Microsoft dicht 15 jaar oud lek in Active Directory

Microsoft heeft in vrijwel alle ondersteunde Windows-versies een lek in Active Directory gedicht die het mogelijk maakte om man-in-the-middle-aanvallen uit te voeren. Het beveiligingsgat zou al vijftien jaar in Active Directory hebben gezeten.

Microsoft kreeg begin 2014 een melding van de firma JAS Global Advisors waarin het lek uit de doeken werd gedaan. Zo is het voor aanvallers die dataverkeer tussen Active Directory-gebruikers kunnen monitoren mogelijk om man-in-the-middle-aanvallen uit te voeren.

De geschetste methode zou benut kunnen worden om kwaadaardige code te installeren op kwetsbare systemen, waardoor bijvoorbeeld adminrechten verkregen kunnen worden. Microsoft kwalificeert het probleem dan ook als 'kritiek'. Met name gebruikers die via het publieke internet verbinding zoeken met bedrijfsservers zouden kwetsbaar zijn, bijvoorbeeld als verbindingen via open wifi-verbindingen worden gelegd.

In een toelichting zegt Microsoft dat de fouten in de Group Policy-componenten van Active Directory zijn te vinden. Opvallend is verder dat de bug in Microsofts Active Directory-implementatie al vijftien jaar in diverse Windows-versies aanwezig is. Ook heeft Microsoft ruim een jaar nodig gehad om patches te ontwikkelen, mede omdat de fouten tot diep in de fundamenten van Active Directory waren terug te vinden. Overigens zal Microsoft geen update uitbrengen voor Windows Server 2003. Microsoft raadt bedrijven en organisaties die nog verouderde serversoftware draaien, aan om de Active Directory-service uit te schakelen.

Reacties (120)

Soldaatje 11 februari 2015 10:38

Pardon? De ondersteuning loopt nog tot juli 2015 van Windows Server 2003?
http://www.microsoft.com/...ucts/windows-server-2003/

Windows Server 2003 is listed as an affected product; why is Microsoft not issuing an update for it?
The architecture to properly support the fix provided in the update does not exist on Windows Server 2003 systems, making it infeasible to build the fix for Windows Server 2003. To do so would require re-architecting a very significant amount of the Windows Server 2003 operating system, not just the affected component. The product of such a re-architecture effort would be sufficiently incompatible with Windows Server 2003 that there would be no assurance that applications designed to run on Windows Server 2003 would continue to operate on the updated system.

This vulnerability requires that a user connect their computer to an untrusted network such as a Wi-Fi hotspot in a coffee shop; therefore, workstations that are connected to an untrusted network are most at risk from this vulnerability.

Dit vind ik ook een vreemd excuus, hoe kan de architectuur niet aanwezig zijn als het lek al 15 jaar oud is?

[Reactie gewijzigd door Soldaatje op 23 juli 2024 08:37]

Armin

Netwerk en systeembeheer
Microsoft Windows 8.1 NL

@Soldaatje • 11 februari 2015 18:28

Dit vind ik ook een vreemd excuus, hoe kan de architectuur niet aanwezig zijn als het lek al 15 jaar oud is?

Zo raar is het niet. Het gaat hier namelijk in feite om een downgrade aanval op het authenticatie systeem. Als ik het heel abstract neerzet in feite net zoals de POODLE SSL/TLS aanval. Met de komst van Vista is men overgegaan op een nieuwe security model, maar het oude is uiteraard nog aanwezig en daar vind deze aanval op plaats. Bij Windows Server 2003 (gereleased voor Vista) is het later als een patch toegevoegd, terwijl bij Vista en latere Server edities het ingebouwd in de architectuur is. Immers bij Vista en later is de kernel en vele andere software lagen geheel herschreven.

Dus ja, ik kan me best voorstellen dat de fix op Server 2003 heel anders is. Aangezien het risico op compatibiliteitsproblemen heel erg hoog is (het gaat immers over het anthenticatie systeem), terwijl het risico op misbruik op server producten juist heel erg laag is, kan ik me goed voorstellen dat je voor een 5 maanden resterende extended support periode geen radicale veranderingen gaat uitvoeren.

Wat is namelijk het geval? Om dit lek te misbruiken moet je low level netwerk toegang hebben (net als bij POODLE). In dit geval als ik het voorbeeld goed begrijp zelfs op ARP niveau. Dat is al best moeilijk in het internet (simpele DNS poisening van WiFi hotspot in een koffiehuis is vaak niet genoeg) maar typisch onmogelijk op het intranet waar een Windows Server aan hangt. Als een hacker in staat is om op ARP niveau jouw intranet te beinvloeden is dit lek immers niet echt je eerste zorg. Een hacker heeft dan toegang tot jouw intranet switches en routers.

Dus ja, ik kan me wel iets voorstellen van deze redenatie van Microsoft.

Blokker_1999

Besturingssystemen
Microsoft Windows 7 Ultimate
Microsoft Windows Server
Microsoft Windows
Microsoft Windows 8.1 NL
Microsoft
Netwerk en systeembeheer
Microsoft Windows 7
Microsoft Windows 8 NL

@Soldaatje • 11 februari 2015 10:52

Ja, maar de uitgebreide ondersteuning betekend ook dat er geen aanpassingen meer gedaan worden aan het ontwerp van het OS. Als het probleem echt zo diep zit dat het een aanpassing vereist van de fundamenten van het OS dan is het niet verwonderlijk dat dit niet meer hersteld word.

Eagle Creek

@Blokker_1999 • 11 februari 2015 13:14

Correct. Ook in Windows (server) 2000 (en Professional) is een lek niet meer gedicht terwijl er nog wel updates voor uitkwamen. Ook dit had te maken met ingrijpende architectuurwijzigingen in de implementatie van TCP/IP. Feitelijk hetzelfde argument dat nu van toepassing is.

Edit
Als ik het mij goed herinner gaat het om dit bewuste lek:

Miller was referring to MS09-048, the security update that patches a pair of vulnerabilities in Windows' implementation of TCP/IP, the Web's default suite of connection protocols. Both of the update's vulnerabilities were patched in Vista and Server 2008, but not for Windows Server SP4.

The architecture to properly support TCP/IP protection does not exist on Microsoft Windows 2000 systems, making it infeasible to build the fix. To do so would require re-architecting a very significant amount of the Windows 2000 SP4 operating system, not just the affected component.

http://www.computerworld....ws-2000--infeasible-.html

Ik vraag me af welke garanties je mag verwachten wanneer een security fix tevens zo'n ingrijpend architecturale fix is. Waren we vijf jaar eerder in de tijd was het probleem nog wel opgelost m.i, nu staat Server 2003 op de rand van EoL en is het economisch niet meer handig om te doen..

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 08:37]

Ximon @Soldaatje • 11 februari 2015 12:11

This vulnerability requires that a user connect their computer to an untrusted network such as a Wi-Fi hotspot in a coffee shop; therefore, workstations that are connected to an untrusted network are most at risk from this vulnerability.

Dit is ook een hele rare opmerking.

The vulnerability could allow remote code execution if an attacker convinces a user with a domain-configured system to connect to an attacker-controlled network. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Dus als een aanvaller al toegang heeft tot een netwerk (denk Sony hack) kunnen ze deze vulnerability gebruiken om Windows 2003 machines te ownen. Layered security is niet belangrijk genoeg kennelijk.

[Reactie gewijzigd door Ximon op 23 juli 2024 08:37]

jayjay1990 @Ximon • 11 februari 2015 13:31

Zie deze uitleg: Technet Blog

Kort uitgelegd zit het probleem in de controle van Windows of de bestanden die aangeboden worden als Login script ect, daadwerkelijk van de domain controller komen, of ergens onderweg zijn aangepast.

CaptainKansloos @jayjay1990 • 11 februari 2015 17:48

In dat artikel wordt ook keurig uitgelegd dat het geen lek in AD is, maar een lek in:

1) GPO processing
2) Niet geforceerde SMB signing

GPO is nauw verweven met AD, maar het is niet AD zèlf; het is een authenticatie database. GPO's maken een centraal geadministreerd beleid mogelijk. AD stelt dus vast wie je bent, GPO's vertellen je wat je mag en moet. Dat zijn 2 wezenlijk verschillende zaken. Het beschreven probleem met de GPO processing zegt hetvolgende:

After applying the fix, Group Policy will no longer fall back to defaults and will instead the last known good policy if a security policy retrieval fails.

De GPO processing gedraagt zich dus na de update wat netter dan voor de update; het doet geen fallback meer naar een insecure default instelling, maar pakt de 'last know good' versie van de (gecachte) policy.

SMB singing is een feature van SMB 2.0 en hoger; dat verklaard waarom 2003 en eerder buiten de boot vallen; daarin zit helemaal geen ondersteuning voor SMB 2.0. Maar goed, het OS is ook al meer dan 11 jaar oud in ontwerp. SMB 2.0 is nota bene met 2008 geïntroduceerd en zelfs die versie kent alweer 3! opvolgers. SMB signing garandeerd dat de data onderweg niet gemuteerd is. Icm authenticatie zorgt dat ervoor dat de GPO's en data die je binnen krijgt van een te vertrouwen partij zijn.

Voor het hele probleem geldt dat je bovendien via ARP cache poisening aan de slag moet om tijdens een logon file access te spoofen; daar heb je in de praktijk vaak fysieke toegang tot een (LAN) switch voor nodig. Dat is niet onmogelijk, maar vaak praktisch gezien knap lastig mits fatsoenlijk beheer wordt uitgevoerd.

Het is makkelijk om te roeptoeteren dat Microsoft nalatig is geweest en dat het schandalig is dat 2003 niet meer ondersteund wordt, maar als je je wat verdiept in de materie dan zie je dat het niet zo simpel ligt.

[Reactie gewijzigd door CaptainKansloos op 23 juli 2024 08:37]

Maasluip Frontpage Admin @jayjay1990 • 11 februari 2015 15:14

Dat is een beetje hetzelfde als login.exe vervangen door cmd.exe, dan ben je ook binnen. Alleen heb je daarvoor fysieke toegang tot de schijf nodig en hiervoor niet.

Verwijderd @Maasluip • 11 februari 2015 16:53

Op een bedrijfslaptop met veel rechten voor de gebruiker is het in theorie wel te doen om je verstuurde data naar de Active directory te veranderen en daardoor een toegang te krijgen tot een applicatie waar je normaal geen toegang toe zou moeten hebben.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:37]

Wim-Bart @Ximon • 11 februari 2015 14:48

Wat ik al raar vind is dat gebruikers rechtstreeks een koppeling hebben met een bedrijfsnetwerk zonder een VPN oplossing er tussen. Eigenlijk compleet gestoord dus hoe dit geïmplementeerd is bij sommige bedrijven en naief van de beheerders bij die bedrijven dat ze rechtstreekse authenticatie toestaan met de AD van een untrusted connectie.

Verwijderd @Wim-Bart • 11 februari 2015 16:55

Met bedrijfslaptops die je inplugt op het netwerk komt dat toch wel vaak voor denk ik.

Wim-Bart @Verwijderd • 11 februari 2015 17:01

Daarom zijn er methodieken waarbij je een bedrijfslaptop als een gevaarlijk vreemd device ziet en behandeld als een BYOD (Bring Your Own Disaster). Dus alleen toegang tot bedrijfs resources via een RDS of Citrix ontsluting over VPN (zelfs al zitten ze binnen).

Scheelt ook een hoop management, en off-line briefje typen, dat kan. Maar geen onveilige rechtstreekse verbinding met het netwerk.

Sowiso moet je ieder device wat buiten de deur komt behandelen alsof het gevaarlijk is. Paranoïde is geen slechte eigenschap met portable devices.....

Vickiieee @Soldaatje • 11 februari 2015 10:45

Komt Microsoft misschien juist wel heel erg goed uit dit..

Ze wisten (intern) in 2014 vast al van de plannen om te stoppen met de ondersteuning voor Windows Server 2003. Hierna hebben ze bewust er voor gekozen om het lek in WS2003 niet te dichten, ook al loopt de ondersteuning eigenlijk tot juli van dit jaar.

Zie het als een extra motivatie reden om over te stappen naar een nieuwere versie..

(Althans, dit zijn mijn vermoedens en is wat ik denk.)

Edit:

Microsoft raadt bedrijven en organisaties aan als deze verouderde serversoftware nog draaien om de Active Directory-service uit te schakelen.

Ik weet overigens niet hoe belangrijk een 'Active Directory-service' binnen serversoftware is. Dus of het daadwerkelijk zo'n 'motiverende reden' is, valt misschien nog mee.

[Reactie gewijzigd door Vickiieee op 23 juli 2024 08:37]

Goldwing1973 @Vickiieee • 11 februari 2015 11:02

Juridisch gezien valt dit onder contractbreuk en zou je een goede kans maken om de hele aankoop van server 2003 te ontbinden
Ze hadden dan beter kunnen wachten tot juli met het uitbrengen van de patch.

Rainboww @Goldwing1973 • 12 februari 2015 00:21

Welk contract?
Er is alleen een EULA, waarin nergens updates beloofd worden.
https://community.spicewo...ver_2003_English_eula.pdf

De support policy zegt onder puntje 17:

How long do you provide security updates for your products?
Security updates will be available through the duration of the product’s support lifecycle (5 years of Mainstream Support [..]) and 5 years Extended Support [..])

5+5=10 jaar, dus tm 2013.

Deze heeft echter ook een uitzondering:

Microsoft will not accept requests for warranty support, design changes, or new features during the Extended Support phase.

Blokker_1999

Besturingssystemen
Microsoft Windows 7 Ultimate
Microsoft Windows Server
Microsoft Windows
Microsoft Windows 8.1 NL
Microsoft
Netwerk en systeembeheer
Microsoft Windows 7
Microsoft Windows 8 NL

@Goldwing1973 • 11 februari 2015 11:35

Niet waar, misschien eens lezen wat ze nog wel en wat ze niet meer doen bij uitgebreide ondersteuning. Fundamentele aanpassingen van het OS worden niet meer gedaan in extended support. Indien het probleem dat zich nu voordoet in AD enkel kan hersteld worden door grote delen van het OS aan te passen, dan valt dat dus niet meer onder de uitgebreide ondersteuning.

Bijkomend verplicht MS zich gedurende de eerste 10 jaar tot ondersteuning (wat al enorm lang is in de softwarewereld). Dat ze nu, 12 jaar na de release, weigeren een lek te dichten wil ik je wel eens zien aanvallen voor een rechtbank. Ik denk dat de rechter je snel zal wandellen sturen.

Verwijderd @Blokker_1999 • 11 februari 2015 13:36

Nee. De datum van 14 juli 2015 gaat niet om uitgebreide ondersteuning maar om de algemene ondersteuning.
De standaard ondersteuning is al op 13 juli 2010 gestopt. Toch krijgt Server 2003 nog steeds updates.

Microsoft-ondersteuning voor alle versies van Windows Server 2003 en Windows Server 2003 R2 eindigt op 14 juli 2015. Dit betekent dat er vanaf deze datum geen updates en patches meer komen en dat elk datacenter dat op dit besturingssysteem draait, mogelijk niet meer aan de standaarden voldoet.

Oftewel, vóór die datum nog wel updates en patches. Bijzonder vreemd dus dat Server 2003 deze patch/update niet meer krijgt.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:37]

Verwijderd @Verwijderd • 11 februari 2015 16:50

De datum van 14 juli 2015 gaat niet om uitgebreide ondersteuning maar om de algemene ondersteuning.

Hij bedoelde natuurlijk extended support en vertaalde dat hoploos naar 'uitgebreide ondersteuning' ipv 'verlengde ondersteuning' of zoiets.

En in extended support krijg je wel security ondersteuning maar niet onbeperkt. Dus wel security patches maar geen rewrites van grote delen van het OS.

Verwijderd @Verwijderd • 12 februari 2015 14:23

Laten we eerlijk zijn, als je nu nog Windows 2003 draait als Domain Controller ben je niet goed wijs of leef je onder een steen.

Microsoft en alle leveranciers hebben nu vaak genoeg aangekondigd dat je eigenlijk al te laat bent. Een beetje complexe server migratie haal je namelijk zo al niet meer voor de einddatum.

De bedrijven die nog niet over zijn hebben duidelijk geen intentie om beveiliging of ondersteuning hoog op hun lijstje te zetten. Het zijn helaas altijd wel de bedrijven die het hardste schreeuwen als het mis gaat. Ik heb er geen medelijden mee. Geen patch betekend hopelijk alleen maar sneller ellende voor deze bedrijven.

Neko Koneko @Goldwing1973 • 11 februari 2015 13:26

Juridisch gezien valt dit onder contractbreuk en zou je een goede kans maken om de hele aankoop van server 2003 te ontbinden
Ze hadden dan beter kunnen wachten tot juli met het uitbrengen van de patch.

Haha, hoe heerlijk naïef. Je denkt echt dat MS de eventuele juridische gevolgen niet van tevoren heeft bestudeerd?

mae-t.net @Neko Koneko • 11 februari 2015 13:58

En ook jouw opmerking is op zijn beurt weer naief.

Dat ze de juridische gevolgen bestuderen, betekent niet dat de klager ongelijk heeft. Mogelijk schatten ze de financiele impact van een paar ontbonden koopovereenkomsten véél lager in dan de impact van het schrijven van een patch, wat kennelijk relatief veel werk is (maar misschien ook niet zoveel als ze doen voorkomen, het probleem is m.i. vooral dat de patch compleet anders is omdat er tussen 2003 en 2008 een flinke sprong in architectuur gemaakt is).

@hieronder: Niet zo naief dus. Thanks voor de verduidelijking!

[Reactie gewijzigd door mae-t.net op 23 juli 2024 08:37]

Neko Koneko @mae-t.net • 11 februari 2015 21:16

En ook jouw opmerking is op zijn beurt weer naief.

Dat ze de juridische gevolgen bestuderen, betekent niet dat de klager ongelijk heeft. Mogelijk schatten ze de financiele impact van een paar ontbonden koopovereenkomsten véél lager in dan de impact van het schrijven van een patch, wat kennelijk relatief veel werk is (maar misschien ook niet zoveel als ze doen voorkomen, het probleem is m.i. vooral dat de patch compleet anders is omdat er tussen 2003 en 2008 een flinke sprong in architectuur gemaakt is).

Dat bedoelde ik eigenlijk ook een beetje met mijn reactie. Het is IMO naïef om te denken dat MS dit niet goed heeft doordacht. Bovendien heeft MS een behoorlijk leger aan juristen zitten, dus voordat een dergelijke aanklacht daadwerkelijk tot resultaat gaat leiden (als het al zover komt) zijn we waarschijnlijk alweer een aantal jaar verder. Dus bedrijven die nu nog met Windows 2003 zitten gaan die moeite niet eens meer nemen. Het kost ze alleen geld en tijd, en het upgraden naar 2008 of 2012 is waarschijnlijk sneller, goedkoper, en zal vroeg of laat toch moeten gebeuren.

Of je nu gaat upgraden of over 4 maanden, je zult er toch aan moeten geloven. Je moet wel heel erg dom zijn om voor die laatste 4 maanden nog een aanklacht bij MS neer te leggen.

yvez

@Goldwing1973 • 11 februari 2015 14:12

Zelfs _als_ je gelijk zou hebben, wat dan? Welk contract? Licentie is al betaald en als je echt wilt breken kan dat...moet je alsnog een vervanging zoeken, maar dan na al je poespas.

Ik geloof ze wel overigens.

NovapaX @Vickiieee • 11 februari 2015 10:59

Active Directory is zo'n beetje dé reden om te kiezen voor Windows Servers.
(Exchange ook wel trouwens)
AD is eigenlijk de basis waarmee je alle desktops en servers binnen je organisatie centraal kan beheren en beveiligen. (of in ieder geval het middel daartoe)

Als je Active Directory uitschakelt kun je net zo goed een UNIX bak neerzetten met een IMAP/SMTP servertje.
(een een stuk of wat vacatures plaatsen om handjes vrij te hebben voor handmatig beheer van al je desktops)

AD uitschakelen is dus niet echt een goed optie ;-)

Vickiieee @NovapaX • 11 februari 2015 11:07

Komt er dus op neer dat je met de 'Active Directory' het centrale punt hebt van waaruit je alle andere computers aan kan sturen.
Zie het als een kapstok waarbij de 'Active Directory' boven de kapstok 'staat' en alles eronder aan stuurt (alle desktops en servers). Dus inderdaad wel belangrijk als je bedrijf er mee werkt, zonder de AD zou het niet meer werken en werkt je netwerk dus ook niet (meer). Als ik het goed begrijp.

Ergo: overstappen van WS2003 naar een nieuwere versie. Zoals ik zei dus een extra 'duwtje' in de rug

.

Bedankt voor de uitleg! En iedereen die verder gereageerd heeft op mijn vraag ook, zoals: The Zep Man. $_/-\o_$

sfranken @NovapaX • 11 februari 2015 12:43

Een AD kan je anders ook gewoon met een Linux server opzetten hoor, vooral bij de zakelijke distros (RHEL, SUSE) gaat dat vrij makkelijk. Windows bakken integreren gaat ook prima

Zie https://www.suse.com/docu...ec_samba_anmeld_serv.html vor meer info (dat hele rijtje links trouwens)

[Reactie gewijzigd door sfranken op 23 juli 2024 08:37]

johnkeates @NovapaX • 11 februari 2015 13:23

Het probleem met Active Directory nu is dat het alleen nog "de reden" is op het moment dat je niet al te veel desktops hebt. Als je er veel hebt moet je weer SCCM er bij halen om het beheersbaar te houden, of een third party tool. Maar die third party tools zijn ook deels gratis te krijgen met optionele enterprise SLA's zodat je kan inkopen wat je nodig hebt in plaats van vast zit aan een groot pakket

Zoals met alles is het gemak maar beperkt aanwezig en kom je als je een beetje opschaalt heel snel weer in de gebruikelijke "hard werken, goed doordachte systemen ontwerpen" cyclus waar AD je niet van kan redden

Rinzwind @NovapaX • 11 februari 2015 13:25

AD is eigenlijk een heel oudbollig stukje software waar heel moeilijk gedaan wordt over sync momenten alsof we met 56k modem lijntjes werken... ook is het erg omslachtig om er info uit te halen en delta wijzigingen opvragen zijn al helemaal niet mogelijk. Vandaar dat allerlei producten eigenlijk functionaliteit dupliceren waarvoor AD zou moeten dienen (ik zeg maar wat... gebruikersinformatie opslaan in DB ter synchronisatie). In theorie is AD flexibel, met schema uitbreidingen, maar die zijn ook al omslachtig en worden daardoor eigenlijk alleen door MS en enkele andere producten gebruikt. En op wat voor manier... Exchange...

bigbadbull @NovapaX • 11 februari 2015 17:52

je hoeft je AD niet uit te schakelen maar andere servers te zetten en je domain opkrikken naar 2008 bvb.
dan kan je wel je 2003 bak houden maar niet meer als AD server.
Iets wat je toch al gedaan zou hebben als je een beetje met veiligheid in zit.

PS je hoeft de server niet echt te vervangen hoor je kan die ook gewoon herinstalleren.

My-life @Vickiieee • 11 februari 2015 11:41

Ze wisten niet alleen zelf dat de ondersteuning van Windows 2003 dit jaar stopt.
Dit is bijvoorbeeld ook al bekent voor Windows 2012 R2, namelijk op 10-01-2023.
bron: http://support.microsoft....t=PN&alpha=Windows+serverr

[Reactie gewijzigd door My-life op 23 juli 2024 08:37]

Neko Koneko @Verwijderd • 11 februari 2015 21:16

Je verwart MS nu met Apple

drQuentules @Soldaatje • 11 februari 2015 10:50

De uitleg van beveiligingsupdates van Microsoft is redelijk wazig. De algemene ondersteuning is al verlopen, maar de uitgebreide ondersteuningsperiode loopt nog tot juli 2015.

https://support.microsoft...rver+2003&Filter=FilterNO

In hun beleid staat echter dat Microsoft minimaal 10 jaar ondersteuning biedt voor besturingssystemen.

Microsoft biedt minimaal 10 jaar ondersteuning voor beveiligingsupdates (via de uitgebreide ondersteuningsperiode) voor besturingssystemen voor bedrijven, ontwikkelaars en desktops. De beveiligingsupdates zijn alleen van toepassing op het ondersteunde servicepackniveau voor deze producten.

En daarnaast...

Beveiligingsupdates zijn beschikbaar bij Windows Update in de algemene onderhoudsperiode en de uitgebreide onderhoudsperiode (indien beschikbaar).

Barryke @Soldaatje • 11 februari 2015 11:45

Tja.. soms is de fix gewoon upgraden naar een nieuwe versie. Evident toch?

dmjdebruin @Soldaatje • 11 februari 2015 12:26

Dit vind ik ook een vreemd excuus, hoe kan de architectuur niet aanwezig zijn als het lek al 15 jaar oud is?

De architectuur voor de fix is niet aanwezig, de architectuur voor AD natuurlijk wel.
Met andere woorden, WIN2003 heeft een aantal features niet die latere versies wel hebben waardoor de impact in latere versies veel kleiner is.

Mijzelf @dmjdebruin • 11 februari 2015 15:50

Of het gaat echt over architectuur, en de patch leunt op de NX bit, ofzo.

Verwijderd @dmjdebruin • 11 februari 2015 16:57

Ik gok dat AD in 2003 veel meer geinteregeerd was in het OS en in later windows versies een meer separate losse component was bovenop het OS en daardoor makkelijker aan te passen.

trisje @Soldaatje • 11 februari 2015 22:44

Het is duidelijk geen excuus, het bestaat niet in windows 2003 het repareren is gewoon simpel weg niet te doen, omdat Windows server dan niet meer werkt. Denk bv aan 2003 native en mix mode met een 2008 server.

binbash. @Soldaatje • 12 februari 2015 11:15

Feit, maar kom op wanneer een bedrijf nu nog aan het rommelen is met Server 2003 is dit lek wel het laatste waar je, je zorgen over moet maken lol.

The Zep Man

Netwerk en systeembeheer
Besturingssystemen
Microsoft Windows
Microsoft

11 februari 2015 10:38

Microsoft heeft in vrijwel alle Windows-versies een lek in Active Directory gedicht die het mogelijk maakte om man-in-the-middle-aanvallen uit te voeren.
(...)
Overigens zal Microsoft geen update uitbrengen voor Windows Server 2003. Microsoft raadt bedrijven en organisaties aan als deze verouderde serversoftware nog draaien om de Active Directory-service uit te schakelen.

Het eerste strookt niet met het tweede. Windows Server 2000 en 2003 overslaan houdt niet in dat van vrijwel alle Windows-versies een lek in AD is gedicht. Het zou simpelweg omschreven kunnen worden als dat voor alle ondersteunde Windows-versies het lek gedicht is, maar ook dat is niet waar. Uit het artikel:

Microsoft kreeg begin 2014 een melding van de firma JAS Global Advisors waarin het lek uit de doeken werd gedaan.

Het lek werd begin 2014 herkend en de extended support voor Server 2003 loopt tot 14 juli 2015. Waarom brengt Microsoft dan geen fix meer uit als het lek al zo lang bekend is? Voor Server 2000 is het logisch dat er geen update uitkomt, maar Server 2003 zou nog ondersteund moeten worden.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 08:37]

SunnieNL

Microsoft Windows

@The Zep Man • 11 februari 2015 11:18

Het is een AD lek. De meeeste AD's zijn nu wel te upgraden naar onderliggen Windows 2008 platform (let op dat je dus de AD functionaliteit niet upgrade daar naar toe).
Servers die nog 2000 of 2003 draaien kunnen gewoon member servers zijn zonder AD en lopen geen risico.

MajorWinters @SunnieNL • 11 februari 2015 12:20

Volgens mij niet helemaal correct. Ook als member servers is er nog steeds een risico want Windows 2003 ondersteund UNC Hardened Access niet. Deze kwetsbaarheid kan dus nog perfect gebruikt worden als onderdeel van een aanval om member servers over te nemen.

curry684 @The Zep Man • 11 februari 2015 11:33

Ze kwalificeren het lek als 'niet realistisch te repareren zonder meer schade te doen dan goeds':

https://technet.microsoft.com/library/security/MS15-011:

Windows Server 2003 is listed as an affected product; why is Microsoft not issuing an update for it?
The architecture to properly support the fix provided in the update does not exist on Windows Server 2003 systems, making it infeasible to build the fix for Windows Server 2003. To do so would require re-architecting a very significant amount of the Windows Server 2003 operating system, not just the affected component. The product of such a re-architecture effort would be sufficiently incompatible with Windows Server 2003 that there would be no assurance that applications designed to run on Windows Server 2003 would continue to operate on the updated system.

Technische uitleg bij het probleem en de oplossing is hier te vinden.

remya @The Zep Man • 11 februari 2015 10:42

komt ze goed uit, hebben ze nog een "rede" om bedrijven te laten migreren naar server 2012 (niet dat het lek nieuw is hoor maar toch...)

The Zep Man

Netwerk en systeembeheer
Besturingssystemen
Microsoft Windows
Microsoft

@remya • 11 februari 2015 10:45

komt ze goed uit, hebben ze nog een "rede" om bedrijven te laten migreren naar server 2012 (niet dat het lek nieuw is hoor maar toch...)

Die reden krijgen ze vanzelf, wanneer in juli de ondersteuning stopt. Er zijn waarschijnlijk nog zat andere fouten in AD die na deze periode niet meer gepatched zullen worden in Server 2003. Bedrijven zouden daarom allang met een migratietraject bezig moeten zijn. Dit traject hoeft echter nog niet afgelopen te zijn omdat er nog een half jaar zit tussen nu en het einde van de ondersteuningsperiode. Om deze periode te overbruggen zou ik verwachten van Microsoft dat zij een update uitbrengen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 08:37]

Vickiieee @The Zep Man • 11 februari 2015 10:51

De ondersteuning voor Windows Server 2003 eindigt 14 juli 2015, zo waarschuwt Takeshi Numoto van Microsofts Cloud and Enterprise Marketing-afdeling. Uit onderzoek dat november vorig jaar gepubliceerd werd, bleek dat 81 procent van de it-professionals die nog met Windows Server 2003 werkt, verwacht voor die datum over te stappen. Van de overige 19 procent was 8 procent wel van plan over te stappen, maar bij 11 procent was de migratie nog onduidelijk, schreef IT ProPortal destijds.

Microsoft waarschuwt voor einde ondersteuning Windows Server 2003

Komt bij dat er dus zat bedrijven zullen zijn die (nog) niet of later over zullen stappen. Wellicht dat dit een extra motivatie is zoals Remyseroos zegt.

Is Active-Directory echter belangrijk in WS2003 (en/of andere versies?) of niet zo? Ben hier niet echt bekend mee dus enige uitleg hiervoor zou een leuke aanvulling zijn

The Zep Man

Netwerk en systeembeheer
Besturingssystemen
Microsoft Windows
Microsoft

@Vickiieee • 11 februari 2015 10:57

Is Active-Directory echter belangrijk in WS2003 (en/of andere versies?) of niet zo? Ben hier niet echt bekend mee dus enige uitleg hiervoor zou een leuke aanvulling zijn .

Kort gezegd is Active Directory een bibliotheek en regeling van toegang tot bronnen binnen een bibliotheek, en wordt het gefaciliteerd door bepaalde edities uit de Server-familie van Windows. Op een laag niveau zijn gebruikers, computers en databronnen er een onderdeel van. Op een hoger niveau praat je over 'forests' en 'domains' (zeg maar verschillende instances van Active Directory) die met elkaar kunnen communiceren. Het is dus best wel belangrijk als de digitale infrastructuur van je bedrijf daarop leunt.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 08:37]

mae-t.net @Vickiieee • 11 februari 2015 14:02

Active directory is belangrijk als je je Windowsserver als domeinserver inzet. Het is een LDAP-implementatie die gebruikt wordt om login- en configuratiegegevens bij te houden.

Als je de server alleen voor andere rollen inzet heb je het vaak niet nodig. Op een webserver, fleserver of een applicatieserver bijvoorbeeld, kan je het gewoon niet installeren en dan ben je ook veilig.

Wim-Bart @Vickiieee • 11 februari 2015 14:51

Zonder Active Directory sta je nergens in een bedrijfsnetwerk, of je moet zin hebben om een workgroup te maken en met het handje op iedere pc een gebruiker aan te maken en rechten toe te kennen.

De AD is het fundament onder alle services in een bedrijfsnetwerk.

Xypriz @mae-t.net • 12 februari 2015 08:17

Huh?!

Het inzetten van een domein controller betekent per definitie dat je gebruik gaat maken van AD.

mae-t.net @Xypriz • 12 februari 2015 14:04

Ik schreef het inderdaad ongelukkig op, het is nu net alsof ik het over de technologie in het algemeen heb en dat bedoelde ik niet.. Het was kennelijk al laat.

Ik had in gedachten dat je een non-MS domeincontroller kunt inzetten die wat beperkter is maar voldoende aan boord heeft om een domein te bedrijven. Bijvoorbeeld op basis van samba.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 08:37]

Verwijderd @The Zep Man • 11 februari 2015 10:47

In het security bulletin wordt gesteld dat het weliswaar mogelijk zou zijn om een fix uit te brengen voor 2003, maar dat de impact op de werking van de desbetreffende DC's zo groot zou zijn dat compatibiliteit met 'overige systemen' niet meer gegarandeerd kan worden.

Wellicht een flauw excuus, maar zonder inzicht in de code kunnen wij stervelingen natuurlijk niet beoordelen of dit klopt. Het argument van bedrijven om 2003 niet uit te faseren is (voor zover ik tegenkomt) nog steeds vaak de (meestal niet terechte) angst dat er compatibiliteitsproblemen ontstaan.

Ik mag hopen dat de bedrijven met 2003 DC's gezien de aankomende EOL toch al bezig waren met op zijn minst het maken van een migratie-plan. Bedrijven die toch al van plan waren om door te blijven gaan met 2003 zullen zich ook van deze bug niet veel aan trekken.

Gezien de (beperkt) beschreven methode om de kwetsbaarheid te misbruiken is deze ook bij het noodzakelijkerwijs nog wel even gebruiken van 2003 in deze gevallen wellicht ook nog gewoon te vermijden.

Wim-Bart @Verwijderd • 11 februari 2015 14:55

Probleem is ook vaak dat op een W2K3 DC vaak services zijn geïnstalleerd welke het moeilijk maken om even een demote van een 2003 DC te doen. Denk maar eens aan certificate services op een DC installeren.

MS zegt niet voor niets dat je een DC gewoon een DC moet laten en er hooguit DNS, DHCP en WINS op kan installeren maar geen andere functionaliteit. Dat er beheerders zijn die zeggen, dat loopt wel los, lopen nu aan dat je een (W2K3) DC niet zomaar kan uitfaseren doordat je eerst andere services moet migreren met het nodige extra werk.

Verwijderd @The Zep Man • 11 februari 2015 11:25

Misschien dat het maken van de 2003 fix zo lang duurt dat de support periode toch al ten einde is? Lekker mening vormen over dingen waar je zelf geen verstand of beeld van hebt.

anargeek @ELD • 11 februari 2015 11:11

Ja, die kunnen we inderdaad vergelijken:
Red Hat Enterprise Linux 3 en Windows Server 2003 zijn beiden gereleased in 2003. De meest recente versies zijn RH7 en WS2012 R2. Tussen toen en nu zijn er van beiden 4 nieuwe versies uitgebracht (RH4,5,6,7 tegenover WS08, 08R2, 2012, 2012R2). RH3 Extended support liep af in Januari 2014, WS03 Extended in Juli 2015.

Als je RH3 nog gebruikt, ben je dan slim bezig? Exact hetzelfde als wanneer je nu nog WS2003 gebruikt.

Dus wat is het goede argument om over te stappen? Beide situaties zijn in mijn ogen gelijk

[Reactie gewijzigd door anargeek op 23 juli 2024 08:37]

Veda88 @anargeek • 11 februari 2015 11:39

Tsja, je gaat natuurlijk uit van de periode waarmee geadverteerd wordt. Kies je voor Microsoft voor de langere support periode dan wordt je nu teleur gesteld.

anargeek @Veda88 • 11 februari 2015 12:19

Dan moet je wel goed kijken waarmee daadwerkelijk geadverteerd wordt. Deze fix valt buiten de Extended period omdat het fundamentele design wijzigingen vereist en die worden in de Extended Period niet gedaan. Dus dat het nu naar buiten komt, of in 2010 vlak na het ingaan van de Extended Period is irrelevant.

Voor Red Hat is dit niet anders. Sterker, zij bieden zelfs minder in de Extended Period: "No bug fixes, security fixes, hardware enablement or root-cause analysis will be available during this phase, and support will be provided on existing installations only."

[Reactie gewijzigd door anargeek op 23 juli 2024 08:37]

mae-t.net @anargeek • 12 februari 2015 02:17

Hoe het met Red Hat specifiek zit, weet ik niet.. Maar bij Linux kan het nog min of meer feasible zijn om een in-place upgrade te doen inplaats van een volledige herinstallatie.

Ook kan het zomaar zijn dat andere Linuxvarianten langer ondersteund worden dan de rode hoed.

SuperDre @ELD • 11 februari 2015 13:34

Wat een onzin, alsof er bij Red Hat (linux) geen compatabiliteits problemen zijn met upgrades, en ook alsof Red Hat nog wel een complexe patch zou uitbrengen voor hun versie uit 2003.. think again.....

gabba25 11 februari 2015 10:41

Microsoft raadt bedrijven en organisaties aan als deze verouderde serversoftware nog draaien om de Active Directory-service uit te schakelen.

Dit is wel erg simpel. We patchen het niet, je moet het gewoon maar niet meer gebruiken. Beetje omgekeerde wereld.

SuperDre @gabba25 • 11 februari 2015 13:38

tja, maar het probleem is dus dat de patch waarschijnlijk zoveel wijzigingen met zich meebrengt dat je (als bedrijf) dan alsnog eerst goed moet testen of je de patch wel wilt doorvoeren ivm mogelijke compatabiliteitsproblemen met software die je draait. En als je dan toch zo rigoreus moet testen, kun je beter die tijd besteden aan het testen van een compleet nieuwe versie van de server aangezien in juli toch de ondersteuning compleet stopt, en je dus sowieso moet overstappen (tenzij je open wilt blijven voor security flaws die sowieso niet meer gepatched worden)..

gabba25 @SuperDre • 11 februari 2015 13:43

Goed punt. Dat las ik in de tussentijd ook in een reactie van Davey400

Azerion @gabba25 • 11 februari 2015 10:45

Je praat hier over een 12 jaar oud product(waarvan de support overigens over 4 maanden ophoud), ik kan best begrijpen dat zij geen gigantische investering meer willen doen in zo'n oud product, misschien is het zelfs technisch niet eens mogelijk.

daarnaast als je als IT beheerder nog 2003 draait moet je jezelf is even afvragen of je niet al een aantal jaar geleden had moeten upgraden naar 2008 (inmiddels al zelfs naar 2012).

[Reactie gewijzigd door Azerion op 23 juli 2024 08:37]

Thystan @Azerion • 11 februari 2015 12:08

De ondersteuning stopt over 4 maanden, het is ruim een jaar geleden gemeld.

Ze moeten het eigenlijk nog fixen.

Als ik een product koop en ik krijg daar een bepaalde garantie/support termijn bij en de leverancier houd zich daar niet aan. Dan win ik het zeker.

Voorbeeld: Ik koop een mobiele telefoon met 2 jaar garantie en uit het niets kan hij na 20 maanden geen simkaarten meer lezen vanwege een productiefout. Dan moeten ze dat gewoon kosteloos repareren. Simpel.

Als ik voor dezelfde telefoon bel met een probleem tijdens de periode dat het apparaat nog onder support valt, dan mogen ze me ook niet afwimpelen met "ja maar dat is nog maar vier maanden".

Azerion @Thystan • 11 februari 2015 14:40

De officiële garantie is dan ook 10 jaar bij microsoft, zij hebben momenteel een 'extra' periode waarin simpele bugs nog worden gefixed, alleen zoiets ingrijpends als dit is simpelweg veel te duur om dit in de 'extra' periode alsnog te doen voor een product dat je 4 maanden later compleet afschrijft.

Thystan @Azerion • 12 februari 2015 09:56

Het was een jaar geleden al bekend, dus eigenlijk 16 maanden

TunefulDJ_Mike @Thystan • 11 februari 2015 14:45

Dat is wat anders, Windows Server 2003 zit in Extended Support, dit houd in dat er alleen nog security fixes worden uitgebracht en geen aanpassingen aan het systeem zelf. Deze update vergt echter verregaande veranderingen in Windows Server 2003, wat zij niet meer zullen doen, daarnaast kan Microsoft niet garanderen als ze dit wel zouden doen dat alles blijft werken, waardoor er mogelijk gehele netwerken defect raken.

Thystan @TunefulDJ_Mike • 12 februari 2015 09:57

Ik begrijp het wel, maar trek jou statement even door naar vliegtuigmaatschappijen, of producten die ook verwerkt worden in dezelfde fabrieken waar pinda's worden verwerkt, of treinen, bussen.

Zie de schade die Sony recent heeft geleden.

Ik vind dat Microsoft klanten tegemoet moet komen. Het product zou direct uit de schappen moeten worden gehaald. JUIST OMDAT een nieuwe versie wel te beveiligen is.

TunefulDJ_Mike @Thystan • 12 februari 2015 12:07

Voor zo ver ik weet is het al bijzonder moeilijk om Windows Server 2003 te kopen.

En om het even door te trekken naar vliegtuigen. Stel je voor dat boeing een defect vind in al hun toestellen. Deze kunnen ze oplossen in elk toestel op een na. Want deze heeft een andere opbouw. Wanneer zij deze aanpassen kan het vliegtuig mogelijk nooit meer vliegen. Daarnaast is het toestel al bijna end of life.

Thystan @TunefulDJ_Mike • 12 februari 2015 12:58

Dan mag het toestel niet meer van de grond. Goed voorbeeld

gabba25 @Azerion • 11 februari 2015 10:55

Is in een ander topic ook al besproken, maar meestal gaat het gewoon om geld. "Het draait toch nog".

Naast het updaten van de Servers zal je ook waarschijnlijk nieuwe CAL's moeten, testen, migreren etc etc.

Rubenvdk @Azerion • 11 februari 2015 15:01

Mee eens! Naar 2008 (R2) sowieso. Maar ik vind wel dat Server 2012 met Metro voor ICT-beheer zijn doel iets voorbij schiet. Heb toevallig vorige week Server 2012 geinstalleerd om uit te proberen, maar vind de interface er niet bepaald overzichtelijker op geworden.

Maar dat terzijde.............

Daarnaast denk ik dat Microsoft ook deze overweging heeft gemaakt op basis van bedrijven die nog steeds gebruik maken van Server 2003. Ik denk namelijk dat dit nog maar een handje vol bedrijven zijn, en voor Microsoft haar cijfers dus; nul. Ik denk dat de overstap naar Server 2008 al veel eerder is gedaan dan nu vergelijkbaar met Windows XP. Dit aangezien Server toch de motor is van je bedrijf (ICT gezien) en er toch behoorlijk wat nieuwe features zijn toegevoegd aan Server 2008/2012.

Ulx @Rubenvdk • 11 februari 2015 15:14

Valt toch wel mee met de interface van 2012? Gewoon powershell lokaal als shell, en de rest doe je vanaf een beheerwerkplek/server.

Of wil je lokaal op servers inloggen en lekker rondklikken?

Rubenvdk @Ulx • 11 februari 2015 15:35

Ja dat kan inderdaad. Ik denk dat de "Professionals" ook zo te werk gaan.
Ik gebruik Server zelf alleen hobby matig (licenties door opleiding). En af en toe is wat in de Active Directory op stage. Maar ik werk dus eigenlijk alleen met interface.
Maar ik vind Windows 8 opzich wel mooi, maar als "zakelijke" lay-out vind ik Metro en de interface van Server 2012 wat minder en onoverzichtelijk. Maar dat is mijn mening.

Trommelrem @Rubenvdk • 11 februari 2015 15:59

In 2012 kun je gelukkig bijna alles via PowerShell doen, dus Metro is niet nodig

Blokker_1999

Besturingssystemen
Microsoft Windows 7 Ultimate
Microsoft Windows Server
Microsoft Windows
Microsoft Windows 8.1 NL
Microsoft
Netwerk en systeembeheer
Microsoft Windows 7
Microsoft Windows 8 NL

@gabba25 • 11 februari 2015 10:53

Je kan niet verwachten dat ze software van meer dan 10 jaar oud blijven fixen. We zijn ondertussen 4 versies verder, tijd om te upgraden lijkt mij.

MadEgg

Microsoft Windows 7 Home Premium
Microsoft Windows 8.1 NL
Besturingssystemen

@Blokker_1999 • 11 februari 2015 13:14

Tsja, maar de afspraak met Microsoft is dat de ondersteuning tot juli loopt en dat security problemen opgelost worden.

Bovendien, tot het lek gerapporteerd werd waren we een jaar eerder, dus was er nog wat meer tijd over.

Ik kan me voorstellen dat Microsoft het niet ziet zitten om Server 2003 te patchen als het echt zo veel werk is als ze doen voorkomen (en in dat geval is hun SMB-implementatie werkelijk om te huilen, maar dat volledig terzijde). Echter, dat doet niet af dat zij nog steeds deze verantwoordelijkheid hebben. Als ik een product koop met een bepaalde garantieperiode en het gaat 1 maand voor het eind van die periode stuk dan moet dat nog steeds vervangen worden.

Wat Microsoft in dit geval zou sieren is gebruikers van Windows Server 2003 een gratis upgrade naar Windows Server 2008 aan te bieden ter compensatie. Natuurlijk worden de betrokken bedrijven daar ook niet blij van als ze niet zitten te wachten op een upgrade, maar feitelijk zouden ze die upgrade toch al aan het voorbereiden moeten zijn aangezien de support op 2003 wel over een aantal maanden ten einde komt.

Thystan 11 februari 2015 12:02

Meen je dat nou, als work-around AD uitschakelen? En een 'kritiek' lek dichten naar ongeveer een jaar!

Schandalig.

MajorWinters @Thystan • 11 februari 2015 12:15

Neen, dat is niet was Microsoft communiceert in hun security bulletin:

Mitigating Factors
Microsoft has not identified any mitigating factors for this vulnerability.

Workarounds
Microsoft has not identified any workarounds for this vulnerability.

De enige oplossing is updaten en UNC Hardened Access configureren.

Thystan @MajorWinters • 11 februari 2015 12:32

Ja true, maar dat kan dus niet voor server 2003 die wel nog ondersteund hoort te worden. Het is alsof je een auto hebt gekocht waar uiteindelijk blijkt dat je de hele tijd op drie wielen hebt gereden (ok beetje extreem voorbeeld maar ok).

In dit geval zouden ze die mensen een gratis update moeten geven naar een systeem wat wel veilig is. De rede dat mensen het gebruik is onder andere de veiligheid!

Bedrijven hebben betaald voor een bepaalde support, een bepaalde veiligheid. Die komt Microsoft niet na. Eigenlijk (als dit een fysiek product zou zijn, of voedsel) zou het product helemaal teruggeroepen moeten worden - sinds begin 2014 al.

Terugroepen, of gratis update.

De stelling "ja, jij koopt een auto met drie wielen, terwijl hij er vier hoort te hebben is lekker jou probleem" is natuurlijk klinklare onzin. Het is geen goedkoop product.

SuperDre @Thystan • 11 februari 2015 13:41

het kost gewoon heel veel tijd om dit soort lekken te dichten en testen, en dit is dus blijkbaar niet 1 klein puntje geweest, maar een hele ketting... Je moet niet vergeten dat je patch zo min mogelijk invloed mag hebben op reeds uitstaande software.. ff fixen is vaak niet zo simpel als sommige mensen denken...

Thystan @SuperDre • 12 februari 2015 09:55

@Ulx
Ja, ik zie ook liever dat mensen elevated privileges kunnen krijgen en malware installeren op mijn domein. </sarcasm> Ik vraag me af of Sony het met je eens is.

@SuperDre : Ik begrijp het echt wel, maar in dit geval is het wel te repareren in een nieuwere versie. Een auto met een beveiligingsprobleem wordt ook teruggehaald. Voedsel zonder waarschuwing voor pinda's wordt ook teruggehaald. Maar een serverpakket met een beveiligingsfout waarmee het hele domein in principe doelwit kan worden van een cryptolocker niet?

Ik vind dat Microsoft zijn klanten tegemoet moet komen. Ik vind het sowieso bizar dat ze dit pas een jaar later bekend maken. Bedrijven (edit: moeten) dit wettelijk eerder vermelden (EU-richtlijnen).

Ik vind de verdediging "maar het is teveel werk" geen goed statement.

Als jij dat wel een goede verdediging vind, dan wens ik je veel plezier met vliegreizen boeken bij Aziatische luchtvaartmaatschappijen (ik zal geen namen noemen).

SuperDre @Thystan • 12 februari 2015 10:32

een 12 jaar oude auto met een beveiligingsprobleem wordt echt niet teruggehaald hoor.. voedsel zonder waarschuwing is levensbedreigend.. Maar een 12 jaar oude server die in juli totaal geen ondersteuning meer heeft had toch al lang bij een beetje serieus bedrijf vervangen moeten zijn, of in iedergeval al zeker ver in het migratie traject voor vervanging moeten zitten..

Enuh, nee hoor, dit soort lekken hoeven niet eerder gemeld te worden, pas wanneer een bedrijf gehackt is en er privacy gevoelige data gestolen is moet DAT betreffende bedrijf dit melden.. Maar met goed beleid is deze bug sowieso niet echt een heel groot probleem..

tja, JIJ vind "maar het is teveel werk" misschien geen goed statement, maar zelf software developer zijnde, en ook wetende dat er al lang vele nieuwere versies beschikbaar zijn, EN wetende dat zelfs de extended support in juli stopt (en daarmee dus ook in prinicpe alle beveiligingsupdates) dan vind ik het wel een goed statement..
Want ook al zouden ze dit toch nog gepatched hebben, jij als systeembeheerder zou toch dan eerst goed moeten testen of de nieuwe patch geen problemen geeft met je huidige systeem, en DAT testen kost bijna net zoveel tijd als gewoon overstappen naar een andere nieuwer systeem, wat je toch moet doen voor juli 2015..

En je opmerking mbt aziatische luchtvaartmaatschappijen begrijp ik niet.. zeker omdat bij de verdwenen vluchten helemaal niet bekend is wat er werkelijk gebeurd is, en of er dus een probleem met de veiligheid is geweest..

Thystan @SuperDre • 12 februari 2015 11:32

Ik wist dat je een goed standpunt zou aannemen, dankjewel.

Ik kan inderdaad niet vinden of het verplicht is om zwakheden in je software te melden. Waarschijnlijk omdat het niet levensgevaarlijk is, en auto's vliegtuigen en voedsel kan wel levensgevaarlijk zijn.

Met betrekking tot tien jaar oude auto's die wel worden teruggeroepen:
voorbeeld1: http://www.nu.nl/beurs/37...erugroepactie-bij-gm.html
voorbeeld2: http://www.reuters.com/ar...RSS&feedName=businessNews

En er zijn er nog talloze andere voorbeelden te vinden van 10 jaar oude auto's die worden teruggeroepen. Ik zie niet in waarom het bij professionele bedrijfsbeheer systemen anders zou moeten zijn, anders dan dat alleen het 'leven' van het bedrijf (en dus de financiële veiligheid van werknemers) op het spel komt te staan.

Met betrekking tot die vliegtuigen wil je wel dat het teruggehaald wordt omdat het (ook) levensgevaarlijk kan zijn. Aziatisch was meer als een komische noot bedoeld en een verwijzing naar recente gebeurtenissen. Het komt er op neer dat vliegtuigen met een dergelijke fout er in (een ongeautoriseerd iemand die de cockpit zou kunnen bedienen) wel worden teruggehaald, maar een Domain Controller pakket niet.

Terughalen van software is natuurlijk enorm lastig, maar auto's lijkt mij logistiek toch een grotere uitdaging. Helemaal omdat je de software kunt upgraden (dus niet onwerkbaar updaten) en een auto niet.

(edit: spatie)

[Reactie gewijzigd door Thystan op 23 juli 2024 08:37]

Ulx @Thystan • 12 februari 2015 12:12

Microsoft kan gewoon een patch leveren die deze exploit fikst.
Alleen geven ze geen garantie dat je bestaande spul dan nog blijft werken.

Volgens hun instructies moet je alle updates testen. Als dan blijkt dat je hele netwerk naar de klote gaat terwijl het lek wel dicht gaat, kan MS roepen dat ze alleen maar security fixes uit hoefden te brengen. En jij mag vervolgens je bedrijf stilleggen om je applicaties te herschrijven.

Ben je dan happy?

Thystan @Ulx • 12 februari 2015 13:06

Stel we noemen die patch server 2008, dan moet daar voor betaald worden.

Als Toyota of GM hun auto's terug halen, of Boeing hun vliegtuigen, wie betaald het dan?

Ok, de klant, maar wel indirect

Ulx @Thystan • 12 februari 2015 15:13

Men haalt nooit auto's van vijftig jaar oud terug. Zijn die veiliger dan nieuwe auto's?

Thystan @Ulx • 12 februari 2015 17:13

Logisch, want het kan pas via een wet die is gemaakt in 1966 (49 jaar geleden).

Ulx @Thystan • 11 februari 2015 15:22

Meen je dat nou, als work-around AD uitschakelen? En een 'kritiek' lek dichten naar ongeveer een jaar!

Schandalig.

Microsoft kan ook gewoon een patch releasen hoor.

Alleen donderstraalt de rest van je netwerk dan misschien om. Maar je securitylek is wel gefikst. Maar of je daar dan blij mee bent... Gevalletje "Operatie geslaagd, patient overleden." lijkt me dat.

alie786 11 februari 2015 11:06

Op http://support2.microsoft...1/en-us?sd=rss&spid=14134 kun je zien (onder file information > windows Server 2003) dat deze patch toch echt voor Server 2003 beschikbaar is. Geen idee waarom iedereen denkt dat het niet beschikbaar is voor Server 2003, heb ook net onze WSUS Server gechecked en ook daar heb ik net deze patch goedgekeurd voor Server 2003 x86 en x64 (KB3004361).

DDX @alie786 • 11 februari 2015 11:08

Dat is een andere patch ( MS15-014 ) dit artikel gaat over patch MS15-011

Cyberdude47 @DDX • 11 februari 2015 11:13

Het zou handig zijn als de redactie van Tweakers volgende keer iets duidelijker een link plaatst bij het artikel. Nu is het heel erg onduidelijk dat het om andere patch gaat.

[Reactie gewijzigd door Cyberdude47 op 23 juli 2024 08:37]

alie786 @DDX • 11 februari 2015 11:13

Dan is het artikel niet echt duidelijk omdat er blijkbaar 2 updates uit zijn voor Windows Group Policy MS15-014 en MS15-011.

Laat maar of beter lezen ....

[Reactie gewijzigd door alie786 op 23 juli 2024 08:37]

Verwijderd @alie786 • 11 februari 2015 11:19

Goede constatering.
Het vreemde is dat op https://technet.microsoft.com/library/security/MS15-011 het volgende staat:

Windows Server 2003 is affected, but an update is not being issued for it. See the Update FAQ for more information

En bij die FAQ:

Windows Server 2003 is listed as an affected product; why is Microsoft not issuing an update for it?
The architecture to properly support the fix provided in the update does not exist on Windows Server 2003 systems, making it infeasible to build the fix for Windows Server 2003. To do so would require re-architecting a very significant amount of the Windows Server 2003 operating system, not just the affected component. The product of such a re-architecture effort would be sufficiently incompatible with Windows Server 2003 that there would be no assurance that applications designed to run on Windows Server 2003 would continue to operate on the updated system.

This vulnerability requires that a user connect their computer to an untrusted network such as a Wi-Fi hotspot in a coffee shop; therefore, workstations that are connected to an untrusted network are most at risk from this vulnerability.

Mogelijk is de fix een fix voor een 2003 server als client van een domain?

RoffaboyS 11 februari 2015 10:44

Het is nu wel een risico voor bedrijven die oude versies nog draaien want nu weet men dat er een gat zit in AD.

batjes

Besturingssystemen
Microsoft Windows
Microsoft Windows 7 Ultimate
Microsoft

@RoffaboyS • 11 februari 2015 10:50

Wie nu nog AD op 2003 draait vraagt er ook gewoon om.

RoffaboyS @batjes • 11 februari 2015 10:51

Ja dat kan je wel concluderen.

Thystan @RoffaboyS • 11 februari 2015 12:04

Het was al 15 jaar een risico

dmstork 11 februari 2015 11:03

Het grootste risico zit hem in domain-joined computers die verbindingen maken met een onvertrouwd netwerk. Ik denk niet dat er veel gebruikers zijn die hun laptop met Windows Server 2003 in een domain rondlopen én een verbinding maken met onvertrouwd netwerk wat comprimised is. De rest van de OSsen word echter wel gepatched.

Dus ik zie nu geen ernstige problemen dat Windows Server 2003 hiervoor niet gepatched zal worden. In je eigen interne netwerk zal dit scenario niet zo snel voordoen (als je je werk als beheerder goed hebt gedaan).

/edit: Meer achtergrond info én extra noodzakelijke handelingen na installatie van de bugfix (eigenlijk nieuwe feature, namelijk UNC hardened access): https://support.microsoft.com/kb/3000483

[Reactie gewijzigd door dmstork op 23 juli 2024 08:37]

MajorWinters @dmstork • 11 februari 2015 11:56

Volgens mij maakt dat dus niets uit. Als je clients geupdate zijn maar de DC's niet dan zijn de clients nog steeds vulnerable.

dmstork @MajorWinters • 11 februari 2015 13:34

Goed punt, je moet nog wel gebruik maken van de nieuwe feature die deze vulnerability tegengaat (GPO wat UNC Hardened Access aanzet in je clients). Als je nog WS2003 DC's hebt, dan kan je dat niet uitvoeren en dan zijn jouw domain joined windows devices dus nog kwetsbaar.

urk_forever 11 februari 2015 10:40

Microsoft raadt bedrijven en organisaties aan als deze verouderde serversoftware nog draaien om de Active Directory-service uit te schakelen.

Lekker handig op je Windows 2003 Domain Controller

batjes

Besturingssystemen
Microsoft Windows
Microsoft Windows 7 Ultimate
Microsoft

@urk_forever • 11 februari 2015 10:49

Servers staan zelden alleen, plant er een win2008 of 2012 naast en laat hem de DC zijn.

Hennie-M

11 februari 2015 10:43

Maar het is toch wel ECHT tijd om je 2003 DC's uit te faseren. Dat je problemen hebt om je applicaties servers te updaten kan ik mij nog voorstellen maar DC's moet je gewoon vervangen. En als je speciale software op je DC installeerd dan ben je ook maar gewoon een amateur. (smerige SBS edities uitgezonderd)

SuperDre @Hennie-M • 11 februari 2015 13:39

achja, bij een ontelbaar aantal bedrijven worden de netwerken ook beheert door amateurs (en daarmee bedoel ik dat ze vaak onderhouden worden door iemand die toevallig wat technische kennis heeft en het naast zijn/haar hoofdtaak doet).. En vergis je ook niet in hoeveel systeembeheerders zichzelf overschatten........

DDX 11 februari 2015 11:01

Als ik dit lees :

This vulnerability requires that a user connect their computer to an untrusted network such as a Wi-Fi hotspot in a coffee shop; therefore, workstations that are connected to an untrusted network are most at risk from this vulnerability.

Klinkt het als een client update, want je gaat je domaincontroller natuurlijk niet aan een untrusted netwerk hangen.
Maar hoe moet je het risico van een 2003 domaincontroller dan zien ?

MajorWinters @DDX • 11 februari 2015 12:12

Er is wel net wat meer nodig dan enkel de clients te updaten. De servers (DC's) moeten ook geupdate worden en men moet UNC Hardened Access configureren.

Op dit item kan niet meer gereageerd worden.

Microsoft dicht 15 jaar oud lek in Active Directory

Lees meer

Reacties (120)

Sorteer op:

Weergave: