Microsoft komt met noodpatch voor kritiek beveiligingslek in Windows
Microsoft heeft een noodpatch uitgebracht voor een kritieke kwetsbaarheid in Windows waardoor een aanvaller willekeurige code met systeemrechten kan uitvoeren. Het techbedrijf roept organisaties op om de beveiligingsupdate met spoed te installeren.
De kwetsbaarheid, aangeduid als CVE-2021-34527 en "PrintNightmare", bevindt zich in de Windows Print Spooler en maakt remote code execution mogelijk. De Print Spooler is verantwoordelijk voor de verwerking van printjobs. Het beveiligingslek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren. Hierdoor is het mogelijk om de Print Spooler-service een willekeurig dll-bestand met systeemrechten te laten uitvoeren. Het probleem is in alle ondersteunde Windowsversies aanwezig.
De nu uitgebracht beveiligingsupdate zorgt ervoor dat niet-systeembeheerders alleen gesigneerde printdrivers op een printserver kunnen installeren. Systeembeheerders kunnen standaard zowel niet-gesigneerd als wel gesigneerde drivers installeren. Microsoft laat weten dat beveiligingsupdates voor Windows Server 2016, Windows 10 versie 1607 en Windows Server 2012 binnenkort zullen verschijnen, aangezien die op dit moment nog niet klaar zijn om te worden uitgebracht.
Dus... elk gestolen code signing certificaat dat gesigneerd is door een CA uit die enorme lijst met trusted CA's wordt vertrouwd? Nog los van het feit dat je een code signing certificaat kunt kopen...: ransomwareboeren kunnen die certificaten bij bosjes stelen op de netwerken waar ze toegang toe hebben. Wat een waardeloze patch
Dus... elk gestolen code signing certificaat dat gesigneerd is door een CA uit die enorme lijst met trusted CA's wordt vertrouwd? Nog los van het feit dat je een code signing certificaat kunt kopen...: ransomwareboeren kunnen die certificaten bij bosjes stelen op de netwerken waar ze toegang toe hebben. Wat een waardeloze patch
Welk advies zou je aan MS geven zodat het beter kan?
Dus... elk gestolen code signing certificaat dat gesigneerd is door een CA uit die enorme lijst met trusted CA's wordt vertrouwd? Nog los van het feit dat je een code signing certificaat kunt kopen...: ransomwareboeren kunnen die certificaten bij bosjes stelen op de netwerken waar ze toegang toe hebben. Wat een waardeloze patch
Het certificatensysteem kent de mogelijkheid om een certificaat te revoken. Wordt een certificaat gestolen, of aangetoond misbruikt, dan gebeurt precies dat. Het principe is goed en wie dit niet wil/kan vertrouwen is er dus het alternatief om los te koppelen.
Dus... elk gestolen code signing certificaat dat gesigneerd is door een CA uit die enorme lijst met trusted CA's wordt vertrouwd?
Dat is het idee achter (en een van de bedreigingen van) een PKI infrastructuur. Misschien is het aardig om de "attack tree" colleges van Jeremy Clarkson te kijken op Youtube. In die colleges gebruikt hij TLS als onderwerp en wat er allemaal mis kan gaan. In een van die college's wordt het impliciete vertrouwen in CA's als risico behandeld.
Zie voor de gehele serie https://www.youtube.com/watch?v=soXM5dN13yM&list=PLnD_TI73e88dqEmqeYSQLbFh1n5Y-jgNx. Lessen 3, 4 en 5 gaan dieper op de materie in. Les 2 (Evaluation Frameworks) is trouwens ook leuk om te bekijken. Daarin wordt interactief een attack tree opgebouwd om een parkeergarage te verlaten zonder te betalen (naast een hoop andere nuttige dingen).
Welk advies? Met de witte vlag zwaaien, want dat is ongeveer hun positie,
voordat de echte grote aanval op Interwebz hen zal gaan treffen.
Je kunt geen vertrouwen hebben in iets dat je niet ten principale kunt vertrouwen.
Als je aan dll hijacking kan blijven doen met de effecten als je deze juist kan positioneren?
Webshell aanvallen. Aangekochte hacks.
Alles wat je nu al via snort en SNYK moet zien te mitigeren en dat wat nog niet bekend is.
Je hebt een oplossing nodig a la NoScript.
Een oplossing die en altijd werkt en ook voor gevallen in de toekomst dat doet.
Overal en altijd dus zoals bij script blokkering. Wat niet kan aflopen, kan je niet besmetten.
Een executable die zich niet kan (laten) uitvoeren, vormt geen gevaar.
Ongesigneerd is verdacht tot het tegendeel is bewezen.
Onveilig is onveilig tot er beveiliging komt (connection security, hader security, CSP etc. etc.).
En dan een groot probleem security through obscurity.
Je denkt dan dat het veilig is, doch het is het niet echt.
luntrus
Er zou structuur in zitten hadden ze beloofd.
Welk advies? Met de witte vlag zwaaien, want dat is ongeveer hun positie,
voordat de echte grote aanval op Interwebz hen zal gaan treffen.
Je kunt geen vertrouwen hebben in iets dat je niet ten principale kunt vertrouwen.
Als je aan dll hijacking kan blijven doen met de effecten als je deze juist kan positioneren?
Webshell aanvallen. Aangekochte hacks.
Alles wat je nu al via snort en SNYK moet zien te mitigeren en dat wat nog niet bekend is.
Je hebt een oplossing nodig a la NoScript.
Een oplossing die en altijd werkt en ook voor gevallen in de toekomst dat doet.
Overal en altijd dus zoals bij script blokkering. Wat niet kan aflopen, kan je niet besmetten.
Een executable die zich niet kan (laten) uitvoeren, vormt geen gevaar.
Ongesigneerd is verdacht tot het tegendeel is bewezen.
Onveilig is onveilig tot er beveiliging komt (connection security, hader security, CSP etc. etc.).
En dan een groot probleem security through obscurity.
Je denkt dan dat het veilig is, doch het is het niet echt.
luntrus
Welk advies zou je aan MS geven zodat het beter kan?
Maak alle broncode van al jullie software open source en zet het onder publiek toegankelijk versiebeheer.
Welk advies zou je aan MS geven zodat het beter kan?
Maak alle broncode van al jullie software open source en zet het onder publiek toegankelijk versiebeheer.
Proest!
Alsof dat altijd zo goed werkt.
Bij Linux is het goed dat Linus er bovenop zit, anders was het daar ook een bende....
Open Source betekend niet altijd 'vlekkeloos schoon'.
Welk advies zou je aan MS geven zodat het beter kan?
Maak alle broncode van al jullie software open source en zet het onder publiek toegankelijk versiebeheer.
Proest!
Alsof dat altijd zo goed werkt.
Bij Linux is het goed dat Linus er bovenop zit, anders was het daar ook een bende....
Open Source betekend [sic] niet altijd 'vlekkeloos schoon'.
Dat staat er ook niet maar het zou in geval van Microsoft wel inzichtelijkheid geven en laksheid tegengaan. En leer eens Nederlands.
verwijderd ???????
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
