Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Printnightmare fix FAIL

07-07-2021, 20:49 door Erik van Straten, 12 reacties
Laatst bijgewerkt: 07-07-2021, 21:03
De noodpatch die Microsoft gisteren heeft uitgebracht [1] voor het RCE-lek in de print spooler service blijkt eenvoudig te omzeilen, zo meldt The Register ([2]).

In dat artikel kun je lezen dat Benjamin Delpy, de ontwikkelaar van mimikatz, in [3] meldt dat Microsoft in hun fix probeert vast te stellen of de library niet op een remote server staat door te checken of het pad niet met \\ begint (zoals in \\server\share\hebbes.dll).

Daarbij is Microsoft vergeten dat \??\UNC\ een alternatief is voor \\ (in de zin van "\??\UNC\server\share\hebbes.dll"). Zucht...

Aanvulling: dit naast het feit dat de gisteren gepubliceerde fix de LPE (Local Privilege Escalation) kwetsbaarheid niet repareerde - waarmee deze patch compleet waardeloos is. Microsoft zou bij elke nieuwe Windows versie minder moeten tweaken aan start-menu's maar eens serieus oude onveilige legacymeuk uit het NT-tijdperk opschonen.

[1] https://www.security.nl/posting/711062/Microsoft+komt+met+noodpatch+voor+kritiek+beveiligingslek+in+Windows
[2] https://www.theregister.com/2021/07/07/printnightmare_fix_fail/
[3] https://twitter.com/gentilkiwi/status/1412771368534528001
Reacties (12)
08-07-2021, 08:01 door Bitje-scheef
Aanvulling: dit naast het feit dat de gisteren gepubliceerde fix de LPE (Local Privilege Escalation) kwetsbaarheid niet repareerde - waarmee deze patch compleet waardeloos is. Microsoft zou bij elke nieuwe Windows versie minder moeten tweaken aan start-menu's maar eens serieus oude onveilige legacymeuk uit het NT-tijdperk opschonen.

Ben ik volledig met je eens.
08-07-2021, 08:57 door [Account Verwijderd] - Bijgewerkt: 08-07-2021, 08:57
Door Erik van Straten: ... Microsoft zou bij elke nieuwe Windows versie minder moeten tweaken aan start-menu's ...

Levert potentieel veel nieuwe klanten op als hyped PR-feature.

Door Erik van Straten: ... maar eens serieus oude onveilige legacymeuk uit het NT-tijdperk opschonen. ...

Naah... Is erg duur en wat levert dat eigenlijk op? Goedkoper om de klant er gewoon tegenop te laten lopen en dan paar stagiairs een fix te laten maken. Is toch closed source software dus er zal geen haan naar kraaien.
08-07-2021, 09:14 door Anoniem
je zou er maar voor betaald hebben, voor die klungelarij....
08-07-2021, 09:34 door Anoniem
Microsoft zou bij elke nieuwe Windows versie minder moeten tweaken aan start-menu's maar eens serieus oude onveilige legacymeuk uit het NT-tijdperk opschonen
Tuurlijk, maar je weet toch dat bedrijven tegenwoordig alleen nog maar werken voor de "reviewers", vroeger in de blaadjes en tegenwoordig op websites en youtube?
Die gaan de boel uitpakken en enthousiast vertellen over de nieuwe ronde hoekjes (en de vierkante hoekjes in de volgende versie), en allerlei grappige ballonnetjes met nikszeggende meldingen.
Die krijg je niet enthousiast voor verbeteringen in de printer spooler, dus is het ook zinloos om daar geld en moeite in te steken want dat leidt niet tot meer verkopen en meer gebruikerstevredenheid.

Helaas, het is hoe men tegenwoordig werkt. Niet alleen bij Microsoft.
Dit moet wel heel erg effectief zijn, ik sta wel eens verbaast wat fabrikanten (zeker hardware fabrikanten, voor wie het echt geld kost om een review exemplaar te versturen) kennelijk allemaal over hebben om een product in een filmpje met een kwartier tot een half uur dom geleuter door een youtuber met veel kijkers te krijgen.
Dit werkt kennelijk erg goed als verkoopkanaal, wat toch wel zorgwekkend is.
08-07-2021, 10:35 door Anoniem
(Semi-on-topic:) KB5004945 zorgt er ook voor dat mijn tweede beeldscherm niet meer werkt (opgelost door deze te de-installeren).
08-07-2021, 11:28 door Anoniem
Door Anoniem: je zou er maar voor betaald hebben, voor die klungelarij....

Jammer dat dit soort draadjes steevast bevolkt worden door lui die niets nuttigs toe te voegen hebben, terwijl op deze site juist een bak kennis aanwezig is waar je praktisch iets aan hebt. Probleem oplossen > bashing.
08-07-2021, 12:26 door Anoniem
"vergeten"?
11-07-2021, 08:59 door [Account Verwijderd] - Bijgewerkt: 11-07-2021, 09:08
Door Anoniem:
Door Anoniem: je zou er maar voor betaald hebben, voor die klungelarij....

Jammer dat dit soort draadjes steevast bevolkt worden door lui die niets nuttigs toe te voegen hebben, terwijl op deze site juist een bak kennis aanwezig is waar je praktisch iets aan hebt. Probleem oplossen > bashing.

Wat jij 'bashing' noemt is in feite het aan de kaak stellen van wat iedere professional al lang weet, namelijk (a) dat spaghetticode niet te onderhouden is, omdat een fix op de ene plek onvoorziene en niet te voorziene gevolgen heeft op andere plekken én (b) dat veel Microsoft software (met name Windows) alle kenmerken vertoont van een spaghetticodebouwwerk, met een vanaf het begin belabberde maar nu zeker achterhaalde architectuur (als daar überhaupt al sprake van is) én (c) dat je met closed source software bijna overal mee weg kan komen, waarbij de klant al snel de dupe wordt van commerciële afwegingen achter de schermen, van grote bedrijven zonder scrupules.
11-07-2021, 09:29 door Erik van Straten
Door Toje Fos:
Door Anoniem:
Door Anoniem: je zou er maar voor betaald hebben, voor die klungelarij....

Jammer dat dit soort draadjes steevast bevolkt worden door lui die niets nuttigs toe te voegen hebben, terwijl op deze site juist een bak kennis aanwezig is waar je praktisch iets aan hebt. Probleem oplossen > bashing.

Wat jij 'bashing' noemt is in feite het aan de kaak stellen van wat iedere professional al lang weet, namelijk (a) dat spaghetticode niet te onderhouden is, omdat een fix op de ene plek onvoorziene en niet te voorziene gevolgen heeft op andere plekken én (b) dat veel Microsoft software (met name Windows) alle kenmerken vertoont van een spaghetticodebouwwerk, met een vanaf het begin belabberde maar nu zeker achterhaalde architectuur (als daar überhaupt al sprake van is) én (c) dat je met closed source software bijna overal mee weg kan komen, waarbij de klant al snel de dupe wordt van commerciële afwegingen achter de schermen, van grote bedrijven zonder scrupules.
Klopt.

Jammer alleen dat verreweg de meeste open source producten net zo'n legacy spaghettibende zijn, het daarin ook barst van de kwetsbaarheden (die je sneller moet patchen omdat een diff van de open source onmiddelijk duidelijk maakt wat het probleem is) en je tegen nog meer compatibiliteitsproblemen aanloopt ondat de meeste mensen nou eenmaal Microsoft producten gebruiken.

Ik SNAK naar een fatsoenlijk, van de grond af veilig ontworpen, alternatief (niet van Google of Apple, en ook niet de een of andere BSD variant of iets anders met een geitenwollensokken /etc map).
11-07-2021, 09:47 door [Account Verwijderd] - Bijgewerkt: 11-07-2021, 09:56
Door Erik van Straten: ... Ik SNAK naar een fatsoenlijk, van de grond af veilig ontworpen, alternatief (niet van Google of Apple, en ook niet de een of andere BSD variant of iets anders met een geitenwollensokken /etc map).

Er zijn initiatieven, zoals:
https://www.rvo.nl/subsidies-regelingen/projecten/secure-os: Dit project voorziet in de ontwikkeling van een validatie model welke [sic] gebruikt gaat worden voor encryptie dwars door hard- en software.
Helaas vallen zij bij voorbaat al af want ze schrijven 'welke' i.p.v. 'die'.

En zoiets als de seL4® Microkernel betreft alleen de kernel en is nog mijlenver van praktische toepassing, lijkt het. https:/sel4.systems/ (en de security.nl url processing code is verouderd want herkent geen recentere tld's).
11-07-2021, 10:18 door Anoniem
Door Toje Fos:...

Er zijn initiatieven, zoals:
https://www.rvo.nl/subsidies-regelingen/projecten/secure-os: Dit project voorziet in de ontwikkeling van een validatie model welke [sic] gebruikt gaat worden voor encryptie dwars door hard- en software.

...

25k subsidie, dat gaat het niet worden!
11-07-2021, 10:36 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos:...
25k subsidie, dat gaat het niet worden!
En 2017 zie ik nu.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.