Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » Win2k Plug and Play-worm in aantocht

Win2k Plug and Play-worm in aantocht

Door Mick de Neeve, zaterdag 13 augustus 2005 19:11
Bron: Internet Week, views: 28.774

Drie dagen nadat Microsoft drie kritieke patches heeft uitgebracht, is exploitcode opgedoken voor de Plug and Play-kwetsbaarheid die vooral voor Windows 2000-computers een risico vormt. De kwetsbaarheid maakt het mogelijk om controle over een pc te verkrijgen door het sturen van speciale datapakketjes. Dit kan bij Windows 2000-machines gedaan worden zonder inlogrechten te hebben, wat een exploit in de vorm van een zich rap verspreidende worm mogelijk maakt. Windows 2000-gebruikers die de patch nog niet hebben geïnstalleerd wordt dan ook met klem aangeraden dat zo spoedig mogelijk te doen. Het besturingssysteem wordt nog altijd veel gebruikt in het bedrijfsleven.

Wormterreur Verschillende beveiligingsbedrijven melden exploits met kleine variaties in de code waargenomen te hebben, een teken dat een aantal groepen bezig is met exploits in een poging als eerste een Win2k-worm de deur uit te hebben. Symantec heeft een waarschuwing met een waarde van 9,6 op een schaal van 1 tot 10 de deur uit doen gaan. Het bedrijf zegt dat een van de waargenomen exploits vrij gemakkelijk een machine met Windows 2000 Advanced Server aan kan vallen waarop alle patches van voor afgelopen woensdag zijn geïnstalleerd.

Ook Microsoft heeft een betrekkelijk zeldzaam beveiligingsadvies uitgebracht, waarin het bedrijf meldt op de hoogte te zijn van het bestaan van exploitcode en gebruikers extra op het belang wijst om te patchen. Volgens Gunter Ollman van eEye verschijnt de eerste worm meestal binnen een week na het beschikbaar komen van dergelijke code, maar het kan volgens hem ook een kwestie van uren zijn.

Volgende 21:18 Volgende maand mogelijk nieuwe PowerBooks
Vorige 18:04 Uitbraak Cabir-Bluetooth-virus op WK atletiek
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 49 reacties zichtbaar490 Off-topic / Irrelevant: 45 reacties zichtbaar45+1 On-topic: 29 reacties zichtbaar29+2 Informatief: 4 reacties zichtbaar4+3 Spotlight: 1 reactie zichtbaar1
«  1  2  »

Door Solstice, zaterdag 13 augustus 2005 19:15

Score: 0
Helaas zijn er eenmaal figuren die het leuk vinden om meteen exploits te gebruiken.
Jammer van hun talent.

Door serhat, zaterdag 13 augustus 2005 19:40

Score: 0
ach, je kan het op verschillende manieren opvatten..
Om zoiets te kunnen moet je veel kennis hebben over de OS en ook over heel veel andere bijzaken..
Ik zou zelf ook zoiets doen (het is nou eenmaal een goed manier om je kennis toe te passen in het praktijk), maar verspreiden, nah daar zou ik niet aan doen.
Al worden een paar van deze exploits gemaakt voor 'education purposes only'.. en laten we rëeel blijven.. dit wordt toch vaak ook gebruikt als smoes..
Je zult ook op heel wat problemen stuiten onderweg.. het is nou niet eenmaal makkelijk en daardoor leer je ook heel veel.. en daar alleen al zou ik het voor doen..
maar zoals jij al zegt.. vaak is dat gewoon niet zo.. daar is het meer van.. yey ik heb een l33te exploit om effe wat pc's the h4xx0ren ofzo..
najah...
Enige voordeel wat ik effe snel op kan komen is dat heel veel mensen hierdoor sneller hun bak gaan patchen..
Denk terug aan sasser/blaster..

Persoonlijk om me tegen dit soort aanvallen te beschermen heb ik in mijn firewall speciale rules gemaakt om alle connecties/data naar mijn poorten 445/5000/135-139 en nog een zooi te blokkeren.. dus al ben ik niet gepatched.. ze zullen die poorten tenminste niet meer zo snel kunnen misbruiken..

Door blobber, zondag 14 augustus 2005 01:02

Score: 0
ach, je kan het op verschillende manieren opvatten..
Nee hoor, je kunt dit maar op 1 manier opvatten: asociaal en crimineel.
Om zoiets te kunnen moet je veel kennis hebben over de OS en ook over heel veel andere bijzaken..
Wat een gelul, zo moeilijk is het niet om een exploit uit te buiten als het lek al bekend is en je precies weet waar het lek zit.
Ik zou zelf ook zoiets doen (het is nou eenmaal een goed manier om je kennis toe te passen in het praktijk)
Je zou ook iets nuttigs kunnen programmeren, is een veel beter manier om je kennis toe te passen in de praktijk en je leert er evenveel van, zo niet meer als het ook nog eens een nuttig programma is waar je veel user response van krijgt wat je allemaal fout doet.

Door wouter veltmaat, zaterdag 13 augustus 2005 19:42

Score: 0
Dat zijn gewoon 'ondernemers' die spam zombies zoeken voor hun snode praktijken. Die zien geinfecteerde machines gewoon als manier om geld te verdienen.

Door strandbal, zaterdag 13 augustus 2005 19:23

Score: 1
De kwetsbaarheid maakt het mogelijk om controle over een pc te verkrijgen door het sturen van speciale datapakketjes.
Dus als ik het goed begrijp hebben Windows 2000 computers die achter een NAT router zitten geen last van deze worm, net als met Netsky etcetera?

Door halfgaar, zaterdag 13 augustus 2005 19:33

Score: 3
Ik vermoed van wel. Een NAT router ertussen hebben helpt in ieder geval tegen veel gedonder, wat voor OS je ook hebt.

Met Blaster een paar jaar geleden had je gewoon na één minuut online hem al te pakken...

Door Hennie-M, zaterdag 13 augustus 2005 20:13

Score: 2
Over welke poortreeks hebben we het dan nu eigenlijk?
nvm na ff zoeken:
Block TCP ports 139 and 445 at the firewall
bron: http://www.microsoft.com/...ty/bulletin/MS05-039.mspx

Door Sjonny, zaterdag 13 augustus 2005 21:18

Score: 0
dat moest je voor al die andere exploits ook al, dus waarom iedereen die poorten nogsteeds open hebben :? :z
en als je dan toch bezig bent, zet die poorten dan ook in je outgoing firewall naar internet dicht zodat je die meuk ook niet zelf het internet op kan sturen .. of kan dat niet met windows?

Door alt-92, zaterdag 13 augustus 2005 22:26

Score: 1
Tuurlijk kan dat, maar egress filtering wordt regelmatig vergeten helaas....

Door KnetterGek, zondag 14 augustus 2005 00:29

Score: 1
Als je deze poorten open hebt staan vanaf internet naar een server is er écht iets niet in orde, dus op zich mag dit voor niemand die zelf in staat is tweakers.net te vinden een probleem zijn. Exotische netwerkconfiguraties daargelaten dan.

Door Steven, zondag 14 augustus 2005 01:24

Score: 1
Nope; totdat je laptop de worm krijgt als hij ergens direct aan het internet hangt en daarna op het bedrijfsnetwerk wordt aangesloten.

Door telenut, zondag 14 augustus 2005 03:05

Score: 1
of als in uw bedrijf tientallen onbeveiligde draadloze netwerken te vinden zijn...

Door Jazzy, maandag 15 augustus 2005 08:07

Score: 0
Dus als ik het goed begrijp hebben Windows 2000 computers die achter een NAT router zitten geen last van deze worm, net als met Netsky etcetera?
Totdat je collega met zijn laptop inlogt op het netwerk en vervoglens alle pc's besmet. Daar zit je dan met je NAT en je firewall. :)

Patchen die hap, alleen dan ben je niet meer kwetsbaar voor dit probleem..

Door davegriffejoen, zaterdag 13 augustus 2005 19:25

Score: 0
deze computers zijn dan inderdaad niet kwetsbaar van buitenaf, maar kunnen natuurlijk wel (door bijvoorbeeld laptops van thuiswerkers of via vpn-verbindingen) worden aangevallen. Blijft dus zaak je updates goed bij te houden.

Edit: moest reactie zijn op strandbal

Door wizzkizz, zaterdag 13 augustus 2005 19:27

Score: 1
kwaadwillenden downloaden die fixes ook en kijken mbv reverse engineering ofzo wat er gepatcht wordt en maken daar zo snel als ze kunnen een exploit voor --> erg verstandig om die patches toch maar te installeren

Door PAKMAN79, zaterdag 13 augustus 2005 19:29

Score: 0
Er wordt in ieder geval snel op gereageerd door Microsoft, er zullen altijd wel gaten en fouten in systemen ontdekt worden dus je gebruikers snel op de hoogte brengen van updates is de enige mogelijkheid om je klanten te beschermen.

Figuren die het leuk vinden om systemen te kraken zal je altijd houden, daar kan Microsoft (of welke OS/software ontwikkelaar dan ook) wat tegen doen, behalve ze zelf een baan aanbieden natuurlijk ;)

Door omixium, zaterdag 13 augustus 2005 19:38

Score: 1
Alle inkomende pakketjes moeten geautoriseerd worden.

"Weet u zeker dat ip xx.xx.xx.xx met user xxxxx en wachtwoord xxxx en 128bit sleutelcode verbinding mag maken met uw computer"

Door Itara, zaterdag 13 augustus 2005 20:00

Score: 1
HAHAHAHA!

*Pakt firewall log van vandaag*

Geblokkeerde in/uitgaande packets:
2301

Nu laat mijn firewall natuurlijk het grootste deel door, maar stel dat ik mijn firewall zo instel dat ik al deze moet authoriseren.

2303 packets
1 seconde voor het lezen van bericht, keuze maken en ja/nee klikken.
2305 seconden, oftewel bijna 40 minuten bezig per dag met het filteren van pakketjes.

Om even duidelijk te maken hoe onzinnig dit idee is.

[edit] *gniffel* ik zie nu pas dat mijn 3 getallen afwijken. Ik heb ze tijdens het schrijven van dit stukje steeds van mijn firewall afgelezen. Kortom, 5 pop-ups tijdens het schrijven van dat stukje :+

Door Jaco69, zaterdag 13 augustus 2005 20:10

Score: 1
Zo onzinnig dat veel personal firewalls zo werken.
Wel met enige intelligentie natuurlijk zodat onthouden wordt welke verbindingen mogen en welke niet.

Door alt-92, zaterdag 13 augustus 2005 22:27

Score: 1
IPsec policies? :)

Door systemworks, zaterdag 13 augustus 2005 20:51

Score: 0
En ze weten het gelijk he die slimme Symmantec
wat richt de worm aan, bij welke besturingsystemen !!
je zou bijna denken dat ze het zelf hebben geschreven :( :(

Door Hennie-M, zaterdag 13 augustus 2005 20:59

Score: 1
Je wilt toch niet serieus symantec beschuldigen van het uitbrengen van een virus? :+

Er werken daar ongeveer 14.000 mensen in meer dan 40 landen. Ik mag hopen dat er wel 1 slimme man/vrouw tussen zit die zoiets wel uit kan vogelen en een advisory voor uit kan brengen :)

Door Terracotta, zaterdag 13 augustus 2005 21:09

Score: 0
tsss, 'k dacht dat je een virus uitbracht om ms in discrediet te brengen? kunnen ze zich beter richten op pc's met nieuwere windowsen, dat de aankoop daalt :-), in plaats van op oudere windowsen, gaan ze misschien sneller een nieuwe kopen, of maakt ms die virussen zelf :9~ . oei :P oh euh, ben hier precies in een bash bui. Complot theorieën zijn toch simpel te maken.

Door blobber, zondag 14 augustus 2005 01:06

Score: 1
...windowsen...
Jij komt net uit de zandbak zeker ;)

Door Ron.IT, zaterdag 13 augustus 2005 21:54

Score: 0
Het lijkt er toch sterk op dat virus-schrijvers de patchen van Microsoft gebruiken om deze te ontraffelen, om zo te bekijken wat er gepatched wordt.

Op die manier zijn ze er snel achter wat mogelijk is en kunnen zo inderdaad binnen een paar uur (of dagen) een virus op de markt brengen. In weze helpt Microsoft hun dus om gemakkelijk een virus te schijven, ze geven zelfs vaak aan in het bijbehorende KB artikel of de exploit remote toepasbaar is.

De meeste bedrijven zijn toch afwachtend met patchen, omdat ze bang zijn dat hun programma's niet meer werken, en van die tijd maken de virus schijvers dus handig gebruik.

Het verbaasd me nog steeds hoeveel bedrijven geen hardware matige SPI firewall in dienst hebben, wat veel van dit soort exploits al bij voorbaat uitsluit, hoewel exploitatie intern in een bedrijf ook niet onderschat moet worden.

[off-topic]Had laatst weer een nieuwe klant, waarbij hun netwerk was gekraakt door een medewerker die dacht dat ie ontslagen zou worden. Hij was van plan om informatie te bemachtigen om zo bij een concurent te gaan werken. Zijn manier om dit te doen bracht echter het gehele netwerk down. Grappige was dat hij oorspronkelijk niet ontslagen zou worden, maar dat dit dus door zijn eigen aktie wel het resultaat was.[/off-topic]

Door pven, zondag 14 augustus 2005 00:06

Score: 0
Als je anti-virus-programma up-to-date is, zou je hier (theoretisch)toch geen last van mogen hebben? (Uiteraard met uitzondering van een splinternieuw virus, wat nog niet door je scannner wordt herkend.)

Uiteraard is het noodzaak om zo snel mogelijk te patchen, maar in het bedrijfsleven is het wat moeilijk om alle servers te gaan booten. Mijn inziens moet men het even kunnen redden, als de virusscanners maar bijgewerkt zijn.

Door grimson, zondag 14 augustus 2005 01:13

Score: 1
Mijns insziens is dit juist hier niet het geval.

Een algemene virusscanner scant namelijk bestanden die geïnfecteerd zijn en de gebruiker hiervoor waarschuwt.
Het geïnfecteerde bestand zal dus geweerd worden van het systeem. Tot zo ver dus de klassieke aanpak.

Deze exploit begeeft zich op een heel ander niveau. Deze vorm begeeft zich op het netwerkgedeelte.
De computer wordt dus op netwerk niveau aangevallen en niet op bestandsniveau. Een klassieke virusscanner kan dus geen weerstand bieden tegen dit soort 'virussen'.

Een standaard bestandsvirusscanner zal NIET helpen tegen een aanval op die computer.

Door tweakerbee, zondag 14 augustus 2005 03:45

Score: 1
Niet voor dergelijke security updates. Dat wordt namelijk gewoon gezien als een mankement aan het originele product, en wordt dus nog opgelost voor je.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 21:18 Volgende maand mogelijk nieuwe PowerBooks
Vorige 18:04 Uitbraak Cabir-Bluetooth-virus op WK atletiek
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011