bbc.com/news/technology-49252501

J.O.

Zo toevallig is dat niet. Ze hebben het zelf ontdekt. Ze verwachten dat niemand anders de bug kent. Dus kunnen ze wachten met het uitbrengen tot de tweede dinsdag. Het voordeel hiervan is ook dat ze nu veel patches tegelijk uitbrengen. Dat maakt het voor criminelen lastiger om juist die ene bug te vinden. Als ze een specifieke patch uitbrengen voor deze bug, is deze veel sneller te analyseren en in te zetten voor aanvallen.

Peter

juweeltje: https://www.zdnet.com/article/vulnerability-in-microsoft-ctf-protocol-goes-back-to-windows-xp/

Wie nog W7 heeft en Norton of Symantec heeft draaien, krijgt de maandelijkse updates op dit moment NIET aangeboden. Symantec blokkeert SHA-2, en laten alle W7-updates vanaf deze maand alleen nog maar zo gesigneerd zijn ... Zie https://community.norton.com/en/forums/it-safe-install-august-2019-windows-7-update en https://support.symantec.com/us/en/article.tech255857.html. Best wel een dingetje dus, gezien het dringende advies van MS om NU te patchen.

~Blondie

Wel jammer als je een auto koopt met lane assist, dode hoek detectie, automatische handrem, adaptive headlights, addaptive cruisecontrol, automaat etc. om al die functionaliteit vervolgens uit te schakelen. Had ik ook een Kadett uit 1975 kunnen kopen.

???
Al sinds de XP dagen wordt gewaarschuwd voor de vulnerabilities in het RDP protocol, en dat als je iets van remote desktop wilt gebruiken je beter af bent met een third party app als TightVNC of dergelijke, die hun eigen protocol gebruiken. Dus RDP uitdschakelen waar maar mogelijk is, en liefst zo snel mogelijk na het installeren van je Windows.

Wat betreft jouw auto analogie, sla je inderdaad de spijker op de kop: het merendeel wat je aanhaalt is afleiding als het gaat om autorijden. Wat heb ik aan een alarm dat elke keer afgaat als ik van rijbaan wissel, een auto die afremt op het moment dat ik mijn gaspedaal loslaat, en meer van dat soort onbegrijpelijke rotzooi?

Maar als jij zo graag bezig bent met je mobiel achter het stuur dat je al die troep nodig hebt om je door het dagelijks verkeer te begeven, mag dat van mij hoor. Probeer het alsjeblieft niet mij aan te smeren, ik rij liever zelf, kijk liever zelf, met mijn mobiel in de houder op het dashboard.

Ehm Microsoft geeft aan dat al deze recente lekken niet in het RDP protocol zitten. Er is opzich niets mis met RDP, maar zulke dingen moet je gewoon niet aan het internet hangen. Voor server beheer RSAT tools oid gebruiken, maar zo nu en dan is een RDP sessie opzetten gewoon nodig.

Heb je het niet nodig, schakel het dan uit. Zoals MS al zegt, hoe minder attack surface des te beter.

Ehm, hoe kom je erbij dat er tot 2008 niks aan de hand was? Beveiligingslekken zijn orde van de dag geweest bij Microsoft, al sinds 95 (en waarschijnlijk daarvoor ook al). Sterker nog, vroeger waren ze nog veel erger. Er was een tijd dat je de task manager kon opstarten voordat je was ingelogd en zo het inlogproces kon afsluiten.

Je mist het punt, je koopt een product met bepaalde functionaliteit. Nu blijkt dat je met bepaalde functionaliteit een hoog risico loopt en daarom zet je die functionaliteit uit. Dan had je net zo goed een ander (goedkoper?) product kunnen kopen zonder die functionaliteit.

ps, Je bent kennelijk nog niet klaar voor een up to date auto, komt nog wel, binnen een paar jaar heb je geen keuze meer.

Het patchbeleid bij een bedrijf verloopt gewoonlijk met de volgende drie eindresultaten:

1. Completely Off, or broken in a way to basically be off. Surprisingly common. Can be caused by a faulty WSUS setup;
Bad windows update GPOs that are never fixed; 3rd party patching system that exceeds licensing and stops patching random workstations. Servers get forgotten about and reboots don't happen in a scheduled fashion anymore. I've seen servers failed to get patched for YEARS because of this.

2. Microsoft defaults on workstations, Servers on a delayed patch cycle (1-2 weeks at most) with test servers being patched immediately. I believe this is a good sign of a healthy company in terms of patching.

3. Patch cycle on all machines on some sort of staggered roll out due to some perceived need to test the snot out of all patches. I hate this one, because often it's done due to some knucklehead believing that all changes are going to break stuff, including user workstations. This is the one that caused Microsoft to start making all patches cumulative instead of standalone, because it's this group that would never go back and re-approve fixed patches. I've usually seen this situation at a place that was not patching before, and is overly cautious about getting caught up on patching.

info credit - MaxFrost - Ars Scholae Palatinae
AUG 13, 2019 11:07 PM reactie van,

* Het wachten is nu op de nieuwe super-mega-worm, die ten onzent de hele infrastructuur gaat ontregelen,
een soort van "stuxnet on acid" gebeurtenis. (* opm. van mij #sockpuppet)

#sockpuppet

Een auto hoeft niet up to date te zijn, een auto hoeft alleen maar te rijden. Als we binnen een paar jaar geen keuze meer hebben dan koop ik wel een old timer en knap die op. Rij ik ook nog belastingvrij.

Lees het start artikel:
Microsoft merkt op dat Windows XP, Server 2003 en 2008 niet kwetsbaar zijn.

Uit de CVE's
1. Enable Network Level Authentication (NLA) on systems running supported editions of Windows 7, Windows Server 2008, and Windows Server 2008 R2
2. Block TCP port 3389 at the enterprise perimeter firewall
https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/remote-desktop-allow-access

Als het rdp op het internet open het liggen en iedereen voor RDP laat gaan, dan heb je wel een groter probleem dan dit.
Nu begrijp ik dat de vanuit een ander os zo'n methode met standaard root en wachtwoorden heel normaal is.
Laten we nu eerst eens naar het totale informatieveiligheidsgebeuren kijken ipv voor het nitwit os flaming te gaan.

Deze lekken misschien niet. Maar dat wil niet zeggen dat in het verleden er geen lekken in het RDP protocol zijn geweest waarvoor het dringende advies was om de RDP service uit te schakelen.

Weer zo'n vreemde analogie. Dat zou betekenen dat ik alle 400 apps op mijn 4K Smart TV per se moet gebruiken, alleen omdat deze op mijn TV worden aangeboden. En dat als ik dat niet wilde, ik maar een andere TV zonder al die apps had moeten kopen? Nee dus.

Trouwens, vindt maar eens een Windows versie zonder RDP. Dat zou Windows niet eens goedkoper maken, eerder duurder omdat dit weer zo'n functionaliteit is die zit ingebakken, en we allemaal weten dat als iets uit Windows gehaald moet worden dit andere (totaal ongerelateerde) delen breekt.

Vertel eens, staat al jouw telemetrie nog aan, omdat dat een bepaalde functionaliteit is? Of heb je het (gedeeltelijk) uitgeschakeld? (en je kunt Ja zeggen, dat is voor mij toch niet te controleren)

Klaar of niet, ik heb al in een paar van die dingen gereden en ik moet zeggen dat ik liever zelf rij, dan dat ik het aan een computer ga overlaten. Alarm omdat ik van rijbaan wissel. Alarm omdat ik blijkbaar te dicht achter een auto invoeg. Automatisch afremmen omdat 150 meter voor me een andere auto remt. Zelf cruisen is er niet meer bij omdat zogauw je het gaspedaal loslaat de auto gaat remmen. De handrem is een knop? Brrrr. En dan al die angsthazen bij verkeerslichten die hun rempedaal ingedrukt houden, daarmee achterliggers verblindend met die 3 felle LED achterlichten. Gebruik dan juist je handrem! Of haal je voet van het pedaal, je auto gaat meestal echt nergens naartoe!

Dat andere OS heeft daar geen problemen mee. Moet bij software met een normale kwaliteit ook gewoon kunnen. Zeker als het daarvoor eigenlijk bedoeld is.


Een regel hierboven doe je zelf een jammerlijk mislukte poging tot os flaming. Over kijken naar het totale informatieveiligheidsgebeuren kan jij alleen maar dromen.

IT infrastructuur, software en hardware is ten tijde van het originele design niet gebouwd met in gedachte dat alles met elkaar verbonden moest zijn en iedereen altijd maar vanaf overal bij moest kunnen.

Met dat in gedachte is het dan ook vrij simpel: trek de stekker uit je PC en verbind niet met externe bronnen en je bent veilig.

Kan je dan te weinig en wil je weer terug naar de wereld, dan zal je de risico's moeten aanvaarden en er van uit moeten gaan dat ook de beste kluizen uiteindelijk een keer gekraakt kunnen worden. Van elk merk. En besef dan ook dat de gebruiker meestal het grootste lek is.

Als je in een bedrijf met 50.000 mensen gebruik maakt van een OS functionaliteit moet je daarop kunnen vertrouwen. Het gevaar komt eerder van binnen dan van buiten. Dat internet facing bullshit verhaal geloof ik onderhand wel.

Nooit automaat gereden kennelijk.

Een ander OS heeft zo zijn eigenlijk andere problemen. Appels met peren vergelijken.

Je kan natuurlijk RDP direct aan het Internet hangen. Echter of dit nu verstandig is, is een tweede.
Maar net zoals alles wat je aan het Internet hangt. Daar moet je goed over nadenken en vooral updaten. Doe je dat niet, dan vraag je om problemen,

En trouwens RDP staat standaard uit op een Windows 10 installatie.


Als je als bedrijf met 50.000 mensen gebruik maakt van een OS functionaliteit, dan moet je je zaken goed regelen.
Er is bijna geen enkele noodzaak om op alle machines RDP aan te zetten, en helemaal niet om RDP vanaf alle werkstations toegankelijk te hebben.
Server RDP toegang zou ook afgeschermd moeten zijn met firewalls, zodat alleen verkeerd vanaf Management servers toegankelijk is.

Zoiets kan nog steeds, dezelfde truuk gebruiken ze ook om een admin command prompt te starten om wachtwoorden te resetten

Tesla maakte het nog erger, de functionaliteit voor zelf rijden zat er al in maar de software kon het nog niet.

Dus je parkeert je Tesla voor de deur en gaat slapen. In de nacht blijkt dat Tesla een software update heeft gedaan waardoor de hele functionaliteit van zelf rijden nu wel werkt .... en jij wist daar nog niks van .... kan best gevaarlijk zijn als knopjes die eerst niks of iets anders deden nu ineens iets heel anders doen.

**Let op Ivanti (formerly RES) gebruikers **

De Windows die dit gat zou dichten betreft KB4512517. Na de installatie van deze update kan de Ivanti agent en de beheerdersconsole geen verbinding meer maken met de SQL-database. Let dus op bij het installeren van deze update. Dit is inmiddels ook bij Ivanti bekend.

Touché! Maar jawel, 21 jaar geleden. Zelfs dan, is dat dan reden om zo angstvallig je rempedaal ingedrukt te blijven houden? Daar is juist die handrem voor gemaakt.

Klets niet uit je nek, kan al decennia niet.
Enkel wanneer je eerst als beheerder op een systeem aanlogt, systeem bestanden aanpast en daarna weer uitlogt.
Complete BS opmerking van je

klets zelf niet uit je nek.
Bootable usb of iso werkt ook gewoon hiervoor gebruik het met enige regelmaat.

Je moet duidelijk aangeven dat je stilstaat aan achteropkomend verkeer! Als jij 'verblind' wordt door remlichten, zet dan maar een zonnebril op! Een handrem is bedoeld om een leeg voertuig te fixeren. Of om terugrollen bij wegrijden op hellingen te voorkomen.

Dan komen we een stapje verder met informatieveiligheid.
Het hele publiciteitscircus vergeet dat volgkomen en richt zich op her grote publiek die daar niets van snapt.
Die publiciteit kan je handig gebruiken bij de beslissers over ICT die niets van ICT snappen als dienstverlener en om tools naar binnen te laten rijden.

Laten we eens kijken:
- geen rdp naar buiten (firewalls) of ander niet gereguleerd verkeer
- Afgesloten desktops (virtueel/fysiek), geen eigen tools programma's
- Volledige automatische monitoring over wie wat wanneer gebruikt en of dat in normale verwachtingen valt
- Afgescheiden systemen en rechten voor beheerders en
"high privileged" accounts, met voor die taken de minimale rechten.

Wat denk je dat de acceptatiegraad bij ICT en gebruikers zal zijn?
- ICT-ers: veel te lastig allemaal, kan veel eenvoudiger als we er even omheen werken
- gebruikers: veel te duur en omslachtig. Doe maar een open rdp via internet volgens advies van de externe leverancier

Als je als bedrijf met 50.000 mensen gebruik maakt van een OS functionaliteit, dan moet je je zaken goed regelen.
Er is bijna geen enkele noodzaak om op alle machines RDP aan te zetten, en helemaal niet om RDP vanaf alle werkstations toegankelijk te hebben.
Server RDP toegang zou ook afgeschermd moeten zijn met firewalls, zodat alleen verkeerd vanaf Management servers toegankelijk is.[/quote]
En hier gaan theorie en praktijk uit de pas, in theorie weten 'we' allemaal als de beste hoe het moet, in de praktijk blijkt dat vaak tegen te vallen. Zeker in complexe omgevingen met meerdere OS'en is het in de praktijk vaak lastig om een goede, veilige en werkbare infrastructuur te hebben en te houden.

Want dat rode verkeerslicht is voor jou niet duidelijk genoeg dat dat verkeer voor je stil staat?
En 's avonds en 's nachts een zonnebril op is gelul.

Als je voor een verkeerslicht staat en het loopt een beetje op of af kun je gewoon je handrem gebruiken en hoef je niet je rempedaal te proberen door de vloer te drukken. Lekker in zijn neutraal, dan gaat ook je automaat nergens heen. Moet je alleen ff schakelen als het groen wordt. We zitten niet in de formule 1 waar elke milliseconde telt om van je plek te komen.

Bij lange rijen of bomen die in de weg staan, mist, regen zie je dat verkeerslicht natuurlijk slecht of helemaal niet.


Als jij dat nodig hebt om niet 'verblind' te raken dan zou ik me daar niets van aantrekken en gewoon je ding doen (zonnebril op).


Het is geen kwestie van snelheid, het is een kwestie van veiligheid. Als je stil staat en er is achteropkomend verkeer dan moet je duidelijk aangeven dat je stil staat. Zeker bij van die idioten die met volle vaart aan komen rijden.