Nieuwe exploits voor Windows als kerstcadeau

Niks kwestie van Windows Updaten. Als je Windows 2000 draait ben je dus wel vulnarable.

neeeeh, updaten naar Windows XP

Maar er is wel softwarematige DEP in Service Pack 2, die toch ook wel(een beetje) helpt. En die staat zo'n beetje altijd aan(Voor essentiele Windows onderdelen en services).

Op de afgelopen hcc dagen kon ik alleen een P4 530 kopen, niet de P4 530J (met NX bit, of hoe intel dat nou noemt ). Nu wil ik niet zeggen dat de 'J'-versie er niet was, hij was alleen niet echt wijdverspreid.

Dus niet voor het leeuwendeel van de user applicaties, zoals Internet Exploder. DEP standaard aan gaat dus niets doen.

Ik denk at we er nu toch allemaal wel over uit zijn dat internet explorer een essentieel onderdeel is van windoiws xp. Hoe dan ook het staat bij mij standaard aan en ik heb er niets aan veranderd draai het hier niet op een systeem met NX bit en die proof of concept werkte hier dus gewoon niet.
Mijn bevinding: Zorg dat je up to date bent en klooi niet aan de DEP instelling en je hoeft nergens bang voor te zijn.

Plaatjes misschien. Maar als je firefox.exe in een hexeditor laadt, kun je zien dat hij wel degelijk LoadImage gebruikt. Dus hij hebruikt hem wel voor cursors en/of iconen.

Dat zegt niks. De iconen zijn kwestbaar. So what? Wou jij de firefox iconen exploiten? Succes! . Dan heb je al HD access nodig, en als je die al had dan zou je wel betere dingen te doen hebben dan een nieuwe firefox exploit opzetten, niet? . Het probleem voor andere applicaties (met name IE!) is dat plaatjes die op internet te zien zijn (denk aan populaire websites) al een exploit kunnen bevatten. Als je je de recente aanval op nu.nl's advertentie backend nog herinnert, dan kun je je de impact wel voorstellen. Slechte zaak natuurlijk.

En triest voor de MS ontwikkelaars, die opeens weer moeten werken tijdens kerst. .

Beelzebubu: En favicon is geen icon?

Het lijkt me dat favicon (omdat dat intern gebeurt in Firefox) gedaan wordt via de geintegreerde image libs, en dus niet via de standaard Windows functies. Die scheiding is in de Mozilla suite vrij goed.

Mozilla binaries zijn statisch gecompileerd over het algemeen. Je bent dus juist niet veilig op het moment dat MS een patch uitbrengt. Kijk maar naar de JPEG bug, je moest hiervoor ook een nieuwe firefox build installeren, simpelweg de JPEG bug fixen in je windows DLLs hielp niet echt veel, aangezien firefox statisch gecompileerd was met een brakke versie van de DLL.

duidelijk, maar in Redmont weten ze dit schijnbaar nog niet te implementeren?

Windows 2K/XPzijn prima geschikt om niet als admin te werken. Op honderdduizenden bedrijfsdesktops met Windows 2K/XP zijn de gewone gebruikers heus geen admin. Aan MS ligt het niet. Je bent helaas wel bijna verplicht alleen maar MS software te gebruiken want buiten Redmond vindt men het volkomen normaal dat je overal admin voor moet zijn.

Zo vindt men het bij Nullsoft volkomen normaal dat Winamp alleen MP3's kan afspelen als je admin bent, anders crasht hij gewoon. Zul je bij Windows Mediaplayer geen last van hebben, maar ja, dat moet je dan wel willen gebruiken.

Zoals Winamp zijn er helaas legio voorbeelden van het eigenlijk gewoon niet goed aan de compatibiliteitseisen voldoen van 3rd-party-software waar je pas achter komt als je geen admin bent.

Ahum; Winamp kun je gewoon als user draaien; daar hoef je echt geen admin voor te zijn. Enigste wat je hier voor moet doen is de user schrijfrechten te geven op de map waar je Winamp in hebt geïnstalleerd. Verder zijn eigelijk wel zo'n beetje alle programma's aan de praat te krijgen onder user rechten; indien nodig met het runas programma. Ikzelf gebruik runas bijvoorbeeld om al het beheer even uit te voeren terwijl ik toch gewoon user ben en geen administrator. Op mijn bureaublad staat dan gewoon doodleuk een snelkoppeling naar <%windir%\system32\runas.exe /user:Tecra\Administrator /savecred "C:\Program Files\Internet Explorer\iexplore.exe c:">. Via deze snelkoppeling kan ik via Internet Explorer alle beheerszaken doen inclusief configuratiescherm en zelfs dingen als regedit zijn aanspreekbaar. Ik heb Internet Explorer alle communicatie naar het Internet verboden en surf lekker met Firefox op het net. Ik gebruik verder altijd up-to-date virusscanners; een goede software firewall; scan eens per week ongeveer op spyware en zit netjes achter een setje routers (3 stuks moest ze toch alle drie gebruiken ivm ingebouwd modem; ingebouwde printserver in een andere router en weer een andere router met ingebouwde 802.11g accespoint. Via het wireless lan is alles afgeschermd met WPA; MAC filtering en een block op mijn broadcast van de SSID. Al deze maatregels samen zorgen ervoor dat je een erg stabiel en betrouwbaar platform overhoudt aan Windows wat na het opzetten toch erg makkelijk te onderhouden is. Dit alles klinkt een beetje paranoïde en is voor de gemiddelde thuisgebruiker ook totaal niet te realiseren maar een aantal zaken zou niet verkeerd zijn om eens te overwergen voor Jan met de pet.

ahum, hoe wou je dan windows update draaien, als IE geen access naar internet heeft

Meestal doe je dat in een bedrijfsomgeving met Software update services (SUS) of een ander distributiesysteem (of gewoon auto-update )

Ook al draai je het als user, er zijn zoveel lokale root exploits, dat je praktisch toch wel root bent, ook als je via usermode binnenkomt.

MS focused zich op dit moment totaal op de eerste linie, de verbinding tussen het internet en de computer. Als die helemaal dicht zou zitten is het geen probleem, maar zolang je nog door het laden van een image een buffer overflow kan krijgen...

Ahum; Winamp kun je gewoon als user draaien; daar hoef je echt geen admin voor te zijn. Enigste wat je hier voor moet doen is de user schrijfrechten te geven op de map waar je Winamp in hebt geïnstalleerd.

Dat weet ik, zo doe ik het nu ook, maar je zult het toch met me eens zijn dat het vies blijft dat je gewone gebruikers schrijfrechten moet geven op mappen waar ze helemaal geen schrijfrechten zouden moeten hebben. Dat terwijl het helemaal niet moeilijk is om hier een andere map voor te gebruiken, het is gewoon laksheid.

Verder zijn eigelijk wel zo'n beetje alle programma's aan de praat te krijgen onder user rechten; indien nodig met het runas programma. Ikzelf gebruik runas bijvoorbeeld om al het beheer even uit te voeren terwijl ik toch gewoon user ben en geen administrator.

Klopt, maar dat is toch ook vies? Het probleem is dat zolang veel mensen altijd als admin draaien of dit soort vieze hacks accepteren de groep die dit soort problemen tegen komt klein is en developers er dus met de pet naar kunnen blijven gooien. Je moet eens voor Linux of Unix een programma uitbrengen wat alleen draait als root. De wereld zou te klein.

Maar MS negeert deze waarschuwingen al te vaak. Het IFrame exploit werd ook eerst genegeerd. Pas nadat het publiek werd gemaakt werd er actie door MS ondernomen. En toen duurde het nog 5 maanden (!!!) voordat er een patch beschikbaar was.

Het Trustworthy Computing initiatief duurt nu al ruim 2 jaar en het aantal lekken dat naar buiten komt, loopt nog steeds sneller op dan het aantal patches.

In MS' geval zeg ik: "wie de billen brandt moet op de blaren zitten".

Van het geld wat MS ontvangt voor elke windows is ongeveer 80% `winst`. Lijkt me dat ze dan wel een bugvrij produkt moeten leveren ja. Koop van die winst een gigantisch Q and A team die alle bugs eruit haalt.
Ze horen gewoon een bugfree produkt te leveren voor het geld wat ze voor Windows vragen.
Natuurlijk kunnen er kleine foutjes inzitten, maar grote beveiligingsfouten mogen er echt niet inzitten.
Dus in dit geval: nee het hoort niet zo te zijn dat je de makers van Windows de kans geeft te fixen, voordat je de hele exploit openbaar maakt?

Het gaat hier niet om bugs maar om essentiële ontwerpfouten. Als er een betere scheiding was geweest tussen netwerk en userspace dan waren dergelijke 'programmeerfouten' lang niet zo gevaarlijk.

@J.Groen:
'Van het geld wat MS ontvangt voor elke windows is ongeveer 80% `winst`. '

-> en natuurlijk kost het geen geld om zo'n product te ontwikkelen...

_Thanatos_ en Sir Axe, Het ontwikkelen kost geld, net als het debuggen achteraf. Als MS nu eens iets langzamer maar bewuster ontwikkeld, zonder steeds maar weer nieuwe dingen te bedenken, zouden ze een super product leveren en daarna meer tijd hebben voor nieuwe onderdelen.
Ze willen gewoon te snel. Ze raffelen het af

Die 80% is winst, dus na aftrek van alle kosten!

het is totaal niet relevant wat je voor windows betaald en dat het dan bugfree zou moeten zijn, sorry, echt crapp gewoon. MS zit gewoon in de positie dat ze dit kunnen vragen, geef ze eens ongelijk?

Het zijn nou net vaak kleine foutjes die grote beveiligingsfouten kunnen opleveren.. Geen OS is veilig, dat is gewoon onmogelijk.. Linux is net zo onveilig als windows is, maar er zijn nog niet genoeg mensen die gebruik maken van linux om hackers de moeite te laten nemen om de werkelijke exploits te gaan zoeken, en die zijn dan vaak nog makkelijker te vinden omdat ze de complete source tot hun beschikking hebben..
BugFree is gewoonweg niet meer van toepassing tegenwoordig..
Vaak zijn trouwens ook de beveiligingsfoutjes niet eens echt aan MS zelf te wijten, maar aan 3rd party software.. Het is ook gewoon steeds lastiger om een fatsoenlijke OS te maken, tja je kunt wel een compleet nieuw OS bedenken en schrijven, maar als daar de huidige software niet op kan draaien heb je er geen reet aan.. Software is nou eenmaal wat een OS populair maakt..

Vaak zijn trouwens ook de beveiligingsfoutjes niet eens echt aan MS zelf te wijten, maar aan 3rd party software..

dus het zoveelste lek in IE ligt niet bij ms?

[dubbelpost]

da's niet helemaal waar. freebsd is wel echt stukken veiliger.

Denk na:

Exploit gebruiken om iets onder jouw user te doen
Dat iets gebruikt vervolgens de zoveelste privilege escalation exploit om admin te worden en vervolgens ben je gaar.

Als user werken is geen absolute veiligheid, het is slechts een extra laag die de virusmannetjes echt wel gaan doorbreken.

Het ergste is, veel van de mensen die wel de skills hebben om windows onder user werkbaar te houden zijn vervolgens te arrogant om een scanner te installen.

* 786562 nitenite

Het ergste is, veel van de mensen die wel de skills hebben om windows onder user werkbaar te houden zijn vervolgens te arrogant om een scanner te installen

Ik draai windows als administrator en ik gebruik geen virusscanner. Onder DOS had ik voor het laatst een virus. Onder windows heb ik alleen maar 1 keer spyware gehad (coolwebsearch). Dat merkte ik doordat IE traag was, en ben ook meteen op Opera overgestapt.

Ben ik nu arrogant? Nee ik let gewoon goed op. Voor de gemiddelde gebruiker kan je echt beter de boel flink dichttimmeren, maar paradoxaal genoeg moet juist die gebruiker ook als administrator werken: bijvoorbeeld om met je HP scanner te kunnen werken!!!! En denk maar niet dat daar nieuwe drivers voor uitkomen. Ook software installeren moet vaak als administrator. Dan zijn de rechten onder linux toch net iets beter geregeld, maar ook nog steeds moeilijk voor n00bs.

mae-t.net,

Je weet niet of je een virus hebt, je hebt namelijk geen scanner draaien. Het is absoluut niet zo dat elk virus je systeem lam legt, integendeel, een zich netjes gedragend virus zal door jouw niet opgemerkt worden.
(Tot je mail van je ISP krijgt, maar sommige isps laten virusverspreidende doosjes weken en weken doorgaan, bijvoorbeeld Euronet en Wannadoo (zelfde toko))

Ik draai windows als administrator en ik gebruik geen virusscanner.
Onvoorstelbaar dit. Als je je fiets een paar keer niet op slot zet, en hij wordt niet gestolen, wil dat dan zeggen dat hij nooit gestolen zal worden?
Er is laatst een onderzoek geweest, waaruit blijkt dat de laatste Linux versies ongeveer 3 maanden ongepatched (!) verbinding kunnen hebben met het internet, voordat ze gehacked worden. Voor de gemiddelde Windows-uitvoering duurt dat meestal maar MINUTEN!

Heb nog nooit een virus gehad onder Windows? Wat een onzin. Alleen als je Windows gebruikt voor je administratie en internet met een Linux-doos wil je misschien nog wel geloven.

maar paradoxaal genoeg moet juist die gebruiker ook als administrator werken: bijvoorbeeld om met je HP scanner te kunnen werken!
De firma HP stelt zich de laatste tijd steeds meer op als een stel prutsers. Bij een scanner wordt 300 Mb aan software geleverd, die je moet (let wel: moet) installeren om die scanner te kunnen gebruiken. Hierbij ook DotNet Framework en andere compleet overbodige onzin.

Dan zijn de rechten onder linux toch net iets beter geregeld
Dat zal iedereen met je eens zijn. Helaas draaien er (nog) te weinig mensen met Linux om op dit moment van Microsoft te eisen dat ze hier eens structureel wat aan gaan doen.

@nitenite en @pietervs: Ik heb weliswaar geen scanner draaien, maar dat betekent niet dat ik nooit scan. Ik ben er 100% zeker van dat ik niet geinfecteerd ben. Verder lees ik geen mail onder windows (heb dus ook geen adresboek of outlook express geinstalleerd). Ik lees geen nieuwsgroepen onder windows. Deze lees ik inderdaad met behulp van een putty op een linux machine. Ik surf niet meer met IE maar met Opera. Wel gebruik ik IE nog om bestellingen te plaatsen bij een groothandel met een brakke website. Ik draai geen windows NT-achtige (daar zijn bijna alle overflow exploits voor tegenwoordig). Ik open geen executables (en als ik dat wel doe is dat het moment om de scanner uit de kast te trekken). Indien ik mail zou lezen onder windows zou ik bijvoorbeeld M2 of Pegasus gebruiken. Hoewel outlook tegenwoordig ook nog best meevalt naar het schijnt. In elk geval moet je je bij windows XP SP2 een ongeluk klikken als je ook maar iets gaat doen dat de schijn heeft van een executable downloaden, dus wellicht ga ik een keer de overstap van 95/98 wagen.

Het is een ander soort fout dat op die manier verwerkt word. En dan nog denk ik dat de informatie die op die manier verwerkt word hoofdzakelijk automatisch verwerkt word.

Als ik morgen een hoax naar MS stuur waarin ik gedetailleerd een zogenaamde bug in hun software beschrijf, ik denk niet dat MS mij gaat geloven.

Als je een proof of concept meestuurt luisteren ze misschien wel

Dan kom je weer in het Open Source model terecht. En we zien daar een ander soort mentaliteit in die wereld. Als een bug gevonden word die kan leiden tot een gevaarlijke exploit of als er al een exploit op het net aanwezig is dan zien we bij OSS dat met man en macht gewerkt word om het gat te dichten. Binnen 1 a 2 dagen is er een fix. Nog is 1 a 2 dagen later zit ie in het update mechanisme van een een distro dus binnen 2 a 4 dagen is een kritieke fout daar meestal opgelost. Ook omdat er zoveel mensen aan meewerken als nodig is en er zoveel tijd insteken als nodig is.

Als bij MS de diensturen voorbij is zullen maar weinige programmeurs achterblijven om nog diezelfde dag naar een oplossing te zoeken. Ook is het aantal mensen dat bij MS naar een fout kan zoeken beperkt. Daarom dat kritieke fouten soms weken ongepatched blijven.

Je moet de C'T van deze maand maar eens kopen. Op pagina 100 begint een artikel over IE vs. Firefox en één van de zaken die erin besproken word is de verschillen in ontwokkeling (closed vs open) en de mentaliteit van de ontwikkelaars en gemeenschap.

Je kan het natuurlijk ook andersom zien. Indien een ieder, dus ook hackers (of moet ik crackers zeggen?) de beschikking zouden hebben over de broncode van Windows, dan zou het maken van virussen wel heel erg makkelijk worden.

Wat hebben mensen toch een slecht geheugen. De broncode van windows (2k, nt) is het afgelopen jaar via BitTorrent de hele wereld overgegaan. Een beetje hacker heeft hier dus allang de beschikking over.

Zij zoeken achter die bugs. Maar vergeet niet dat degelijke virusschrijvers en hackers hetzelfde doen. En dan heb ik het niet over de scrip kiddies die met dit soort ideeën gaan lopen.

Stel nu volgende week word jouw PC gehackd vanwege een exploit in software pakket A en de volgende dag komt er een rapport uit dat een beveiligingsbedrijf 2 weken heeft achter gehouden omdat de feestdagen eraan komen. Ik denk niet dat jij blij zou zijn.

Het probleem licht trouwens niet bij deze groep, maar bij MS. Zij moeten de bug dichten, kerst of geen kerst. Chinezen zijn geen christenen, zij kennen geen kerst en wij vieren geen chinees nieuwjaar.. En denk je dat hackers en virusschrijvers gaan stoppen met schrijven nu het kerstvakantie is? Men weet goed genoeg dat deze periode op het vlak van viri en exploits een drukke periode is net vanwege al die vrije dagen. Als MS nog een beetje brains heeft dan houd men er rekening mee. Desnoods moet men maar de vakantie van sommige mensen intrekken.

Meestal luisteren reporters mee op de frequenties van de ambulance/politie om zo hun artikels te verkrijgen.

Iemand die ik ken heeft 2 jaar geleden bij Microsoft een fout aangegeven die nog altijd niet opgelost is in hun SQL Server, als gebrainwashed MS-adept wilt hij het niet bekendmaken.

als gebrainwashed MS-adept wilt hij het niet bekendmaken.

Je bedoelt waarschijnlijk dat ie een NDA voor zn snufferd heeft gekregen en dat ie dus niks mag zeggen?