Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties

Microsoft heeft een lek in Windows gedicht dat het mogelijk maakte om malware op een pc te zetten door een daarvoor geprepareerd usb-apparaat in de computer te steken. Alle varianten van Windows zijn vatbaar.

Microsoft schrijft in zijn bulletin dat het 'redenen' heeft om aan te nemen dat de kwetsbaarheid is misbruikt in aanvallen tegen Windows-gebruikers. Het heeft de patch aangemerkt als 'belangrijk', een stap onder de meest urgente aanduiding 'kritiek', vermoedelijk omdat de aanval fysieke toegang tot een pc vereist.

De aanvallers konden gebruik maken van de kwetsbaarheid door de manier waarop de Mount Manager voor usb-apparaten in Windows omgaat met symlinks. Daardoor kunnen aanvallers kwaadaardige code overzetten van het usb-apparaat op de schijf en die uitvoeren.

De patch verhelpt het probleem door de kwetsbare code uit de Mount Manager te verwijderen, waardoor het lek niet meer te misbruiken is. Microsoft heeft de patch sinds dinsdag verspreid onder alle gebruikers van Windows sinds Vista.

Moderatie-faq Wijzig weergave

Reacties (37)

Werkt dit lek ook bij bedrijven die USB poorten softwarematig blokkeren?
Ligt eraan wat je precies definieert als softwarematig.
Als je zeg maar het driver "softwarematig" uitschakelt in de device manager dan zal er simpel weg niks gebeuren.
Als je meer bedoelt een windows domain policy wat bepaalde sticks wel accepteert en andere niet dan zou het heel goed kunnen zijn dat de lek nog werkt omdat het probleem zich in de mount fase zit en dus actief wordt voordat de policy wordt uitgevoerd
Windows ziet altijd een USB device wel of niet geblokkeerd door policy..

De policy zorgt er voor dat de USB key niet gemount wordt maar schakelt de USB niet fysiek uit.. steek maar een USB stick in een PC waar je de USB disable.. Je zult zien dat als er een LED op de USB stick zit gaat opbranden. en daarna uit..

Wat de PC op dat moment doet is controleren wat voor device je aansluit, Keyboard, Muis, Printer, USB dongle enz..
Je kan op sommige moederborden USB fysiek uitschakelen (servers) maar op een kantoor PC niet.. Zeker gezien USB altijd aan staat voor o.a. toetsenbord en muis.

Zelfs al zou je direct USB uitschakel in device manager, dan nog zou je activiteit zien.. USB is en blijft een stuk hardware gesoldeerd op het moederbord.. Pas als je dat zou verbreken werkt USB echt niet meer.

[Reactie gewijzigd door To_Tall op 13 augustus 2015 01:21]

Een beetje securityaware bedrijf zorgt dat er geen driver geinstallerd kan worden voor 'nieuwe' apparaten.
Onze systemen kunnen alleen het type muis accepteren wat al bekend is.
Het is (hier) niet waterdicht, omdat we ook een beetje luie sysadmin hebben, die graag zijn eigen usbstick inplugt met de approved hardware.
(Men kan een eigen device aansluiten na goedkeuring)
8-) ik heb mezelf zo'n zelfde stickje aangeschaft ...

maar je kan als policy de boel tot op type usbdevice blokkeren.
Dan is er toch nog steeds een lek???

Je USB poort moet eerst detecteren wat voor hardware er in de poort zit, dat kan een paar sec duren.. hoppa LEK!!!

Het maakt helemaal niet uit of er wel of geen divers geļnstalleerd moeten worden. Sommige USB sticks hebben zelfs geen driver nodig omdat die al standaard in windows zitten..
In de gebruikers installatie zitten drivers, ja
maar een bedrijf dat werkt met preconfigered images, stelt zelf alle toestemmingen in.
dus de map 'drivers' kan zo leeg en vol zijn als de beheerder wenst.
Vrijwel alle 'grote' leveranciers hebben in het bios de optie om de usb direct uit te schakelen, met uitzondering van poort X waar de input device op 'mag'
Bij ons zijn alle Dell, HP en compaq (ook hp) voorzien van die optie in de bios, maar niet in gebruik.
Hier zijn de drivers alleen verwijderd omdat een vorig team te pas en te onpas games ging installeren.

het lek is er, maar het was al tegen te gaan, alleen was het niet erg bekend
Dan nog kan je dat omzeilen.. Een USB stick kan gewoon een generieke USB driver aanspreken. Zelfs die van een Toetsenbord.. Drivermap leeg donderen is leuk maar werkt niet..

Bios Optie heeft ook geen zin.. Ik kan windows volledig met een toetsenbord gebruiken.. Zonder muis.. Steek ik toch die stick in de muis port?? Pas als je alle USB porten uitschakel en weer netjes PS2 toetsenbord+muis gaat gebruiken.. (wat op nieuwe machines niet eens meer wordt meegeleverd) ben je van het gezeur af.. tot die tijd, blijft een USB een risico..

Je hebt zelfs USB Sticks die een toetsenbord nadoen.. op je thuis PC inpluggen commando's geven en stikkie op een andere PC plaatsen zodat je met de rechten van een persoon zonder dat hij het doorheeft alle documenten kopieer naar een andere locatie.. Dan kan je wel porten aanwijzen waar een toetsenbord geplaatst mag worden.. Maar wedden dat die stick het op die plek gewoon doet?? ;)
Ja, natuurlijk kan je alles voor elkaar krijgen.
Maar deze bug gaat om een instructie die uitgevoerd KAN worden door een kwaadaardige usbstick

DAT commando is nu niet meer mogelijk, maar zolang je fysieke toegang hebt op een machine, kan je altijd meer uitspoken dan men zou willen.
I schreef mount fase en niet wanneer het al gemount is maargoed verder zeggen we allebei exact hetzelfde in dat opzicht.

Wat betreft het device manager gedeelte sla je de plank mis. Natuurlijk zal er communicatie zijn tussen je usb device en de usb controller, maar het driver uitschakelen in Windows snijdt elke vorm van communicatie af tussen Windows software en de controller.
Aangezien dit gaat om een Windows lek is in dit geval het nogal duidelijk dat zonder communicatie met Windows het simpel weg niet werkt en er dus verder niks gebeurt.
Als het een lek zou zij mbt de firmware van de usb controller dan zou je een probleem kunnen hebben.

En nee je hoeft niet hardware los te solderen van de moederbord om het definitief uit te schakelen. Dat stel je gewoon in je in BIOS en dan wordt het firmware van de controller niet geladen tijdens opstarten en doet het werkelijk helemaal niks dus ook geen ledjes.
Goede vraag, maar ik denk het niet: als de poorten geblokkeerd zijn gaat ie lijkt me ook niks mounten en ben je dus niet kwetsbaar
Als een poort geblokkeerd is (en dus alle aparaten die er op aangesloten worden genegeerd worden), zou ik zeggen dat dit een mogelijke workaround is. Als een aparaat wordt genegeerd, wordt er ook geen schijf gemount, en dus worden de symlinks niet bekeken. MS meldt zelf echter dat er geen bekende workarounds zijn (maar mogelijk negeren ze workarounds die overig USB gebruik onmogelijk maken).
Ga daar maar niet van uit.
Workarounds

Microsoft has not identified any workarounds for this vulnerability.
Stom toevallig zat ik gisteren nog over precies zo'n hack na te denken. Waarschijnlijk heeft het te maken met de handshake die USB doet met de host of andere automatisch startende processen, waarbij het OS het type apparaat en dergelijke kan herkennen.

Je plugt een muis in: "ik ben een muis" - Windows laat je de muis gebruiken
Je plugt een webcam in: "ik ben een webcam" - Windows laat je de webcam in Skype gebruiken
Je plugt een speciaal geprepareerde stick in: "ik ben een NULLe4a530c23a361b34b84d348" - Windows schrijft een waarde weg op een plek waar dat niet zou moeten gebeuren

[Reactie gewijzigd door BikkelZ op 12 augustus 2015 20:32]

Heeft eerder mee te maken dat de usb device Windows laat denken dat hij een keyboard is. Een keyboard wordt namelijk altijd ingeladen. Ben benieuwd of ze een manier vinden om dit weer te ontwijken, aangezien het een zeer lange tijd misbruikt wordt.
Ik kan bevestigen mijn rubber ducky http://hakshop.myshopify....s/usb-rubber-ducky-deluxe nog altijd gewoon werkt! Wordt ook herkend als toetsenbord, heeft overigens niet alleen ondersteuning voor MS windows maar alle apparaten welke standaard usb toetsenborden herkennen. Maar omdat de rubberduck op de voorgrond acties uitvoerd en dit lek zich achter de schermen bevindt weinig van doen..?
Kende die rubber ducky nog niet, net even gelezen, en is weinig echt tegen te doen softwarematig. Als je fysieke toegang tot een computer hebt dan kan je heel erg veel. Dat is eigenlijk ook wel bekend. Wat enigzins effectief zou kunnen zijn is als dat kan softwarematig en anders fysiek alle niet-gebruikte USB poorten blokkeren mbv kit of lijm.
Wel goed dat hij bestaat om 'awareness' te genereren trouwens.
Mij lijkt de oplossing erg on-user-friendly: laat de user tekst invoeren voordat andere invoer geaccepteerd wordt (een captcha dus). Het is een oplossing, maar wel een draak van een oplossing.
An elevation of privilege vulnerability exists when the Mount Manager component improperly processes symbolic links. An attacker who successfully exploited this vulnerability could write a malicious binary to disk and execute it.
Lijkt niks met kbd oid te maken hebben (die hack zijn er idd wel). Eerder iets in het filesysteem op usb storage devices lijkt me.
Is dat de reden dat opeens een aantal devices (HID) op mij Tablet het niet meer deden en dat ik deze drivers moest verwijderen om ze dan weer te laten installeren? Na de Tuesday patchronde deze week werkte namelijk mij touch screen op mijn ASUS niet meer onder Windows 10.
Lijkt me in jouw geval sterk, ik denk niet dat een touchscreen intern via USB aangesloten zit.
Correctie: Touch-screens zijn heel vaak USB touch-pads.
Weliswaar intern bedraad in de laptop, maar technisch geproken hetzelfde aangesloten als een extern USB tocuhpad.
Ik heb op de zaak een aantal 80" touch-TV's staan (voor presentaties). Die hebben een apart USB kabeltje om de touch-interface met de PC te verbinden. En op de PC moet een touchppad driver geladen worden voor de advanced functies. Zonder driver fungerd hij als een standaard USB muis en kun je niet swipen over het scherm.)
Dat hoeft ook niet fysiek. Ik heb ook, in een ver verleden (Windows 2000/XP), virtuele devices gemaakt met behulp van de Windows DDK (Driver Development Kit). Waaronder drives en een USB device. Als het USB driver model het beste past bij de oplossing van ASUS kan (of kon vroeger lig) deze er gewoon voor kiezen om een USB device driver te schrijven voor een virtueel/feitelijk niet bestaande USB device.
Bij installeren van de patch wordt aangegeven dat ie al aanwezig is. Blijkbaar in de patchronde van gisteren al meegenomen dus.
Mocht je vermoeden hebben dat je (of je bedrijf) hier last van heeft.
http://blogs.technet.com/...-malicious-usb-stick.aspx
Ik heb deze update net uitgevoerd. De taakbalk was even niet meer te gebruiken, ook toegang tot het start menu werkte hierdoor niet. Het toonde een laad-icoontje. Dit vreemd gedrag was na vijf minuten weer weg, maar toch het vermelden waard. EDIT: op windows 10 pro

[Reactie gewijzigd door SV_25 op 13 augustus 2015 11:52]

Bedankt voor de info, zou wel handig zijn als je even erbij vermeld om welke Win versie het gaat..........
Is dit de hack die je altijd in films ziet en suggereert meteen een apparaat te hacken? :P
Voor de buitenwereld wel ...
kun je je buurman laten zien dat het echt is, dat hacken :)
ik had eerder een update verwacht. de lek is al 10 maanden oud. nieuws: Onderzoekers publiceren code voor manipuleren van usb-controllers
heeft de linux community al wel een patch hier voor? of is het al gefixed in de kernal?
-> misbruiken

Spel- en tikfoutjes - en dus *geen* andere foutjes - deel 43

[Reactie gewijzigd door Malarky op 12 augustus 2015 19:39]

Of misbruikten? In de tekst staat namelijk ook ergens misbruikten.
Misschien loop ik achter maar dit begrijp ik niet. Vraagt om verdere verklaring anders is reactie overbodig.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True