Microsoft wil gebruik kerneldrivers door beveiligingssoftware terugdringen
Microsoft wil het gebruik van kerneldrivers door beveiligingssoftware terugdringen, om zo wereldwijde computerstoringen zoals recent veroorzaakt door een defecte CrowdStrike-update te voorkomen. Dat heeft het techbedrijf aangekondigd. Beveiligingssoftware zoals virusscanners gebruiken kerneldrivers om meer zicht in het systeem te hebben, vroegtijdig te worden geladen om eerder dreigingen te detecteren, data te verzamelen, analyses uit te voeren en manipulatie te voorkomen.
Door met kernelrechten te draaien wil beveiligingssoftware voorkomen dat malafide gebruikers met adminrechten of malware de software kunnen uitschakelen. In het geval van een crash of probleem met de beveiligingssoftware heeft dit echter grote gevolgen voor het systeem, omdat een herstart niet mogelijk is zoals bij gebruikersapplicaties kan. In het geval van CrowdStrike zorgde de defecte update voor een 'out-of-bounds memory read', wat leidde tot een blue screen of death op het systeem.
Volgens Microsoft kunnen beveiligingsleveranciers zoals CrowdStrike security en betrouwbaarheid balanceren door bijvoorbeeld het aantal sensoren dat in kernelmode draait en wordt gebruikt voor bijvoorbeeld dataverzameling te beperken. "Het restant van de primaire productfunctionaliteit, waaronder het beheer van updates, parsen van content en andere operaties, kunnen geïsoleerd binnen user mode plaatsvinden, waar het wel mogelijk is om te recoveren", aldus Microsofts David Weston.
Om een herhaling van de wereldwijde computerstoring te voorkomen zegt Microsoft adviezen, best practices en ''technologieën' te zullen bieden om op veiligere wijze updates voor beveiligingsproducten uit te voeren. Daarnaast wil het techbedrijf de noodzaak voor securitybedrijven beperken om kerneldrivers te gebruiken om toegang tot belangrijke beveiligingsdata te krijgen.
"Er zijn veel scenario's waarbij dataverzameling en analyse geoptimaliseerd kunnen worden om buiten kernelmode plaats te vinden en Microsoft blijft met de industrie samenwerken om prestaties te verbeteren en best practices te bieden om pariteit buiten kernelmode te bereiken", stelt Weston. Microsoft kondigde onlangs al aan dat het Windows weerbaarder wil gaan maken om nieuwe grootschalige incidenten te voorkomen.
Reacties (29)
29-07-2024, 12:10 door
Anoniem
Beveiligingssoftware zoals Secure Boot draait ook in de kernel. Of zelfs daarvoor. En volgens mij is het niet nuttig behalve in datacenters waar iedereen met een toegangspas bij je hardware kan.
29-07-2024, 12:21 door
Anoniem
Misschien ook anti-cheat kernel toegang eruit gooien?
29-07-2024, 13:15 door
Erik van Straten
Waarom uitsluitend voor beveiligingsproducten?
Het aanvalsoppevlak van Windows is zo groot als de Sahara. Zolang Microsoft de complexiteit van -op z'n minst de kern van- Windows niet grondig op de schop neemt, is dit de zoveelste druppel -voor de bühne- in die woestijn.
Het aanvalsoppevlak van Windows is zo groot als de Sahara. Zolang Microsoft de complexiteit van -op z'n minst de kern van- Windows niet grondig op de schop neemt, is dit de zoveelste druppel -voor de bühne- in die woestijn.
29-07-2024, 13:18 door
Anoniem
Door Erik van Straten: Waarom uitsluitend voor beveiligingsproducten?
Het aanvalsoppevlak van Windows is zo groot als de Sahara. Zolang Microsoft de complexiteit van -op z'n minst de kern van- Windows niet grondig op de schop neemt, is dit de zoveelste druppel -voor de bühne- in die woestijn.
Inderdaad, je kan de kern ook niet los van de GUI installeren. Het zit er in verweven als spaghetti. De GUI is ook niet te deinstalleren. Dat zegt al genoeg. Rijp voor de sloop door al die ransomware incidenten.Het aanvalsoppevlak van Windows is zo groot als de Sahara. Zolang Microsoft de complexiteit van -op z'n minst de kern van- Windows niet grondig op de schop neemt, is dit de zoveelste druppel -voor de bühne- in die woestijn.
29-07-2024, 13:26 door
Anoniem
Door Erik van Straten: Waarom uitsluitend voor beveiligingsproducten?
Ken jij veel andere producten die in kernel mode draaien dan?Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
29-07-2024, 13:43 door
Anoniem
Hey Microsoft: what about kernel level anticheats?
29-07-2024, 14:10 door
Anoniem
Door Anoniem:
Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
Door Erik van Straten: Waarom uitsluitend voor beveiligingsproducten?
Ken jij veel andere producten die in kernel mode draaien dan?Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
En als het de driver voor de boot storage is? Er zullen altijd drivers zijn die je zal moeten uitsluiten van dat soort policies.
29-07-2024, 14:37 door
Anoniem
Door Anoniem: Beveiligingssoftware zoals Secure Boot draait ook in de kernel.
Nee, je snapt niet hoe dat werkt.
De boot software draait (DUH) _voordat_ enig OS gestart is.
lilo of grub draaien ook niet "in" de linux de kernel.
Of zelfs daarvoor. En volgens mij is het niet nuttig behalve in datacenters waar iedereen met een toegangspas bij je hardware kan.
Volgens mij is het vooral nuttig als je loslopende laptops wilt beschermen tegen gebruikers (en evil maids) met boot stickies.
29-07-2024, 14:54 door
Anoniem
Door Anoniem:
Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
Door Erik van Straten: Waarom uitsluitend voor beveiligingsproducten?
Ken jij veel andere producten die in kernel mode draaien dan?Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
dan komt je OS wel op maar zonder de bescherming die je denkt dat je hebt? Dan heb je leuk alles opgebracht weer zero-touch maar zonder endpoint protectie draaien is ook niet volgens de regels der kunst
29-07-2024, 14:59 door
Anoniem
Door Anoniem:
Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Anti-cheat software voor sommige games bijvoorbeeld. Riot Vanguard is voor mij reden geweest om definitief geen spellen van Riot Games meer te spelen.Door Erik van Straten: Waarom uitsluitend voor beveiligingsproducten?
Ken jij veel andere producten die in kernel mode draaien dan?Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
29-07-2024, 15:52 door
Anoniem
Door Anoniem:
Nee, je snapt niet hoe dat werkt.
De boot software draait (DUH) _voordat_ enig OS gestart is.
lilo of grub draaien ook niet "in" de linux de kernel.
Door Anoniem: Beveiligingssoftware zoals Secure Boot draait ook in de kernel.
Nee, je snapt niet hoe dat werkt.
De boot software draait (DUH) _voordat_ enig OS gestart is.
lilo of grub draaien ook niet "in" de linux de kernel.
Onder linux heb je tools om te schrijven naar het geheugen van Secure Boot. Microsoft Windows is ook in staat te schrijven hiernaar. En om te lezen.
Ik kan mij voorstellen dat dit allemaal in kernelspace draait. Met UEFI routines.
Anoniem 12:10
29-07-2024, 16:18 door
Anoniem
misschien moeten ze eens heel goed naar eigen boezem kijken vwb bijv de printer spooler?
29-07-2024, 16:24 door
Anoniem
Waarom blijft Microsoft zich moeien? Een software leverancier creëert een probleem en Microsoft heeft er niets mee te maken
29-07-2024, 16:33 door
Anoniem
Door Anoniem:
dan komt je OS wel op maar zonder de bescherming die je denkt dat je hebt? Dan heb je leuk alles opgebracht weer zero-touch maar zonder endpoint protectie draaien is ook niet volgens de regels der kunst
Door Anoniem:
Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
Door Erik van Straten: Waarom uitsluitend voor beveiligingsproducten?
Ken jij veel andere producten die in kernel mode draaien dan?Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
dan komt je OS wel op maar zonder de bescherming die je denkt dat je hebt? Dan heb je leuk alles opgebracht weer zero-touch maar zonder endpoint protectie draaien is ook niet volgens de regels der kunst
Nee maar dan kun je het tenminste met je beheertool weer fixen, bijv die software de-installeren en opnieuw installeren (een gefixte versie).
Nu zit je naar een BSOD scherm te turen, of naar 10000 BSOD schermen.
Daar word je als admin niet blij van!
29-07-2024, 16:36 door
Anoniem
Door Anoniem:
En als het de driver voor de boot storage is? Er zullen altijd drivers zijn die je zal moeten uitsluiten van dat soort policies.
Door Anoniem:
Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
Door Erik van Straten: Waarom uitsluitend voor beveiligingsproducten?
Ken jij veel andere producten die in kernel mode draaien dan?Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
En als het de driver voor de boot storage is? Er zullen altijd drivers zijn die je zal moeten uitsluiten van dat soort policies.
Behalve het feit dat dit onwaarschijnlijk is, maak je het met een dergelijke actie in ieder geval ook niet erger.
Dan zal een re-install of actie door een deskundige toch wel nodig worden.
Waar het om gaat is om een device weer "online" te krijgen indien mogelijk, zodat fixes automatisch geinstalleerd kunnen worden.
29-07-2024, 16:41 door
Anoniem
Door Anoniem: misschien moeten ze eens heel goed naar eigen boezem kijken vwb bijv de printer spooler?
Hoe lang heb je je al niet meer met dit onderwerp bezig gehouden?
29-07-2024, 17:04 door
Anoniem
Door Anoniem:
Onder linux heb je tools om te schrijven naar het geheugen van Secure Boot. Microsoft Windows is ook in staat te schrijven hiernaar. En om te lezen.
Ik kan mij voorstellen dat dit allemaal in kernelspace draait. Met UEFI routines.
Door Anoniem:
Nee, je snapt niet hoe dat werkt.
De boot software draait (DUH) _voordat_ enig OS gestart is.
lilo of grub draaien ook niet "in" de linux de kernel.
Door Anoniem: Beveiligingssoftware zoals Secure Boot draait ook in de kernel.
Nee, je snapt niet hoe dat werkt.
De boot software draait (DUH) _voordat_ enig OS gestart is.
lilo of grub draaien ook niet "in" de linux de kernel.
Onder linux heb je tools om te schrijven naar het geheugen van Secure Boot. Microsoft Windows is ook in staat te schrijven hiernaar. En om te lezen.
Ik kan mij voorstellen dat dit allemaal in kernelspace draait. Met UEFI routines.
Schrijven naar een partitie (of naar een chip) loopt inderdaad via de kernel.
Als je onder Linux een bios update doet - dan is er uiteindelijk een kernel driver die het schrijfwerk naar de eprom doet.
Maar dat betekent helemaal niet dat "BIOS code in kernel space draait" .
Als je iets op een UEFI partitie schrijft - dat is doodgewoon filesysteem access.
Als je bv een grub of lilo loader (her) schrijft - dan is het kenel die stukjes code op een partititie schrijft.
Maar die stukjes code _draaien_ niet "in de kernel" - maar tijdens boot daarvoor .
Je moet uit elkaar houden wat 'lezen/schrijven _door_ de kernel (van data die misschien ook code is)' is, en wat 'uitvoeren van code' is, en of dat op bare metal dan wel in, of onder de kernel van enig OS is.
Het enige wat lichtjes in de buurt komt is dat 'UEFI runtime' routines _beschikbaar_ zijn om door de kernel aangeroepen te worden.
Dat kun je dan m.i. zien als een soort extern beschikbare module of driver die de kernel kan aanroepen , en waarvan de code niet meekomt met de standaard kernel en drivers.
Ik kon zo geen voorbeeld vinden wanneer het werkelijk door Linux _gebruikt_ wordt, alleen wat docs/manuals hoe het gebruikt zou kunnen worden , voor os/kernel developers.
UEFI runtime heeft in elk geval geen rol in secure boot.
29-07-2024, 19:56 door
Anoniem
Door Anoniem: Waarom blijft Microsoft zich moeien? Een software leverancier creëert een probleem en Microsoft heeft er niets mee te maken
Omdat men wereldwijd verwacht dat Microsoft iets doet om te zorgen dat een wereldwijd probleemdat Crowdstrike veroorzaakte niet meer kan gebeuren.
En die druk is zo groot dat Microsoft er ook iets aan gaat doen, of het werkt is een tweede.
Maar ze hebben het geprobeerd.
Niets doen en/of negeren kunnen ze gewoonweg niet maken.
29-07-2024, 19:59 door
Erik van Straten
Door Anoniem:
Naast dat BYOVD een probleem is, schreef ik niet dat het aanvalsoppervlak beperkt is tot kernel mode drivers.Door Erik van Straten: Waarom uitsluitend voor beveiligingsproducten?
Ken jij veel andere producten die in kernel mode draaien dan?Het barst in Windows van de, voor de meeste mensen totaal onnodige, services die met hoge privileges draaien - en die je steeds moeilijker kunt disablen.
Ongeacht de moeilijkheidsgraad van het disablen kun je, op onverwachte momenten, tegen schijnbaar ongerelateerde problemen aanlopen. In elk geval ik heb ondertussen een bloedhekel gekregen aan Windows - alleen al het feit dat de idioot die bedacht heeft dat de balk bovenaan elk venster, ook degene die "input focus" heeft, dezelfde kleur moet hebben, haar of zijn zin kreeg vind ik krankzinnig (het is niet alleen dat er nauwelijks structurele verbeteringen worden doorgevoerd, Windows en Office zijn, naast de voortdurende absurde naamswijzigingen en toenemende cloudverplichtingen, steeds meer contraproductief en in specifieke gevallen ronduit onwerkbaar gemaakt).
Niet voor niets gaat er, na elke Microsoft beveiligingsupdate, op veel computers weer vanalles mis. Het is één grote spaghettikluwen waar niemand in Redmond nog overzicht op heeft. Dat Microsoft niet allang failliet is, heeft helemaal niets met de kwaliteit en informatieveiligheid van hun producten te maken, maar wordt veroorzaakt door de tientallen jaren waarin er onvoldoende bruikbare (of geen bruikbaar geachte) alternatieven voor hun producten beschikbaar waren.
29-07-2024, 20:52 door
Anoniem
Door Erik van Straten:
Niet voor niets gaat er, na elke Microsoft beveiligingsupdate, op veel computers weer vanalles mis.
Ik zal je vertellen dat ik van het weekend heb lopen tobben met een tweetal computers waarop wat mis ging na een Debian beveiligingsupdate (in bind9).Niet voor niets gaat er, na elke Microsoft beveiligingsupdate, op veel computers weer vanalles mis.
En het was er ook nog zo een van het kaliber "onderzoekers bij een universiteit hebben ontdekt dat je in theorie een klein probleempje zou kunnen veroorzaken door deze configuratie van een domein waarbij je dan ook nog een gebruiker moet vinden die een host uit dat domein bezoekt, en een zwak uitgevallen computer waar bind op draait".
Daar wordt dan een "beveiligingsupdate" voor gemaakt en gedistribueerd die meer shit veroorzaakt dan dat oorspronkelijke "probleem" ooit had kunnen doen.
Helaas een populaire categorie van CVE's tegenwoordig...
En ja, ik had alle sources en kon met wat greppen uiteindelijk vinden welke "patch" dit probleem veroorzaakte en wat het was wat ze wilden oplossen.
Dat was makkelijker dan dat het met Windows geweest was maar het was evengoed even zweten (zeker met dat weer) vanwege "waarom is de DNS service nou down???".
Dus het is geen probleem exclusief voor Microsoft, en daar zal het ook best vaak liggen aan diezelfde overijverige "onderzoekers" die weer eens een "probleem" gevonden hebben wat meteen gefixed moet worden!
29-07-2024, 21:59 door
Erik van Straten
Door Anoniem: Dus het is geen probleem exclusief voor Microsoft, en daar zal het ook best vaak liggen aan diezelfde overijverige "onderzoekers" die weer eens een "probleem" gevonden hebben wat meteen gefixed moet worden!
Daar heb je zonder meer gelijk in; niet alleen Microsoft bouwt eindeloos door op rottende houten heipalen.Ik vrees wel dat het aantal "beheerders" dat weet waarom grep niet in een Start Menu te vinden is (ow wacht, Start Menu's zijn ook al weer deprecated) verhoudingsgewijs afneemt - en daarmee het oplossend vermogen bij problemen.
Maar sowieso, https://www.cyberciti.biz/humour/a-haiku-about-dns/.
29-07-2024, 22:49 door
Anoniem
Door Anoniem: Ik kon zo geen voorbeeld vinden wanneer het werkelijk door Linux _gebruikt_ wordt, alleen wat docs/manuals hoe het gebruikt zou kunnen worden , voor os/kernel developers.
UEFI runtime heeft in elk geval geen rol in secure boot.
UEFI runtime heeft in elk geval geen rol in secure boot.
Ik twijfel nu of je er ook mee naar de storage voor Secure Boot kan schrijven, maar dit commando ziet er behoorlijk krachtig uit voor mij https://manpages.ubuntu.com/manpages/noble/man1/mokutil.1.html.
Het is duidelijk dat zowel Windows 10/11 als Ubuntu kunnen schrijven naar deze storage via de updates van Windows of Ubuntu. Want dit gaat straks allemaal automatisch of gebruikers dit willen of niet.
Er is dus software in de kernel van Windows/Ubuntu die maakt dat de updates van Windows/Ubuntu dit permanent naar de storage van Secure Boot kunnen schrijven en ik heb er geen goed gevoel over dat dit kan.
Ik heb een oud moederbord waar je in de UEFI BIOS kon knoeien met de storage. Er was bijvoorbeeld een upload functie in de UEFI BIOS om de storage te wissen of uit te rusten met je eigen sleutel (leuk voor bedrijven?). Mijn nieuwste moederbord heeft dit minder maar de functionaliteit (en code) zit er vast in. Het is alleen dieper weggestopt voor de gebruiker.
Anoniem 12:10
30-07-2024, 08:11 door
Anoniem
Door Anoniem: Ik zal je vertellen dat ik van het weekend heb lopen tobben met een tweetal computers waarop wat mis ging na een Debian beveiligingsupdate (in bind9).
Ik heb even in Debians changelogs voor bind9 gekeken, en bij Debian stable is de laatste update van 12 februari 2024 (een security update), en bij Debian testing en unstable van 27 juli 2024 (een segfault (crash) na een nieuwe upstream-versie van 16 juli die security-updates bevat):https://metadata.ftp-master.debian.org/changelogs/main/b/bind9/stable_changelog
https://metadata.ftp-master.debian.org/changelogs/main/b/bind9/testing_changelog
https://metadata.ftp-master.debian.org/changelogs/main/b/bind9/unstable_changelog
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1074378
Dat doet vermoeden dat je ofwel Debian stable ruim 5 maanden te laat hebt ge-update en tegen een bug bent aangelopen waarvan het zo zeldzaam is dat die geraakt wordt dat anderen er geen last van hebben gehad; ofwel dat je niet Debian stable draait maar testing of unstable. Het laatste lijkt waarschijnlijker, want daar is inderdaad sprake van een crash na een update die ook security-gerelateerd is en die qua timing lijkt te kloppen.
Als je inderdaad testing of unstable draait en je wilt niet tegen dit soort dingen aanlopen, stap dan over op stable. Testversies zijn niet bedoeld om al stabiel te zijn, die zijn bedoeld om tegen fouten aan te lopen en die te melden/op te lossen voordat iets als stabiel bestempeld wordt. Daar is het dus uitdrukkelijk de bedoeling dat je fouten kan verwachten. Besef dat je voor dat risico kiest als je unstable of testing draait, en als dat inderdaad is wat je draait: ga het dan niet presenteren alsof het de stabiele release betreft (want dat is waar mensen denken dat je het over hebt als je Debian zonder nadere aanduiding gebruikt).
30-07-2024, 09:30 door
Anoniem
Door Erik van Straten:
Het probleem is niet zo zeer dat de code slecht is en dat er veiligheidsproblemen zijn, maar dat er "bug bounties" en "onderzoeksbudgetten" zijn die mensen motiveren spijkers op laag water te zoeken en fixes af te dwingen (want anders gaat men wel even de publiciteit zoeken!) die legitiem gebruik in de problemen brengen, terwijl wat ze willen fixen in werkelijkheid voor niemand een probleem was.Door Anoniem: Dus het is geen probleem exclusief voor Microsoft, en daar zal het ook best vaak liggen aan diezelfde overijverige "onderzoekers" die weer eens een "probleem" gevonden hebben wat meteen gefixed moet worden!
Daar heb je zonder meer gelijk in; niet alleen Microsoft bouwt eindeloos door op rottende houten heipalen.Men wordt dan gedwongen functionaliteit aan te passen waarvan men niet weet hoe dat de installed base gaat raken.
Dit is niet de verantwoordelijkheid van Microsoft, Debian, ISC e.d. maar gewoon van die geldbeluste "onderzoekertjes".
30-07-2024, 11:10 door
Anoniem
Door Anoniem:
Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
Door Erik van Straten: Waarom uitsluitend voor beveiligingsproducten?
Ken jij veel andere producten die in kernel mode draaien dan?Ik ken alleen device drivers. En behalve de situatie rond USB drivers, waar Windows haast niks kent en altijd een driver wil installeren, waar Linux vaak wel een generieke class driver gebruikt, zou ik niet weten wat er dan beter aan kan.
Wel denk ik dat er een "1 strike you are out" (of "3 strikes you are out") policy kan worden ingesteld waarbij een driver die een BSOD veroorzaakt bij de volgende boot gedisabled wordt, hoe belangrijk die zichzelf ook vindt.
Anticheat software zoals Denuvo bv. En met miljoenen gamers die spelllen met die zooi erop ook nog hele grote risico.
`Misschien is Anticheat software zelfs wel een groter probleem dan enterprise virusscanners zoals die van Crowdstrike omdat dit bij particulieren draait en en niet bij grotere bedrijven.
30-07-2024, 12:36 door
Anoniem
Door Anoniem:
Ik twijfel nu of je er ook mee naar de storage voor Secure Boot kan schrijven, maar dit commando ziet er behoorlijk krachtig uit voor mij https://manpages.ubuntu.com/manpages/noble/man1/mokutil.1.html.
Door Anoniem: Ik kon zo geen voorbeeld vinden wanneer het werkelijk door Linux _gebruikt_ wordt, alleen wat docs/manuals hoe het gebruikt zou kunnen worden , voor os/kernel developers.
UEFI runtime heeft in elk geval geen rol in secure boot.
UEFI runtime heeft in elk geval geen rol in secure boot.
Ik twijfel nu of je er ook mee naar de storage voor Secure Boot kan schrijven, maar dit commando ziet er behoorlijk krachtig uit voor mij https://manpages.ubuntu.com/manpages/noble/man1/mokutil.1.html.
Wees alsjeblieft wat duidelijker over wat & waar.
Er is een BIOS (chip) - die geflashed kan worden.
Er is de 'normale storage' - (harddisk, draaiend of flash of iscsi of..) waarop een UEFI partitie kan staan - en ook de rest van het systeem.
En er is een 'TPM chip' met crypto functies en crypto keys. (heel minimale NV storage, maar genoeg voor enkele keys).
Alle drie hebben een rol in secure boot.
Ik moest wat zoeken , maar de keys van mokutil zitten zo te lezen in de 'normale' storage (disk) en worden door de boot-shim gebruikt bij het valideren van componenten .
https://wiki.debian.org/SecureBoot#What_is_UEFI_Secure_Boot.3F
De kernel heeft een TPM driver om te praten met een tpm chip, indien aanwezig. (gaat gewoon over I2C bus).
https://wiki.archlinux.org/title/Trusted_Platform_Module
Het is duidelijk dat zowel Windows 10/11 als Ubuntu kunnen schrijven naar deze storage via de updates van Windows of Ubuntu. Want dit gaat straks allemaal automatisch of gebruikers dit willen of niet.
Er is dus software in de kernel van Windows/Ubuntu die maakt dat de updates van Windows/Ubuntu dit permanent naar de storage van Secure Boot kunnen schrijven en ik heb er geen goed gevoel over dat dit kan.
Wat is 'permanent' ? Net zo permanent als kernel 6.4.0.123 ...
Ik heb een oud moederbord waar je in de UEFI BIOS kon knoeien met de storage. Er was bijvoorbeeld een upload functie in de UEFI BIOS om de storage te wissen of uit te rusten met je eigen sleutel (leuk voor bedrijven?). Mijn nieuwste moederbord heeft dit minder maar de functionaliteit (en code) zit er vast in. Het is alleen dieper weggestopt voor de gebruiker.
Anoniem 12:10
Dat hele crypto/secure boot landschap is een studie op zich - maar je hebt duidelijk een heel fuzzy idee wat/hoe waar .
30-07-2024, 13:54 door
Leo van Lierop
Als het kalf is verdronken, dempt men de put. Beetje laat dit! Software die bedoelt is voor kritieke infrastructuur kan je niet mee marchanderen. WHQL drivers die niet waterdicht zijn verdienen geen goedkeuring.
30-07-2024, 19:23 door
Anoniem
Door Anoniem: Wat is 'permanent' ? Net zo permanent als kernel 6.4.0.123 ...
Permanent. Zoals in https://support.microsoft.com/help/5025885
The Enforcement Phase will be at least six months after the Deployment Phase. When updates are released for the Enforcement Phase, they will include the following:
The “Windows Production PCA 2011” certificate will automatically be revoked by being added to the Secure Boot UEFI Forbidden List (DBX) on capable devices. These updates will be programmatically enforced after installing updates for Windows to all affected systems with no option to be disabled.
The “Windows Production PCA 2011” certificate will automatically be revoked by being added to the Secure Boot UEFI Forbidden List (DBX) on capable devices. These updates will be programmatically enforced after installing updates for Windows to all affected systems with no option to be disabled.
Secure Boot zou niet werken als je alle data in de storage (volgens mij in het moederbord en niet op een aangesloten harddisk) kon wissen en je eigen certificaten toe kon voegen. Bijvoorbeeld het “Windows Production PCA 2011” certificaat waardoor BlackLotus weer zou werken. Een rootkit die geladen wordt voordat de Windows kernel zelf wordt geladen en daar invloed op heeft.
Je kan je moederbord weg gooien als er iets niet goed gaat tijdens dit proces van permanent maken. Opnieuw flashen is softwarematig zo gemaakt dat de database van Secure Boot in tact blijft wat je ook doet. CMOS batterij eruit helpt ook niet.
Anoniem 12:10
31-07-2024, 08:49 door
Anoniem
Door Anoniem:
Door Anoniem: misschien moeten ze eens heel goed naar eigen boezem kijken vwb bijv de printer spooler?
Hoe lang heb je je al niet meer met dit onderwerp bezig gehouden?ikzelf niet lang, maar mensen die wilde printen op mijn werk en vast zaten aan windows PCs, die wel... bijna een half jaar lang!
https://www.darkreading.com/cyber-risk/why-windows-print-spooler-remains-a-big-attack-target
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
