Windows-gebruikers krijgen patch voor 'usb-lek' dat aanvallers misbruiken

Microsoft heeft een lek in Windows gedicht dat het mogelijk maakte om malware op een pc te zetten door een daarvoor geprepareerd usb-apparaat in de computer te steken. Alle varianten van Windows zijn vatbaar.

Microsoft schrijft in zijn bulletin dat het 'redenen' heeft om aan te nemen dat de kwetsbaarheid is misbruikt in aanvallen tegen Windows-gebruikers. Het heeft de patch aangemerkt als 'belangrijk', een stap onder de meest urgente aanduiding 'kritiek', vermoedelijk omdat de aanval fysieke toegang tot een pc vereist.

De aanvallers konden gebruik maken van de kwetsbaarheid door de manier waarop de Mount Manager voor usb-apparaten in Windows omgaat met symlinks. Daardoor kunnen aanvallers kwaadaardige code overzetten van het usb-apparaat op de schijf en die uitvoeren.

De patch verhelpt het probleem door de kwetsbare code uit de Mount Manager te verwijderen, waardoor het lek niet meer te misbruiken is. Microsoft heeft de patch sinds dinsdag verspreid onder alle gebruikers van Windows sinds Vista.

Door Arnoud Wokke

Redacteur

Feedback • 12-08-2015 19:3437

12-08-2015 • 19:34

37 Linkedin

Lees meer

Onderzoeker steelt inloggegevens computer via usb-ethernetadapter Nieuws van 7 september 2016
Onderzoeker vindt manier om AppLocker-restricties in Windows te omzeilen Nieuws van 25 april 2016
Usb-c krijgt authenticatieprotocol tegen malware en slechte laders Nieuws van 13 april 2016
Veel rf-dongels muizen en toetsenborden vatbaar voor misbruik Nieuws van 25 februari 2016
'Windows-implementatie van Kerberos-protocol vertoont gebreken' - update Nieuws van 15 december 2015
Eerste kwaadaardige app in Ubuntu Phone Store - update Nieuws van 15 oktober 2015
Microsoft patcht kritieke lekken in Internet Explorer Nieuws van 14 oktober 2015
Lek in 4g-modem maakte Windows-laptops kwetsbaar voor niet-verwijderbare malware Nieuws van 10 augustus 2015
Samsung stopt met blokkeren van automatische Windows-updates Nieuws van 27 juni 2015
Microsoft stopt mogelijk met versienummers Windows Nieuws van 8 mei 2015
Microsoft patcht Stuxnet- en Freak-bugs in Windows Nieuws van 11 maart 2015
'Microsoft brengt noodpatch uit voor lek in snelkoppelingen' Nieuws van 31 juli 2010
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Windows

Reacties (37)

-Moderatie-faq
37
32
23
0
0
0
Wijzig sortering
Anoniem: 16328
12 augustus 2015 19:44
Werkt dit lek ook bij bedrijven die USB poorten softwarematig blokkeren?
Caelestis
@Anoniem: 1632812 augustus 2015 21:52
Ligt eraan wat je precies definieert als softwarematig.
Als je zeg maar het driver "softwarematig" uitschakelt in de device manager dan zal er simpel weg niks gebeuren.
Als je meer bedoelt een windows domain policy wat bepaalde sticks wel accepteert en andere niet dan zou het heel goed kunnen zijn dat de lek nog werkt omdat het probleem zich in de mount fase zit en dus actief wordt voordat de policy wordt uitgevoerd
To_Tall
@Caelestis13 augustus 2015 01:20
Windows ziet altijd een USB device wel of niet geblokkeerd door policy..

De policy zorgt er voor dat de USB key niet gemount wordt maar schakelt de USB niet fysiek uit.. steek maar een USB stick in een PC waar je de USB disable.. Je zult zien dat als er een LED op de USB stick zit gaat opbranden. en daarna uit..

Wat de PC op dat moment doet is controleren wat voor device je aansluit, Keyboard, Muis, Printer, USB dongle enz..
Je kan op sommige moederborden USB fysiek uitschakelen (servers) maar op een kantoor PC niet.. Zeker gezien USB altijd aan staat voor o.a. toetsenbord en muis.

Zelfs al zou je direct USB uitschakel in device manager, dan nog zou je activiteit zien.. USB is en blijft een stuk hardware gesoldeerd op het moederbord.. Pas als je dat zou verbreken werkt USB echt niet meer.

[Reactie gewijzigd door To_Tall op 13 augustus 2015 01:21]

FreshMaker
@To_Tall13 augustus 2015 02:03
Een beetje securityaware bedrijf zorgt dat er geen driver geinstallerd kan worden voor 'nieuwe' apparaten.
Onze systemen kunnen alleen het type muis accepteren wat al bekend is.
Het is (hier) niet waterdicht, omdat we ook een beetje luie sysadmin hebben, die graag zijn eigen usbstick inplugt met de approved hardware.
(Men kan een eigen device aansluiten na goedkeuring)
8-) ik heb mezelf zo'n zelfde stickje aangeschaft ...

maar je kan als policy de boel tot op type usbdevice blokkeren.
To_Tall
@FreshMaker13 augustus 2015 09:55
Dan is er toch nog steeds een lek???

Je USB poort moet eerst detecteren wat voor hardware er in de poort zit, dat kan een paar sec duren.. hoppa LEK!!!

Het maakt helemaal niet uit of er wel of geen divers geïnstalleerd moeten worden. Sommige USB sticks hebben zelfs geen driver nodig omdat die al standaard in windows zitten..
FreshMaker
@To_Tall13 augustus 2015 11:05
In de gebruikers installatie zitten drivers, ja
maar een bedrijf dat werkt met preconfigered images, stelt zelf alle toestemmingen in.
dus de map 'drivers' kan zo leeg en vol zijn als de beheerder wenst.
Vrijwel alle 'grote' leveranciers hebben in het bios de optie om de usb direct uit te schakelen, met uitzondering van poort X waar de input device op 'mag'
Bij ons zijn alle Dell, HP en compaq (ook hp) voorzien van die optie in de bios, maar niet in gebruik.
Hier zijn de drivers alleen verwijderd omdat een vorig team te pas en te onpas games ging installeren.

het lek is er, maar het was al tegen te gaan, alleen was het niet erg bekend
To_Tall
@FreshMaker13 augustus 2015 16:57
Dan nog kan je dat omzeilen.. Een USB stick kan gewoon een generieke USB driver aanspreken. Zelfs die van een Toetsenbord.. Drivermap leeg donderen is leuk maar werkt niet..

Bios Optie heeft ook geen zin.. Ik kan windows volledig met een toetsenbord gebruiken.. Zonder muis.. Steek ik toch die stick in de muis port?? Pas als je alle USB porten uitschakel en weer netjes PS2 toetsenbord+muis gaat gebruiken.. (wat op nieuwe machines niet eens meer wordt meegeleverd) ben je van het gezeur af.. tot die tijd, blijft een USB een risico..

Je hebt zelfs USB Sticks die een toetsenbord nadoen.. op je thuis PC inpluggen commando's geven en stikkie op een andere PC plaatsen zodat je met de rechten van een persoon zonder dat hij het doorheeft alle documenten kopieer naar een andere locatie.. Dan kan je wel porten aanwijzen waar een toetsenbord geplaatst mag worden.. Maar wedden dat die stick het op die plek gewoon doet?? ;)
FreshMaker
@To_Tall13 augustus 2015 17:27
Ja, natuurlijk kan je alles voor elkaar krijgen.
Maar deze bug gaat om een instructie die uitgevoerd KAN worden door een kwaadaardige usbstick

DAT commando is nu niet meer mogelijk, maar zolang je fysieke toegang hebt op een machine, kan je altijd meer uitspoken dan men zou willen.
Caelestis
@To_Tall13 augustus 2015 11:42
I schreef mount fase en niet wanneer het al gemount is maargoed verder zeggen we allebei exact hetzelfde in dat opzicht.

Wat betreft het device manager gedeelte sla je de plank mis. Natuurlijk zal er communicatie zijn tussen je usb device en de usb controller, maar het driver uitschakelen in Windows snijdt elke vorm van communicatie af tussen Windows software en de controller.
Aangezien dit gaat om een Windows lek is in dit geval het nogal duidelijk dat zonder communicatie met Windows het simpel weg niet werkt en er dus verder niks gebeurt.
Als het een lek zou zij mbt de firmware van de usb controller dan zou je een probleem kunnen hebben.

En nee je hoeft niet hardware los te solderen van de moederbord om het definitief uit te schakelen. Dat stel je gewoon in je in BIOS en dan wordt het firmware van de controller niet geladen tijdens opstarten en doet het werkelijk helemaal niks dus ook geen ledjes.
ColonelPhantom
@Anoniem: 1632812 augustus 2015 19:50
Goede vraag, maar ik denk het niet: als de poorten geblokkeerd zijn gaat ie lijkt me ook niks mounten en ben je dus niet kwetsbaar
the_shadow
@Anoniem: 1632812 augustus 2015 19:56
Als een poort geblokkeerd is (en dus alle aparaten die er op aangesloten worden genegeerd worden), zou ik zeggen dat dit een mogelijke workaround is. Als een aparaat wordt genegeerd, wordt er ook geen schijf gemount, en dus worden de symlinks niet bekeken. MS meldt zelf echter dat er geen bekende workarounds zijn (maar mogelijk negeren ze workarounds die overig USB gebruik onmogelijk maken).
batjes
@Anoniem: 1632812 augustus 2015 22:19
Ga daar maar niet van uit.
Workarounds

Microsoft has not identified any workarounds for this vulnerability.
BikkelZ
12 augustus 2015 20:31
Stom toevallig zat ik gisteren nog over precies zo'n hack na te denken. Waarschijnlijk heeft het te maken met de handshake die USB doet met de host of andere automatisch startende processen, waarbij het OS het type apparaat en dergelijke kan herkennen.

Je plugt een muis in: "ik ben een muis" - Windows laat je de muis gebruiken
Je plugt een webcam in: "ik ben een webcam" - Windows laat je de webcam in Skype gebruiken
Je plugt een speciaal geprepareerde stick in: "ik ben een NULLe4a530c23a361b34b84d348" - Windows schrijft een waarde weg op een plek waar dat niet zou moeten gebeuren

[Reactie gewijzigd door BikkelZ op 12 augustus 2015 20:32]

vali
@BikkelZ12 augustus 2015 20:34
Heeft eerder mee te maken dat de usb device Windows laat denken dat hij een keyboard is. Een keyboard wordt namelijk altijd ingeladen. Ben benieuwd of ze een manier vinden om dit weer te ontwijken, aangezien het een zeer lange tijd misbruikt wordt.
hendymen
@vali12 augustus 2015 21:15
Ik kan bevestigen mijn rubber ducky http://hakshop.myshopify....s/usb-rubber-ducky-deluxe nog altijd gewoon werkt! Wordt ook herkend als toetsenbord, heeft overigens niet alleen ondersteuning voor MS windows maar alle apparaten welke standaard usb toetsenborden herkennen. Maar omdat de rubberduck op de voorgrond acties uitvoerd en dit lek zich achter de schermen bevindt weinig van doen..?
thegve
@hendymen13 augustus 2015 00:26
Kende die rubber ducky nog niet, net even gelezen, en is weinig echt tegen te doen softwarematig. Als je fysieke toegang tot een computer hebt dan kan je heel erg veel. Dat is eigenlijk ook wel bekend. Wat enigzins effectief zou kunnen zijn is als dat kan softwarematig en anders fysiek alle niet-gebruikte USB poorten blokkeren mbv kit of lijm.
Wel goed dat hij bestaat om 'awareness' te genereren trouwens.
ColonelPhantom
@hendymen13 augustus 2015 14:23
Mij lijkt de oplossing erg on-user-friendly: laat de user tekst invoeren voordat andere invoer geaccepteerd wordt (een captcha dus). Het is een oplossing, maar wel een draak van een oplossing.
PuzzleSolver
@BikkelZ12 augustus 2015 23:12
An elevation of privilege vulnerability exists when the Mount Manager component improperly processes symbolic links. An attacker who successfully exploited this vulnerability could write a malicious binary to disk and execute it.
Lijkt niks met kbd oid te maken hebben (die hack zijn er idd wel). Eerder iets in het filesysteem op usb storage devices lijkt me.
Wim-Bart
12 augustus 2015 21:15
Is dat de reden dat opeens een aantal devices (HID) op mij Tablet het niet meer deden en dat ik deze drivers moest verwijderen om ze dan weer te laten installeren? Na de Tuesday patchronde deze week werkte namelijk mij touch screen op mijn ASUS niet meer onder Windows 10.
sfranken
@Wim-Bart13 augustus 2015 01:30
Lijkt me in jouw geval sterk, ik denk niet dat een touchscreen intern via USB aangesloten zit.
TonnyTonny
@sfranken13 augustus 2015 09:35
Correctie: Touch-screens zijn heel vaak USB touch-pads.
Weliswaar intern bedraad in de laptop, maar technisch geproken hetzelfde aangesloten als een extern USB tocuhpad.
Ik heb op de zaak een aantal 80" touch-TV's staan (voor presentaties). Die hebben een apart USB kabeltje om de touch-interface met de PC te verbinden. En op de PC moet een touchppad driver geladen worden voor de advanced functies. Zonder driver fungerd hij als een standaard USB muis en kun je niet swipen over het scherm.)
HerrPino
@sfranken13 augustus 2015 09:46
Dat hoeft ook niet fysiek. Ik heb ook, in een ver verleden (Windows 2000/XP), virtuele devices gemaakt met behulp van de Windows DDK (Driver Development Kit). Waaronder drives en een USB device. Als het USB driver model het beste past bij de oplossing van ASUS kan (of kon vroeger lig) deze er gewoon voor kiezen om een USB device driver te schrijven voor een virtueel/feitelijk niet bestaande USB device.
weballey
12 augustus 2015 21:30
Bij installeren van de patch wordt aangegeven dat ie al aanwezig is. Blijkbaar in de patchronde van gisteren al meegenomen dus.
batjes
12 augustus 2015 22:25
Mocht je vermoeden hebben dat je (of je bedrijf) hier last van heeft.
http://blogs.technet.com/...-malicious-usb-stick.aspx
SV_25
12 augustus 2015 22:34
Ik heb deze update net uitgevoerd. De taakbalk was even niet meer te gebruiken, ook toegang tot het start menu werkte hierdoor niet. Het toonde een laad-icoontje. Dit vreemd gedrag was na vijf minuten weer weg, maar toch het vermelden waard. EDIT: op windows 10 pro

[Reactie gewijzigd door SV_25 op 13 augustus 2015 11:52]

Synthiman
@SV_2512 augustus 2015 23:37
Bedankt voor de info, zou wel handig zijn als je even erbij vermeld om welke Win versie het gaat..........
Martinspire
13 augustus 2015 01:41
Is dit de hack die je altijd in films ziet en suggereert meteen een apparaat te hacken? :P
FreshMaker
@Martinspire13 augustus 2015 02:08
Voor de buitenwereld wel ...
kun je je buurman laten zien dat het echt is, dat hacken :)
ger0448
13 augustus 2015 05:43
ik had eerder een update verwacht. de lek is al 10 maanden oud. nieuws: Onderzoekers publiceren code voor manipuleren van usb-controllers
heeft de linux community al wel een patch hier voor? of is het al gefixed in de kernal?
Malarky
@likemike212 augustus 2015 19:39
-> misbruiken

Spel- en tikfoutjes - en dus *geen* andere foutjes - deel 43

[Reactie gewijzigd door Malarky op 12 augustus 2015 19:39]

ColonelPhantom
@Malarky12 augustus 2015 19:41
Of misbruikten? In de tekst staat namelijk ook ergens misbruikten.
aliberto
@likemike212 augustus 2015 19:41
Misschien loop ik achter maar dit begrijp ik niet. Vraagt om verdere verklaring anders is reactie overbodig.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee