Nieuwe patch hiervoor dus beslist handmatig installeren.
Oei, kan iedereen dat nog wel?

Ach jeetje, wat erg zeg!

"The only way to patch the flaw is to manually install this new version, at least until this is included in a new update shipped automatically to devices via Windows Update. Removing Windows 10 Update Assistant completely obviously blocks an attack too."

Nee dat kan niet "iedereen", maar even geduld en komt alsnog automatisch...

En dat betekent dat je in de tussenliggende tijd gewoon kwetsbaar bent en aan de Goden overgeleverd bent. Dat kán toch niet met een besturingssysteem waar ruim 90% van de computergebruikers van afhankelijk is? Ik vind het schandalig. Zo'n patch moet zo snel mogelijk, en het liefst METEEN uitgerold worden. Dus niet wachten op "patch tuesday".

Ik quote "A locally authenticated attacker" en stop daar direct. Geen remote exploit, dus iemand is weer lekker anti-Microsoft nieuws aan het verspreiden hier.

Microsoft artikel: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1378

De toon van de TS ("never-ending-story geworden met de veiligheid van Windows") slaat nergens op, want in alle besturingssystemen en veel door derden ontwikkelde software spelen EoP (Elevation of Privilege) issues.

Die wegzetten als "irrelevant" omdat het niet om een remote exploit gaat, vind ik echter ook onzinnig; dan kun je net zo goed iedereen admin/root privileges geven.

Bijvoorbeeld veel actuele ransomware heeft admin-privileges nodig om wachtwoorden en/of wachtwoordhashes uit het geheugen te kunnen lezen (naast het kunnen uitschakelen van allerlei beveiligingsmaatregelen, wat vaak ook gebeurt), en zo via "lateral movement" snel te kunnen verspreiden binnen Microsoft AD domeinen. Hoe moeilijker het voor de malware is om admin/root privileges te verkrijgen, hoe langer dat duurt. En dus hoe meer kans je hebt om de schade in je organisatie te beperken.

Middels een doordachte gelaagde defensie-architectuur verlaag je beveiligingsrisico's zonder dat dit een grote negatieve impact op de business hoeft te hebben.

Uiteraard is dit iets wat gepatched moet worden, maar mijn reactie was puur alleen als respons op de titel van TS:
" laat deur open voor kwaadwillenden..."

Alsof het lek een deur openzet naar het internet. Gewoon niet dus. Je hebt wel gelijk hoor met de rest van je verhaal.

Hangt er maar net van af hoe men het begip "remote" definieert.

Voor een ICTer werkzaam bij een firma is het misschien geen noemenwaardig probleem. Voor een ICTer werkzaam bij een grote openbare bibiotheek of hogeschool levert dit flinke hoofdbrekens op. Want de "locally authenticated attacker", met kennis van de exploit, kan dan gewoon een paar gangen en deuren verder zitten. Temidden van duizenden anderen.

Voor ICTers in open instellingen bestaat het "remote" in de exploit dan uit de honderden Windows netwerk terminals binnen het gebouw of de instelling staan waar ze aan werken. Aan jou dan de taak om na te gaan welke studente vreemd gaat met wiens USB stick, collegekaart of wachtwoord, want die items wisselen soms frequent van partner...

@DLans: dank voor het eerlijke antwoord!

We hebben het over echt lokale toegang tot het apparaat, en niet over lokale toegang op het netwerk. Iemand moet fysiek of remote toegang hebben tot de werkplek en daarop code uitvoeren met geldige user-credentials. Daarmee neemt het risico gewoon enorm af. Zo lees ik het artikel in ieder geval, corrigeer me als ik het fout heb.

De publiekswerkplekken die wij beheren voor een aantal bibliotheken zijn dusdanig geconfigureerd dat de mensen echt niets kunnen. Er wordt in het artikel niet gesproken hoe deze 'arbitrary code' uitgevoerd kan worden. Bij onze publiekswerkplekken mag IE + Word gestart worden, maar Word staat bijvoorbeeld geen Macro's toe. Je mag typen, erin plakken en printen. Thats it. Tenzij er een kritische fout in ofwel IE ofwel Word zit, kunnen ze naar mijn inziens niets.

Maar goed, er kunnen situaties zijn waarbij je mogelijk te weinig toezicht hebt (fysiek/software matig) dat dit lek wel een risico vormt. Dat moet je als bedrijf controleren en desnoods de update alvast installeren. Ieder bedrijf is uiteindelijk anders ..

Overdrijven is ook een vak:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1378

Publicly Disclosed : No
Exploited : No
Latest Software Release : 2 - Exploitation Less Likely

o gut een windows basher .

Ik sluit me aan bij dlans, ik zie hier weinig risico in. Als je fysiek toegang hebt tot het apparaat en de boel is niet 100% versleuteld en dichtgetimmerd met policies zijn er altijd wel truckjes en mogelijkheden om je rechten verder te eleveren.

EoP kwetsbaarheden vereisen geen fysieke toegang. Zie 3e alinea in https://security.nl/posting/627531#posting627602.

Hoi Erik, kan je dat meer toelichten? In de context van deze specifieke vulnerability. Gewoon om zelf wat van te leren :)

@Anoniem 12:07: voor zover ik weet zijn de exacte details van deze kwetsbaarheid niet publiekelijk bekend gemaakt door de kennelijke ontdekker, Jimmy Bayne. Uit https://www.bleepingcomputer.com/news/microsoft/windows-10-update-assistant-vulnerability-needs-manual-fix-heres-how/:
Hieruit (en uit de rest van dat artikel) leid ik af dat de code van de aanvaller moet draaien op het moment dat de update wordt uitgevoerd. Het is mij niet bekend of die kwaadaardige code het starten van het updateproces kan triggeren, maar vanuit die code kan natuurlijk altijd een popup worden getoond die de gebruiker overhaalt om iets te doen. Los daarvan kan het zo zijn dat de exploit alleen mogelijk is op het moment dat er ook daadwerkelijk een update beschikbaar is, en dat lijkt hier het geval.

Als dat klopt, weet de aanvaller niet wanneer de exploit wordt uitgevoerd. Daarnaast is het denkbaar dat de update wordt uitgevoerd op het moment dat de gebruiker, wiens account is gecompromitteerd, niet is ingelogd en dus de kwaadaardige code niet draait op dat moment, en de exploit dus niet werkt. Ik vermoed dat om deze redenen de kans op uitvoering van deze exploit als "less likely" wordt ingeschat door Microsoft.

Echter, tenzij gepatched (of op andere wijze gemitigeerd) worden kwetsbaarheden, na verloop van tijd, nooit "moeilijker", maar blijken soms wel eenvoudiger uitgevoerd te kunnen worden dan aanvankelijk gedacht (vaak gebeurt dit na publicatie van details, d.w.z. zodra andere slimmerikken zich erin gaan verdiepen). De ontdekker, of derden die deze WUA kwetsbaarheid zijn gaan onderzoeken n.a.v. wat tot nu toe bekend was, kunnen meer details hebben verkocht aan partijen die mogelijk aanvullend onderzoek doen.

Hoe dan ook, vergeleken met andere exploits is het risico van deze specifieke kwetsbaarheid voor de meeste gebruikers -vooralsnog- waarschijnlijk laag (maar er zijn vast gebruikers en/of bepaalde omstandigheden voor wie dit risico hoog zou kunnen zijn).

M.b.t. EoP kwetsbaarheden in het algemeen: bij de laatste patch-Tuesday is er weer minstens een EoP kwetsbaarheid gepatched die als "more likely" is gekwalificeerd (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1341), een kwetsbaarheid die zo te zien in alle ondersteunde Windows versies aanwezig is/was.

Als je altijd met admin privileges werkt, boeien EoP kwetsbaarheden natuurlijk totaal niet. Wellicht omdat veel mensen zo werken krijgen EoP kwetsbaarheden altijd veel lagere risico-scores dan RCE's. Met name omdat vooral mensen die veilig proberen te werken ("assume compromise") zich met risico-inschattingen bezighouden, vind ik dat risicoscores voor EoP veel te laag worden ingeschat. Iedereen altijd admin en uitgaan van "trusted networks" zijn m.i. onverantwoord gezien het "succes" van de huidige cybercriminelen en hun malware, en dit besef komt m.i. onvoldoende tot uiting in de huidige risico-inschattingen van EoP kwetsbaarheden.

P.S. ik ben er niet op tegen dat medewerkers, die dat ook maar enigszins nodig hebben, naast op hun non-privileged account voor dagelijks gebruik, ook kunnen inloggen met een privileged account - mits zij dit alleen doen indien strikt noodzakelijk en voldoende begrijpen waarom dat zo is. Met de, in deze context, vaak aangehaalde "kwestie van vertrouwen" heeft dit weinig te maken. Het gaat hier zelden om het voorkomen dat medewerkers "kattenkwaad" uithalen, want dat kunnen ze vaak toch wel. Een veel groter risico is dat medewerkers denken dat ze de risico's van het werken met hogere privileges wel kennen (hun kwaliteiten op dit gebied schromelijk overschatten). Informatiebeveiling heeft niet als doel het werken onmogelijk te maken, maar redelijkerwijs veilig; opleiden (en evt. "opvoeden") valt ook onder de mitigerende maatregelen.

Nog nooit gehoord van insider threats ? Iedereen die lokaal is, is betrouwbaar ?


Microsoft zelf zeker ook, die dit omschrijft als belangrijke vulnerability om te patchen.

Met Linux ervaar ik ook dat software soms als ROOT draait. Terwijl iedereen weet dat dit eigenlijk niet hoeft. Daarom zal denk ik Linux hetzelfde als Windows gaan ervaren. Hoemeer software je wil, hoe groter de kans dat software draait op hoog niveau. Alhoewel dit technisch niet hoeft, denk bijvoorbeeld aan alle computer spellen die je wil draaien, met WINE op Linux of installers op Windows.

Kortom, ook Linux zal ervaringen krijgen die Windows nu heeft. Bij Windows lijkt het echter een vanzelfsprekendheid, bij Linux zou eigenlijk software niet als ROOT mogen draaien, maar het gebeurd wel.

Ach, en roep je hetzelfde wanneer er sprake is van een soortgelijke vulnerability in MacOSX, Linux, of een willekeurig ander OS ? Dit soort kwetsbaarheden zijn niet uniek voor Windows.

Sudo Flaw Lets Linux Users Run Commands As Root Even When They're Restricted
https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html

Linux Kernel Multiple Local Privilege Escalation Vulnerabilities
https://www.symantec.com/security-center/vulnerabilities/writeup/110320

Dat OS gejammer is aardig slaapverwekkend. En laat vooral zien dat diegenen weinig snappen van IT beveiliging, en kwetsbaarheden.