Microsoft wist al zes maanden van kritiek security lek
Het lek in de Windows ASN.1 library (msasn1.dll) waar Microsoft gisteren een patch voor beschikbaar stelde, was al ruim zes maanden bekend. Securitybedrijf eEye Digital Security waarschuwde de softwaregigant al vorig jaar voor deze zeer kritieke kwetsbaarheid, dat tot een nieuw MSBlaster-achtige worm kan leiden. "Er zijn meer aanvalsvectoren en meer mensen die hierdoor getroffen kunnen worden," zo laat Marc Maiffret van het securitybedrijf weten. Het lek is aanwezig in de Microsoft implementatie van Abstract Syntax Notation One, of ASN.1. De code wordt door veel Windows applicaties gedeeld en als het niet gepatched wordt, dan kan elk programma dat de code gebruikt, voor een aanvaller als toegangspunt tot het systeem dienen. Doordat het lek zo wijdverspreid is zal het voor virusschrijvers zeer verleidelijk zijn om een worm te schrijven die de kwetsbaarheid zal misbruiken. Maiffret laat in dit dit artikel weten dat dit een van de ernstigste Windows lekken allertijden is. (Cnet)
Update: Uitleg ASN.1 aangepast
komt. Die kan mooi concurren op 'response tijd' op
beveiligingsproblemen....
[Ik ben zeker niet anti-windows, maar een groot voorstander
van concurrentie en keuze......]
dat andere implementaties met hetzelfde probleem kampen is dan
natuurlijk aanwezig. Wat dat aangaat mag dit geen al te grote openbaring
zijn.
Het artikel benadrukt hoe erg dit wel niet is en hoe groot het daarmee
verbonden risico is. De vraag is dan natuurlijk waarom er niet al lang zo'n
gevaarlijke worm is die dit lek misbruikt! Zijn virusschrijvers te dom, is het
toeval of is dit lek helemaal niet zo makkelijk te misbruiken?
P.S. Redactie, ASN.1 is trouwens geen 'standaard netwerk protocol', het is
zoals de naam al zegt een Abstract Syntax Notation.
was. Een select groepje zal wel 6 maanden fun gehad hebben...
Misschien heeft microsoft dit zelfs express gezwegen om zo eens bij de
concurentie te kunnen gaan piepen. (bij linux zou dit toch niet lukken :p)
Weeral een argumument om over te schakelen naar een linux server :-)
Binnekort weer een Blaster-achtige worm :s want we kennen ondertussen
al hoe mensen en bedrijven patchen... en mss wel terecht, want ik heb in
een unievrsiteit een vakantiejob gedaan op het moment dat blaster uitbrak.
Er was een goede firewall die de worm tegen hield van buiten af maar dan
krijg je zo iemand die met een besmette laptop van thuis binnen komt :s, en
dat patchen van alle pc's heeft meer dan een volledige week geduurd met
10 man(en vrouw), ik kan dus gerust begrijpen dat die niet patchen voor
elke bug die windows heeft want dan zouden ze een full time patch job
hebben... MS moet dan maar met een beter (en automatisch) patch
systeem afkomen...
Windows 2000 of XP, maar vorig jaar brak er inderdaad paniek uit in
de wereld over de verspreiding van Blaster. De eigen familie was toen
op vakantie en ik heb voor hen toen de patches van het internet
afgehaald om hun machines te kunnen 'dichtgooien' voordat Blaster
een DoS op de Microsoft website voor updates kon lanceren. Hun
computers zijn daarom van besmetting gevrijwaard gebleven.
Fijn om te weten dat je windows server al 6 maanden zo lek als een zeef
was. Een select groepje zal wel 6 maanden fun gehad hebben...
Misschien heeft microsoft dit zelfs express gezwegen om zo eens bij de
concurentie te kunnen gaan piepen. (bij linux zou dit toch niet lukken :p)
Weeral een argumument om over te schakelen naar een linux server :-)
knip
Niet dus; in OpenSSL zit hetzelfde lek.
MS moet dan maar met een beter (en automatisch) patch
systeem afkomen...
Luiheid van de beheerders, dit is er al lang in de vorm van sus server
zaken ?
systeem afkomen...
systeem afkomen...
Is dat er eigenlijk ook voor Linux? Zit iedereen daar al met de juiste versie
van OpenSSL te werken?
Dus nu zeg ik : "Vertel ons (nu meteen, volledig en juist grrr..) waarvoor
ASN.1 nog meer gebruikt wordt dan in het PKI-berichtenverkeer ? "
protocollen te ontwerpen en te implementeren. LDAP en SNMP
zijn voorbeelden van dit soort protocollen. In vergelijking
met bijvoorbeeld IP, dat een hele rigide structuur kent,
gaan op ASN.1 gebaseerde protocollen uit van een TLV
structuur (Type, Length, Value). Binnen een V-field kan dan
weer een TLV structuur zitten (enzovoort enzovoort).
Dit is de OSI-beschrijvingstaal van de dataformaten voor objecten in
netwerkmanagement, die volgens een ObjectInformatieModel zijn
opgebouwd.
(PKI), Kerberos, NTLM, ...
zoals ik al zei netwerk sjitr
http://www.asn1.org/
Q. What does ASN.1 stand for?
A. ASN.1 stands for Abstract Syntax Notation One.
Q. Is ASN.1 a programming language?
A. ASN.1 is a not a programming language like C, C++, or Java. ASN.1 is a
form of notation used to define data structures that makes communication
between heterogeneous machines possible. ASN.1 does not perform
operations a programming language would normally perform.
Q. What does ASN.1 consists of?
A. ASN.1 consists of notations (syntaxes) that can be used to define data
and a selection of encoders/decoders that can be used to transmit data.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
