image

Microsoft vindt tientallen kritieke kwetsbaarheden in IoT-apparaten

vrijdag 30 april 2021, 09:47 door Redactie, 12 reacties

Onderzoekers van Microsoft hebben tientallen kritieke kwetsbaarheden in Internet of Things (IoT)- en Operational Technology (OT)-apparaten en industriële systemen ontdekt waardoor aanvallers in het ergste geval de machines kunnen overnemen. De meer dan 25 beveiligingslekken hebben de naam "BadAlloc" gekregen en bevinden zich in de functies die worden gebruikt voor het toewijzen van geheugen binnen real-time operating systems (RTOS), embedded software development kits (SDKs) en C standard library (libc) implementaties.

Het gaat dan om functies als malloc, calloc, realloc, memalign, valloc en pvalloc. Uit het onderzoek van Microsoft blijkt dat bij de implementatie van deze functies binnen de software van IoT- en OT-apparaten er onvoldoende invoervalidatie is toegepast. Een aanvaller kan zodoende de memory allocation functies misbruiken en een heap overflow veroorzaken, waardoor er kwaadaardige code op het apparaat kan worden uitgevoerd.

Volgens Microsoft vormen de kwetsbaarheden, vanwege het feit dat IoT- en OT-apparaten overal aanwezig zijn, een groot risico voor allerlei soorten organisaties. Via de beveiligingslekken kan een aanvaller beveiligingsmaatregelen omzeilen om willekeurige code uit te voeren of de systemen te laten crashen. Voor zover bekend is er nog geen misbruik van de kwetsbaarheden gemaakt.

Microsoft heeft de betreffende leveranciers van tevoren ingelicht, zodat die beveiligingsupdates konden ontwikkelen. Het techbedrijf erkent dat het lastig kan zijn om IoT- en OT-apparaten te patchen. Wanneer het uitrollen van updates niet meteen mogelijk is worden mitigerende maatregelen aangeraden, zoals kwetsbare apparaten niet toegankelijk maken vanaf het internet, toepassen van netwerkmonitoring en implementeren van netwerksegmentatie.

Reacties (12)
30-04-2021, 10:29 door Anoniem
Wanneer het uitrollen van updates niet meteen mogelijk is worden mitigerende maatregelen aangeraden, zoals kwetsbare apparaten niet toegankelijk maken vanaf het internet, toepassen van netwerkmonitoring en implementeren van netwerksegmentatie.

Nutteloos advies voor consumenten, die niet eens weten dat de lekken aanwezig zijn, laat staan dat ze weten hoe ze deze technieken toe moeten passen op hun thuisnetwerkje om hun lekke maar kekke IoT apparaat te beveiligen.
30-04-2021, 11:02 door Anoniem
Als je eigen code bagger is, en je producten verouderen, hoezo heb je dan de tijd om anderen op hun fouten te wijzen?
30-04-2021, 11:05 door Anoniem
Nutteloos advies voor consumenten, die niet eens weten dat de lekken aanwezig zijn, laat staan dat ze weten hoe ze deze technieken toe moeten passen op hun thuisnetwerkje om hun lekke maar kekke IoT apparaat te beveiligen.

Daarom zou er ook sneller en makkelijker schade gevorderd moeten kunnen worden van die consument. Als hij elke maand €50 boete krijgt, omdat zijn modem overlast heeft veroorzaakt. Koopt hij wel een betere, of neemt hij een betere internet provider.
30-04-2021, 11:41 door Anoniem
Door Anoniem: Als je eigen code bagger is, en je producten verouderen, hoezo heb je dan de tijd om anderen op hun fouten te wijzen?

Welke code is geen bagger. Microsoft levert i.i.g. elke maand updates, om gaten te dichten. Er zijn organisaties, die dat meteen doen (niet fijn in grote bedrijfsomgevingen) of elk kwartaal. Dat geeft aan, dat je het goed bedoelt. Helaas komt het ook voor dat er geen updates (meer) uitkomen. Echte bagger is voor mij eigenlijk de manier waarop Android werkt, aangezien de telefoonmakers zelf beslissen of ze nog updates uitbrengen voor je toestel en niet de maker van de software.

En anderen op hun fouten wijzen? Wanneer jij merkt dat je klanten problemen hebben en bij het onderzoeken/oplossen daarvan ontdek je, dat een lek bij een ander de oorzaak is, is het logisch dat je die waarschuwt.
30-04-2021, 12:04 door Anoniem
Door Anoniem:
Nutteloos advies voor consumenten, die niet eens weten dat de lekken aanwezig zijn, laat staan dat ze weten hoe ze deze technieken toe moeten passen op hun thuisnetwerkje om hun lekke maar kekke IoT apparaat te beveiligen.

Daarom zou er ook sneller en makkelijker schade gevorderd moeten kunnen worden van die consument. Als hij elke maand €50 boete krijgt, omdat zijn modem overlast heeft veroorzaakt. Koopt hij wel een betere, of neemt hij een betere internet provider.

Daar ben ik het niet mee eens. Je verschuift het probleem naar een onwetende consument. De leverancier veroorzaakt het probleem, dus die moet het probleem oplossen. Daarnaast, met jouw insteek zal de consument uiteindelijk blijven betalen, want er is altijd wel een lek dat kan worden uitgebuit. En waarom dan stoppen bij IoT? Laten we dan alles maar erbij betrekken. TV's, computers, IoT, modems van de provider, smart watches enz. Dat gaat een dure grap worden, laat staan wat de sociale gevolgen zijn voor b.v. mensen met een bijstandsuitkering.

Dit is het bijzondere van de softwarewereld. Iedere andere bedrijfstak zou niet wegkomen met het opleveren van deze ellende. Ik zie al voor me dat gebruiksproducten als een fiets of gereedschap keer op keer mankementen vertoont. Maar met software vinden we het allemaal wel best en blijven we de meest brakke rommel accepteren van leveranciers die er niet echt op worden aangesproken. Zolang dat zo is verandert er weinig.
30-04-2021, 12:31 door Anoniem
Door Anoniem:
Door Anoniem: Als je eigen code bagger is, en je producten verouderen, hoezo heb je dan de tijd om anderen op hun fouten te wijzen?

Welke code is geen bagger. Microsoft levert i.i.g. elke maand updates, om gaten te dichten. Er zijn organisaties, die dat meteen doen (niet fijn in grote bedrijfsomgevingen) of elk kwartaal. Dat geeft aan, dat je het goed bedoelt. Helaas komt het ook voor dat er geen updates (meer) uitkomen. Echte bagger is voor mij eigenlijk de manier waarop Android werkt, aangezien de telefoonmakers zelf beslissen of ze nog updates uitbrengen voor je toestel en niet de maker van de software.

En anderen op hun fouten wijzen? Wanneer jij merkt dat je klanten problemen hebben en bij het onderzoeken/oplossen daarvan ontdek je, dat een lek bij een ander de oorzaak is, is het logisch dat je die waarschuwt.
Microsoft ziet de balk in eigen oog niet. Die IoT rotzooi is een consumenten ding. Waar ze zich druk om maken. Lijkt meer een afleidingstruc van haar eigen zeroday producten.
30-04-2021, 13:07 door Anoniem
Welke code is geen bagger?

Code die getest is door professionele pentesters.
van de week nog een presentatie van ze gezien over hun antivirus; laten ze doodleuk zien dat een klant een pfishing mail opent de malicious bijlage activeert en wat gebeurt er? Het wordt prima gedetecteerd in hun cloud crap, maar ...het netwerk van de klant wordt besmet. Een antivirus product moet ingrijpen!

Tof zo'n antivirus product; die lui mogen wat mij betreft aan de schandpaal! code hoor je niet 10 jaar klakkeloos te hergebruiken
30-04-2021, 15:31 door Anoniem
Nog een geluk dat dat Windows 10 Embedded een mislukkig geworden is, anders zouden we daar ook nog mee zitten
kwa maandelijkse updates etc...
30-04-2021, 15:36 door Anoniem
Door Anoniem:
Door Anoniem:
Nutteloos advies voor consumenten, die niet eens weten dat de lekken aanwezig zijn, laat staan dat ze weten hoe ze deze technieken toe moeten passen op hun thuisnetwerkje om hun lekke maar kekke IoT apparaat te beveiligen.

Daarom zou er ook sneller en makkelijker schade gevorderd moeten kunnen worden van die consument. Als hij elke maand €50 boete krijgt, omdat zijn modem overlast heeft veroorzaakt. Koopt hij wel een betere, of neemt hij een betere internet provider.

Daar ben ik het niet mee eens. Je verschuift het probleem naar een onwetende consument. De leverancier veroorzaakt het probleem, dus die moet het probleem oplossen.

Ja maar dat begint bij het signaleren van het probleem door een partij die er belang bij heeft dat het wordt opgelost.
Als de consument er voor verantwoordelijk wordt gesteld met als optie om de actie bij de leverancier en/of producent neer
te leggen dan gaat er in ieder geval wat gebeuren (want de consument wil niet met rekeningen opgescheept worden en
als dat toch gebeurt gaat ie klagen, evt via TV programma's enzo). De leverancier zal, als er geen klachten komen,
meestal niets doen. De producent zal proberen het probleem onder tafel te vegen door het product al snel "verouderd"
te verklaren en geen support meer te leveren. Zeker bij problemen waar de gebruiker zelf niet echt last van heeft maar
de rest van de wereld wel, zal er op de een of andere manier druk moeten worden uitgeoefend.
30-04-2021, 19:53 door Anoniem
Nu moeten alle leveranciers aan de bak die zo'n OS gebruiken. Dan pas kunnen ze een update maken (als ze die nog maken) en naar de klanten sturen. Dan pas kunnen de klanten wat doen (als ze het doen). Kortom, de komende jaren gebeurt er heel weinig en de hackerds hebben een fraaie "installed base".
02-05-2021, 08:21 door Anoniem
" De leverancier zal, als er geen klachten komen,
meestal niets doen. De producent zal proberen het probleem onder tafel te vegen door het product al snel "verouderd"
te verklaren en geen support meer te leveren. "

er moet een oplossing hiervoor gevonden worden, want dit typische gedrag en deze a-symmetry is iets dat los staat van IoT of OS oid. je zou je kunen afvragen hoe dat zit met andere (analoge) huishoudelijke apparaten en diensten...
02-05-2021, 13:04 door Anoniem
Zie veel commentaar over Microsoft, wat je er ook van vind, Microsoft update tenminste zijn software continue... (ondersteuning is redelijk lang...)

Kijken naar IoT apparaten, dan is het maar de vraag of je updates krijgt...
Dit vind ik kwalijker dan de Microsoft software die continue onderhouden wordt.

Tegenwoordig zijn er zoveel "internet verbonden" apparaten.
Consumenten kopen van alles, zelfs liefst zo goedkoop mogelijk via Wish en AliExpress.
Deze Chinese leveranciers zullen zich nooit verantwoordelijk gaan voelen...
Dus feit is dat deze onveilige producten er altijd zullen zijn.

Eigenlijk is het Microsoft advies niet zo gek, alleen weten zij niet hoe dit moet.
Mogelijk zouden Internet Providers hier iets mee kunnen doen.
Bijvoorbeeld Ziggo die bij abonementen standaard Router/Modems levert met VLAN opties, instructies erbij geeft dat IoT apparaten naar het "IoT" netwerk moeten verbinden.
Hierdoor kunnen deze apparaten niet met je "netwerk praten" waar je laptop/pc aan hangt.
Huidige meegeleverde modems/routers hebben deze functies niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.