Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 85 reacties

Microsoft gaat maandag een noodpatch uitbrengen voor alle Windows-systemen. Die patch moet een lek dichten in de wijze waarop Windows omgaat met snelkoppelingen. Onlangs werd een exploit gevonden voor dat lek.

Pleister om Windows Vista-doosDe malware die gebruik maakt van de kwetsbaarheid kan een pc makkelijk besmetten, zo bleek met de Stuxnet-exploit. Gebruikers die een besmette usb-stick openen in Explorer of een andere filemanager die iconen van .lnk-bestanden toont, zijn al vatbaar voor de malware. Dat komt door de manier waarop Windows met .lnk-bestanden omgaat. Die bestanden zijn snelkoppelingen naar andere bestanden.

De patch komt uit voor Windows XP, Windows Vista en Windows 7, net als voor diverse edities van Windows Server. Hoewel Microsoft de .lnk-kwetsbaarheid niet bij name noemt, vermoedt Threatpost dat het gaat om de kwetsbaarheid die twee weken geleden opdook.

Microsoft brengt de patch uit los van 'patch tuesday', waarin het softwarebedrijf normaalgesproken kwetsbaarheden in Windows dicht. Dat komt omdat Microsoft het ziet als gevaarlijk lek, waarbij er kans bestaat dat het op grote schaal wordt misbruikt voor de volgende 'patch tuesday'. De Stuxnet-malware werd aangetroffen op ongeveer 16.000 systemen en had bovendien een legitieme Realtek-signatuur, al was die verlopen.

Reacties (85)

Reactiefilter:-185082+151+24+30
Moderatie-faq Wijzig weergave
Uitgebreide uitleg over infectie:
http://www.f-secure.com/weblog/archives/new_rootkit_en.pdf

Goed dat ze dit snel oplossen!

[Reactie gewijzigd door Soldaatje op 31 juli 2010 14:22]

Een noodpatch waar ze 2 dagen mee wachten? Hoe hoog is die nood dan :)
Er was al een tijdje een workaround.

En een patch moet wel eerst heel grondig getest worden, om te voorkomen dat hij niet weer andere problemen zal veroorzaken.

Daarnaast is het releasen van een patch in een weekend natuurlijk sowieso niet handig. Mocht het onverhoopt toch fout gaan, zijn veel bedrijven óf gesloten óf zitten met een minimale bezetting.
De beheerder die die patch dan in datzelfde weekend ook nog gaat installeren, is dan ook niet helemaal goed bij zijn hoofd bezig. Tis niet zo dat bedrijfspc's auto-update aan hebben staan.
Bij wat kleinere bedrijfjes kan auto update heel goed aanstaan.
Ja, maar bij de meeste zullen daar in het weekeinde de PC's uit staan.
Horeca, retail uiteraard niet, maar verder.
Ondanks Onlangs werd een exploit gevonden voor dat lek
Anyway hier kan je een protection vinden door Sophos.

[Reactie gewijzigd door wallywally op 31 juli 2010 15:00]

De Sophos oplossing werkt alleen op niet-lokale schijfstations en biedt ook geen bescherming tegen de PIF exploit (een .lnk als .pif hernoemen). Iets waar Microsoft's Fix-it en Hitman Pro wel bescherming voor bieden.
Ik vraag me af hoe gevaarlijk dit werkelijk is. In principe download je nooit lnk files dus hoe je er anders aan moet komen? Dan heb je natuurlijk nog de kwaadwillenden met usb sticks, dat dan weer wel, maar dat is eigenlijk alleen interessant voor bedrijven dan, deze fix. Desondanks goed dat ze t gepatched hebben.
Tja, ik kom redelijk vaak bij bedrijven over de vloer om ter plekke bijvoorbeeld software te installeren of iets aan een webserver aan te passen.

De meest reguliere werkwijze [van mij dan] is dat ik met een voorbereide USB-stick langskom en die ter plekke in de betreffende computer prik.

Vervolgens alles updaten, aanpassen, installeren, testen, etc... en als dit is gebeurd trek ik de stick er weer uit.

Negen van de tien keer gaat dit goed, maar het gebeurt toch regelmatig dat ik bij thuiskomst de USB-stick weer in mijn eigen systeem doe (om hem te resetten) waarbij mijn virusscanner direct afgaat;

Nadere inspectie leert dan dat de computer bij het bewuste bedrijf vol zat met trojans, virussen, etc... terwijl je daar tijdens de update-operatie niets van merkt.

In die zin is de kans dus wel degelijk aanwezig om nog old-skool virussen via een USB-stick mee te krijgen. 16.000 besmette computers is wereldwijd natuurlijk een lachertje, maar ja... better safe then sorry...
Is daar softwarematig niets op te bedenken (om te voorkomen dat je je USB-stick besmet met virussen)? Ik neem aan dat jij er toch ook niet aan wilt denken dat je die USB stick meeneemt naar je volgende klant en hij blijkt onder de virussen te zitten. Die 'good old' read-only schuif zoals je die op floppy's had heb je weinig meer, ik meen mij te herinneren dat er wel sticks bestaan die een hardwarematige schrijfbeveiliging bevatten.
Op de meeste UBS sticks zit een write-protect schakelaar. Als je die aan zet, dan is de stick niet meer te beschrijven. Einde probleem.
juist op usb sticks zit die meestal niet...
op sdcards kom je hem wel vaak tegen
Maar.. Sd cards hebben alleen een schakelaartje dat niets doet. De reader moet de status ervan uitlezen en vervolgens weigeren te writen. Als die reader dus gecompromitteerd is heb je pech. Nou ken ik geen exploits in the wild die daadwerkelijk sd readers targetten (de apples met ingebouwde sd is misschien nog het beste target), maar het schakelaartje dat de stand van het schuifje uitleest kan stuk zijn en dat ken ik wel.
In de goede ouwe tijd had je nog DVD'tjes. Finalize disk en klaar ben je. Lekker goedkoop, dus kun je ook nog een exemplaar achterlaten bij je klant. Handleiding er op, hoeven ze je niet wakker te bellen als de harddisk gecrashed is.
Mijn suggestie in deze is dan maar een CD/DVD te gebruiken (eventueel RW).
Mischien moet je dan ook nog een USB-DVD-drive meenemen, maar je voorkomt dan wel dat je inderdaad virussen van de ene naar de andere klant meeneemt.
CD/DVD kan je inderdaad daarna eventueel bij de klant achterlaten, zoals gebruiker_nr1 aangeeft..

SD-cards, evt met een eigen reader zou ook kunnen als bovenstaande optie te groot/zwaar is., maar dat is geen hardwarematige beveiliging en is dus theorerisch te omzeilen (hetgeen Jasper Jansen al aangeeft)
je download weleens applicaties die snelkoppelingen aanmaken, er zal er maar één geïnfecteerd zijn. Ook gezien de gigantische zakelijke markt die met USB sticks van alles doet, ben ik wel blij dat MS het relatief snel op lost.
Omdat snelkoppelingen typisch afhangen van je specifieke installatie worden deze normaalgezien door een installer aangemaakt op het moment van installeren.
Hier worden standaard windows-functies voor gebruikt, dus tenzij je windows al besmet is zijn deze nieuw aangemaakte links vrij van virussen.
Maar dat hoeft dus helemaal niet. Je kunt best een scriptje maken wat een geïnfecteerd snelkoppelingetje maakt hoor, zo lastig is dat niet.
Maar dan zal je toch dat systeem moeten infecteren; dus als je geen locale toegang hebt moet je het toch laten downloaden en uitvoeren ;)
Das niet mogelijk met een eenvoudig webscript (PHP, ASP.NET,AJAX); dit wordt op de webserver geparsed voordat het verstuurd wordt. Je moet dan dus aan de slag met ActiveX voor IE en extensies (FF); wat Opera/Safari gebruiken weet ik niet precies (plugins?).

Note: Webscripts hebben over het algemeen GEEN toegang tot de locale harde schijf; hiervoor is bijvoorbeeld een ActiveX-besturingselement nodig (waarvoor toestemming wordt gevraagt voordat deze wordt uitgevoerd).

Enige manier om dat voor elkaar te krijgen is om de installer te infecteren, of natuurlijk een fake 'malware scanner' laten installeren met infecties via een pop-up/under... Snap overigens niet dat er nog steeds mensen zijn die daar intrappen...
Er was wel al een workaround beschikbaar, dus ze deden er al eerder wat aan.

http://www.microsoft.com/...ity/advisory/2286198.mspx
Inderdaad; Microsoft heeft direct ingegrepen op het moment dat helder werd wat er precies aan de hand was.

Er waren wel eerdere patches van derden vrij gegeven, maar het is nu eenmaal beleid van Microsoft dat oplossingen van derden op het gebied van veiligheid niet direct worden ondersteund tót dat ze zelf hebben achterhaald wat er mis is.

Dat laatste is ook wel weer wijs, omdat je natuurlijk wel moet weten wat het probleem is en of de patch van een externe partij niet meer schade aanricht dan de veroorzaker zelf...
En of de patch geen onderdelen van Windows sloopt.
Aangezien nog een hoop Windows XP machines op SP2 draaien ben ik benieuwd of Microsoft, onlangs de gestopte support voor SP2 en lager, deze patch toch voor SP2 uitbrengt.
http://windows.microsoft....ut-service-packs?os=other
Mensen welke sp2 draaien maken zich toch niet druk om veiligheid en virusen dus sowat
Dat is dus niet waar. Sommigen draaien SP2 of iets nog ouders omdat ze geen keus hebben. Zie bv hierboven de reactie van 4g0ny en de mijne er direct onder.

Je opmerking is dus erg kortzichtig. Microsoft zal geen patch uitbrengen voor SP2 (al zou je hem mischien met de hand kunnen installeren, getest is het absoluut niet, ik zie dan bovengenoemde Sophos patch, G Data tool en Hitman Pro LNK Exploit Protection als betere keus dank je tigger, ik zal er voor thuis zeker deze overwegen ipv of aanvullend op het uitschakelen van de webclient-service) Microsoft wilt namelijk dat de mensen zo gauw mogelijk overstappen op Vista en Win7. Ten eerste brengt dat geld in het laatje, voor alle licenties, ten tweede, als niemand meer XP gebruikt (wat Microsoft dus graag wilt), ook niet sp3, dan hoeven zij dat ook niet meer te onderhouden. Het liefst hadden ze dat ook alle Vista-gebruikers overstappen op Win7. Verder zetten ze dan de ontwikkelaars van ReactOS op een nog grotere afstand.
1. Hoelang bestaat Windows?
2. Hoeveel gebruikers heeft Windows?
3. Sinds wanneer heeft Windows van die LNK-files?
Mijns inziens onbegrijpelijk dat dit nu pas naar boven komt...
1. Hoelang bestaat Windows?
2. Hoeveel gebruikers heeft Windows?
3. Sinds wanneer heeft Windows van die LNK-files?
Mijns inziens onbegrijpelijk dat dit nu pas naar boven komt...
Ik zou blijer wezen dat het eindelijk bovenkomt ipv het te bevreemden dat het nu pas boven tafel komt. Als het nooit te boven was gekomen, had iedereen altijd een risico geweest.

En wellicht hadden oudere versies van Windows hier geen last van, omdat eea toen totaal anders werkte als nu?

[Reactie gewijzigd door CptChaos op 31 juli 2010 14:25]

Iedereen is ook altijd een risico geweest. Het is door de stuxnet-worm dat dit gat is ontdekt. Mogelijk waren er ook andere exploits maar zijn die nooit ontdekt. Security-lekken worden gemeld bij Microsoft e.a. door bona fide lekzoekers (al vinden ze er zelf ook wel eens) maar malafide lekzoekers doen dat uiteraard niet, die gebruiken het lek voor het maken van nieuwe trojans, spyware enzovoorts.

In theorie zou dit lek al jaren misbruikt kunnen zijn geweest zonder dat verder iemand het in de gaten had.

En of er oude windows-versies zijn die inderdaad niet dit lek bevatten is uiteraard mogelijk, maar je zal daarvoor terug moeten naar heel oude versies: 3.11 en NT3.5 vermoedelijk. XP-sp3 wordt zeker getroffen, oudere xp-versies en W2K hoogstwaarschijnlijk ook, die zijn niet zoveel anders. Bij NT4 en W9x versies is die kans wel kleiner maar nog steeds aanwezig. Van Microsoft hoef je daarover geen informatie te verwachten, gezien ze over xp-sp2 al niets meer wensen te melden.

Volgens mij bevatten alle Windows versies inclusief Win7 én de 64 bits varianten nog vele van dit soort gaten en is iedere versie van Windows dan ook pertinent onveilig, ongeacht of er een goede firewall en virus-, spy- en andere malwarescanners aanwezig zijn. Je kunt alleen de risico's aanmerkelijk beperken door inderdaad dergelijke tools te gebruiken, patches snel te installeren, niet als administrator te werken, voorzichtig te surfen en dan valt er mee te leven.

Garanties heb je echter nooit, ook niet bij andere platformen/OSsen al zullen die veelal wel (inherent) veiliger zijn.
4. Wie probeert of er mee te klooien valt?
In de laatste Hitman Pro zit al bescherming tegen deze exploit ingebouwd: http://www.surfright.nl/nl/support/fix-2286198
Op hun blog staat nu ook hoe het lek precies werkt en wat ze gedaan hebben om er tegen te beveiligingen.
Hoewel Microsoft de .lnk-kwetsbaarheid niet bij name noemt, vermoedt Threatpost dat het gaat om de kwetsbaarheid die twee weken geleden opdook.

Ofwel ze DENKEN dat deze patch uitkomt om die exploit te patchen, maar ze weten helemaal niets, ofwel het zou ook best om een hele andere exploit kunnen gaan...
Microsoft heeft gewoon aangekondigd dat ze dat issue gaan patchen
http://blogs.technet.com/...ity-advisory-2286198.aspx
Krijg een beetje een déja-vu idee bij deze "patch"...

.lnk bestanden versturen via mai/spam lukt normaliter niet tenzij ..... beetje gelijk aan dát wat "I-Love U" met .vbs deed in een grijs verleden.
loveletterforyou.txt.vbs maakte dankbaar gebruikt van de standaard instelling om extensies te verbergen (wat tot op de dag van vandaag om onbegrijpbare redenen nog steeds de standaard is in Windows).

Ook doordat de vbs en txt icoontjes wat op elkaar leken, kwam het op mensen over als een kladblok bestand.

(het naïeve gedeelte om het dan ook nog eens te openen laten we maar even buiten beschouwing)

Op dit item kan niet meer gereageerd worden.



LG Nexus 5X Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True