image

Microsoft dicht actief aangevallen lek in Internet Explorer

woensdag 13 november 2019, 10:22 door Redactie, 4 reacties

Microsoft heeft tijdens de patchdinsdag van november een ernstig beveiligingslek in Internet Explorer gedicht dat actief werd aangevallen voordat de beveiligingsupdate beschikbaar was. Alleen het bezoeken van een malafide of gecompromitteerde website was voldoende om aanvallers volledige controle over het systeem te geven. Er was geen verdere interactie van gebruikers vereist.

Microsoft bedankt twee onderzoekers van Google, een anonieme beveiligingsonderzoeker die de kwetsbaarheid via een beloningsprogramma meldde en securitybedrijf Resecurity voor het rapporteren van het zerodaylek. Volgens Resecurity is de kwetsbaarheid door "statelijke actoren" bij gerichte aanvallen ingezet. In totaal patchte Microsoft gisterenavond 74 kwetsbaarheden waarvan er inclusief het aangevallen IE-lek 13 als ernstig zijn bestempeld.

Deze beveiligingslekken bevinden zich onder andere in Microsoft Exchange, Edge, Hyper-V, de Windows font library en Windows Media Foundation. Om het Exchange-lek te misbruiken moet een aanvaller een gebruik een cmdlets via PowerShell laten uitvoeren. "Hoewel dit een onwaarschijnlijk scenario lijkt, is er slechts één gebruiker nodig om de server te compromitteren", zegt Dustin Childs van het Zero Day Initiative.

De kwetsbaarheid in de font library deed zich voor bij het verwerken van speciaal geprepareerde embedded fonts. Het bezoeken van een malafide website was voldoende om aanvallers kwetsbare machines met Windows 7 en Server 2008 te laten overnemen. De 61 andere kwetsbaarheden kregen van Microsoft het label "Belangrijk" en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen, spoofing-aanvallen uit te voeren, securityfeatures te omzeilen, informatie te achterhalen en met meer interactie van gebruikers code uit te voeren.

Voor Windows, IE, Edge (EdgeHTML-based) , ChakraCore Microsoft Office en Microsoft Office Services en Web Apps, Exchange Server Visual Studio en Azure Stack zijn beveiligingsupdates verschenen. Op de meeste systemen zullen die automatisch worden geïnstalleerd.

Reacties (4)
13-11-2019, 11:13 door [Account Verwijderd]
Volgens Resecurity is de kwetsbaarheid door "statelijke actoren" bij gerichte aanvallen ingezet.

Ik ben blij dat ik die rommel niet gebruik maar vraag me serieus af hoeveel meer van dit soort "bugs" er nog in zitten. En ik vraag me ook af of tegelijk met het fixen van de bug er ook niet meteen een bij is geplaatst, gewoon om de NSA te pleasen. EN ik vraag me ook steeds meer af wat de meerwaarde is van closed source software, en offtopic ook hardware.
13-11-2019, 11:30 door Anoniem
Door donderslag:
Volgens Resecurity is de kwetsbaarheid door "statelijke actoren" bij gerichte aanvallen ingezet.

Ik ben blij dat ik die rommel niet gebruik maar vraag me serieus af hoeveel meer van dit soort "bugs" er nog in zitten. En ik vraag me ook af of tegelijk met het fixen van de bug er ook niet meteen een bij is geplaatst, gewoon om de NSA te pleasen. EN ik vraag me ook steeds meer af wat de meerwaarde is van closed source software, en offtopic ook hardware.
Je kunt het zelfde vragen over opensource software. Code is direct toegankelijk, dus bijvoorbeeld NSA kan direct de bugs vinden. Opensource wil niet zeggen dat er geen grote fouten in kunnen zitten.
Zowel Firefox als Chrome hebben de afgelopen maanden exact het zelfde gehad, en die zijn opensrouce. Had je toen ook het zelfde commentaar geplaatst? Want ook die fouten werden misbruikt.
13-11-2019, 12:27 door [Account Verwijderd] - Bijgewerkt: 13-11-2019, 12:30
Je kunt het zelfde vragen over opensource software.

Ja en nee. Het heeft natuurlijk veel te maken met de gasten die absoluut de snelste software willen hebben. En die gaan nu dus ook massaal over op Rust en ze hebben gelijk. En dan is het natuurlijk ook zo dat Rust zelf ook nog fouten bevat. En dan heb je natuurlijk ook nog fouten op standaarden. Maar eigenlijk zouden de problemen op een heel ander vlak of ander niveau moeten liggen als je het mij vraagt. Natuurlijk worden er fouten gemaakt, dat is logisch, maar als ik code zie met daarin een hele hoop TODO en andere ongein, dan loop ik weg. En zo zou het eigenlijk moeten zijn, maar het www is ondertussen zo complex en eigenlijk ook zo belangrijk dat het eigenlijk niet meer te behappen is, behalve als je Google of Apple of Microsoft heet. Ik weet wat de status is van Firefox.

Sorry dat ik jouw vraag niet direct beantwoord heb maar met een verhaal eromheen.
13-11-2019, 13:50 door Anoniem
Door donderslag:
Volgens Resecurity is de kwetsbaarheid door "statelijke actoren" bij gerichte aanvallen ingezet.

Ik ben blij dat ik die rommel niet gebruik maar vraag me serieus af hoeveel meer van dit soort "bugs" er nog in zitten. En ik vraag me ook af of tegelijk met het fixen van de bug er ook niet meteen een bij is geplaatst, gewoon om de NSA te pleasen. EN ik vraag me ook steeds meer af wat de meerwaarde is van closed source software, en offtopic ook hardware.

Mogelijk bij "andere rommel" die jij dan weer gebruikt spelen er soort gelijke situaties.
Hoe kan jij 100% zeker weten dat dit niet in "jouw rommel" is ingebouwd...
Nog geen eens alleen over een OS, maar eigenlijk in alle hardware/software die je gebruikt. (Inclusief tv, routers, speelgoed, media-boxen, etc etc)

Zelfs in Open Source zou dit ingebouwd kunnen zijn, echter moet maar iemand dit vinden als de code wordt bekeken, daarnaast wordt soms in Open Source software ook stukjes Closed Source gebruikt waar je niet in kan kijken.

Ik wil geen discussie starten wat wel/niet beter is, alleen aangeven dat bij geen enkel product 100% garantie is dat er "iets is ingebouwd", behalve op wat mondelingen toezeggingen van bedrijven/leveranciers waarvan de vraag is of dit klopt, tevens wanneer wel waar is voor hoelang ze dit ook kunnen volhouden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.