Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
office 2010 updates
11-12-2019, 01:58 door Anoniem, 7 reacties
Mensen met office 2010 (hier op Windows 7 x64) die de beveiligingsmaatregel hebben genomen om de temp directory ongeschikt te maken voor executables krijgen een probleem met updates. Zowel de catalog als de Windows Update updates werken niet met onbestemde foutmelding.
De oplossing is de temp directories voor system te resetten naar een executable temp directory. Fijn is dit niet want dit zet de poort open voor niet uitschakelbare telemetrie die sneaky wordt uitgevoerd door executables in temp directories. Deja vu: Microsoft doet tegenwoordig hetzelfde wat malwareschrijvers doen.
Doe je voordeel met deze kennis.
Ja, het is me bekend dat de ondersteuning afloopt. Dat doet niets af aan dit probleem.
Verder heeft Microsoft nu ook "\Windows\system32\EOSNotify.exe" door de strot geduwd bij de Windows security updates. Ik heb natuurlijk de Servicing stack update KB4516655 niet geinstalleerd. Binnenkort worden we dus weer lastig gevallen met nags.
De oplossing is de temp directories voor system te resetten naar een executable temp directory. Fijn is dit niet want dit zet de poort open voor niet uitschakelbare telemetrie die sneaky wordt uitgevoerd door executables in temp directories. Deja vu: Microsoft doet tegenwoordig hetzelfde wat malwareschrijvers doen.
Doe je voordeel met deze kennis.
Ja, het is me bekend dat de ondersteuning afloopt. Dat doet niets af aan dit probleem.
Verder heeft Microsoft nu ook "\Windows\system32\EOSNotify.exe" door de strot geduwd bij de Windows security updates. Ik heb natuurlijk de Servicing stack update KB4516655 niet geinstalleerd. Binnenkort worden we dus weer lastig gevallen met nags.
Reacties (7)
Door Anoniem: Mensen met office 2010 (hier op Windows 7 x64) die de beveiligingsmaatregel hebben genomen om de temp directory ongeschikt te maken voor executables krijgen een probleem met updates. Zowel de catalog als de Windows Update updates werken niet met onbestemde foutmelding.
De oplossing is de temp directories voor system te resetten naar een executable temp directory. Fijn is dit niet want dit zet de poort open voor niet uitschakelbare telemetrie die sneaky wordt uitgevoerd door executables in temp directories. Deja vu: Microsoft doet tegenwoordig hetzelfde wat malwareschrijvers doen.
Doe je voordeel met deze kennis.
Ja, het is me bekend dat de ondersteuning afloopt. Dat doet niets af aan dit probleem.
Verder heeft Microsoft nu ook "\Windows\system32\EOSNotify.exe" door de strot geduwd bij de Windows security updates. Ik heb natuurlijk de Servicing stack update KB4516655 niet geinstalleerd. Binnenkort worden we dus weer lastig gevallen met nags.
Het is ook niet echt slim om dit soort unsupported configuraties te doen. De oplossing is de temp directories voor system te resetten naar een executable temp directory. Fijn is dit niet want dit zet de poort open voor niet uitschakelbare telemetrie die sneaky wordt uitgevoerd door executables in temp directories. Deja vu: Microsoft doet tegenwoordig hetzelfde wat malwareschrijvers doen.
Doe je voordeel met deze kennis.
Ja, het is me bekend dat de ondersteuning afloopt. Dat doet niets af aan dit probleem.
Verder heeft Microsoft nu ook "\Windows\system32\EOSNotify.exe" door de strot geduwd bij de Windows security updates. Ik heb natuurlijk de Servicing stack update KB4516655 niet geinstalleerd. Binnenkort worden we dus weer lastig gevallen met nags.
De systeem temp folder wordt voor veel meer gebruikt.
Als jij unsupported aanpassingen doet, moet je niet raar staat te kijken, als daarna dingen omvallen.
Het is ook niet echt slim om dit soort unsupported configuraties te doen.
De systeem temp folder wordt voor veel meer gebruikt.
Als jij unsupported aanpassingen doet, moet je niet raar staat te kijken, als daarna dingen omvallen.
De systeem temp folder wordt voor veel meer gebruikt.
Als jij unsupported aanpassingen doet, moet je niet raar staat te kijken, als daarna dingen omvallen.
Dappere poging tot afbranden, maar het is natuurlijk onzin dat het unsupported zou zijn.
Dit is een veel gebruikte beveiliging onder security specialisten.
Windows update en cab/msp hebben meer dan 10 jaar gewerkt met deze beveiliging. Alleen sommige installers van losse programma's hadden tijdelijk een andere directory nodig. In user land is dat eenvoudig te doen.
De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
Door Anoniem:
De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
Wat heeft telemetrie nou in s'hemelsnaam te maken met het toelaten van executables in de temp directory???
Als Microsoft telemetrie wil doen dan kunnen ze gewoon een executable in Program Files neerzetten.
Executables in de temp directory zijn alleen voor malware en ongeleide projectielen zoals WebEx.
Iedere capabele beheerder schakelt dat uit.
Door Anoniem:
Wat heeft telemetrie nou in s'hemelsnaam te maken met het toelaten van executables in de temp directory???
Als Microsoft telemetrie wil doen dan kunnen ze gewoon een executable in Program Files neerzetten.
Executables in de temp directory zijn alleen voor malware en ongeleide projectielen zoals WebEx.
Iedere capabele beheerder schakelt dat uit.
Door Anoniem:
De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
Wat heeft telemetrie nou in s'hemelsnaam te maken met het toelaten van executables in de temp directory???
Als Microsoft telemetrie wil doen dan kunnen ze gewoon een executable in Program Files neerzetten.
Executables in de temp directory zijn alleen voor malware en ongeleide projectielen zoals WebEx.
Iedere capabele beheerder schakelt dat uit.
Zoals ik al schreef: Microsoft verzendt telemetrie vanuit de temp directory op de manier die ik beschreef. Ze omzeilen daarmee maatregelen die beheerders treffen met lokale firewall aanpassingen.
Door Anoniem:
Dappere poging tot afbranden, maar het is natuurlijk onzin dat het unsupported zou zijn.
Dan heb je vast ook een artikel van Microsoft waarin dit beschreven is als security maatregel?Het is ook niet echt slim om dit soort unsupported configuraties te doen.
De systeem temp folder wordt voor veel meer gebruikt.
Als jij unsupported aanpassingen doet, moet je niet raar staat te kijken, als daarna dingen omvallen.
De systeem temp folder wordt voor veel meer gebruikt.
Als jij unsupported aanpassingen doet, moet je niet raar staat te kijken, als daarna dingen omvallen.
Dappere poging tot afbranden, maar het is natuurlijk onzin dat het unsupported zou zijn.
Dit is een veel gebruikte beveiliging onder security specialisten.
Dat maakt het nog steeds niet ondersteund vanuit Microsoft.Windows update en cab/msp hebben meer dan 10 jaar gewerkt met deze beveiliging. Alleen sommige installers van losse programma's hadden tijdelijk een andere directory nodig. In user land is dat eenvoudig te doen.
Sommige? Ik heb er best een hoop die gewoon standaard de systeem temp variable gebruiken.De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
Is dit jouw gedachte of heb je voor deze gedachte ook een bron artikel van Microsoft?Microsoft kan dit namelijk heel gemakkelijk zelf oplossen met andere methodes om eventueel data te transporteren naar hun cloud servers. Daar hoeven ze niet zulke vieze truukjes voor te verzinnen zoals jij ze noemt.
Ik denk dat je gedachte meer zeggen over hoe jij over Microsoft denkt, dan dat Microsoft dit zo bedacht heeft om truckjes te gebruiken. Het is eerder een smerige gedachte van iemand, die zelf allemaal unsupported OS aanpassingen doorvoert en daarna een leverancier beschuldigd als er iets niet meer werkt. Jij past iets aan op de Windows file locaties, jij bent daarna ook verantwoordelijk voor deze aanpassingen. En ja dan kunnen dingen omvallen, maar daar moet je niet je leverancier gaan geschuldigen. Immers jij doet deze aanpassingen, dus ben JIJ hier verantwoordelijk voor. Dat noemen ze verantwoordelijkheid of professionaliteit van iemand. En daar zie ik een mogelijke compatibiliteit bij iemand voorbij komen.
Door Anoniem:
Wat heeft telemetrie nou in s'hemelsnaam te maken met het toelaten van executables in de temp directory???
Als Microsoft telemetrie wil doen dan kunnen ze gewoon een executable in Program Files neerzetten.
Executables in de temp directory zijn alleen voor malware en ongeleide projectielen zoals WebEx.
Iedere capabele beheerder schakelt dat uit.
Ik zie dit toch echt vaker voorkomen bij installatie files. Maar blijkbaar doen incapabele beheerder hier aanpassingen in, zonder goed na te denken over de mogelijke risico's of issues en beginnen daarna de leveranciers te beschuldigen. Jij doet aanpassingen, dan ben jij ook verantwoordelijk voor je aanpassingen en al je testen op mogelijke compatibiliteit issues, zowel nu als in de toekomst.Door Anoniem:
De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
Wat heeft telemetrie nou in s'hemelsnaam te maken met het toelaten van executables in de temp directory???
Als Microsoft telemetrie wil doen dan kunnen ze gewoon een executable in Program Files neerzetten.
Executables in de temp directory zijn alleen voor malware en ongeleide projectielen zoals WebEx.
Iedere capabele beheerder schakelt dat uit.
Door Anoniem:
Daar is een temp directory ook voor bedoelt. Voor tijdelijke bestanden.Door Anoniem:
Wat heeft telemetrie nou in s'hemelsnaam te maken met het toelaten van executables in de temp directory???
Als Microsoft telemetrie wil doen dan kunnen ze gewoon een executable in Program Files neerzetten.
Executables in de temp directory zijn alleen voor malware en ongeleide projectielen zoals WebEx.
Iedere capabele beheerder schakelt dat uit.
Zoals ik al schreef: Microsoft verzendt telemetrie vanuit de temp directory op de manier die ik beschreef. Ze omzeilen daarmee maatregelen die beheerders treffen met lokale firewall aanpassingen.Door Anoniem:
De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
De reden dat ze het nu doen is dat Microsoft aan telemetrie wil doen en dat wil ze wel zodanig doen met het SYSTEM account dat het verborgen blijft en niet door een de firewall wordt geblokkeerd. Dat kunnen ze doen omdat de Windows firewall gebaseerd is op full paths en daarmee is een executable in een tijdelijke directory met een random naam niet te blokkeren. Het is dus een smerige manier om data te stelen. Nadat ze het vuile werk hebben gedaan ruimen ze de tijdelijke executables op. Microsoft gebruikt methoden die malwareschrijvers ook toepassen.
Wat heeft telemetrie nou in s'hemelsnaam te maken met het toelaten van executables in de temp directory???
Als Microsoft telemetrie wil doen dan kunnen ze gewoon een executable in Program Files neerzetten.
Executables in de temp directory zijn alleen voor malware en ongeleide projectielen zoals WebEx.
Iedere capabele beheerder schakelt dat uit.
Software heeft ook een houdbaarheidsdatum. Je had nu al in het migratie proces moeten zitten, of ja.. Het kan nu ook nog, zeiken daar kom je niet ver mee, aangezien Microsoft gewoon stopt met de ondersteuning en cyber criminelen lekker gebruik maken van software die geen updates meer ontvangt en zo lek is als een mandje.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
