Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties

Microsoft heeft tijdens zijn maandelijkse patchronde een kritiek lek verholpen in de print spooler-dienst van Windows, dat het op afstand uitvoeren van code mogelijk maakt. Daarnaast heeft het bedrijf kwetsbaarheden opgelost in Office, Internet Explorer en Edge.

Het lek in de print spooler, bekend als cve-2016-3238, kon ervoor zorgen dat een aanvaller bijvoorbeeld kwaadaardige printerdrivers kan aanbieden op het moment dat gebruikers verbinding maken met een printer, door de originele driver te vervangen. De kwaadaardige driver kan vervolgens code op systeemniveau uitvoeren. De ontdekker van de kwetsbaarheid stelt dat deze het voor aanvallers mogelijk maakt om naar verschillende hosts in een netwerk uit te breiden, omdat deze eenvoudig te herhalen is. Daarom zou het lek zeer geschikt zijn om een gerichte aanval uit te voeren die moeilijk te detecteren is.

De aanvaller kan een printer overnemen door gebruik te maken van een van de vele kwetsbaarheden die in deze apparaten aanwezig zijn, of door bijvoorbeeld in te loggen met standaardgegevens, zo legt het beveiligingsbedrijf Vectra uit. De aanval is ook mogelijk zonder dat de aanvaller zich al in het netwerk bevindt, bijvoorbeeld doordat hij een kwaadaardige webpagina opzet die de driver via het Internet Printing-protocol aflevert.

Ook pakte Microsoft kritieke lekken in Office en Flash aan. De lekken in de browsers maakten het in het ergste geval mogelijk om op afstand code uit te voeren, als de gebruiker een kwaadaardige website bezocht. Hetzelfde gold voor het lek in Office, dat gebruikers blootstelde aan aanvallen via Office-bestanden. De zwakke plek in Secure boot heeft niet het niveau van een kritieke kwetsbaarheid, maar wordt door Microsoft als 'belangrijk' aangemerkt. Het stelde een aanvaller in staat om Secure Boot te omzeilen door een affected policy te installeren. Daarvoor was wel fysieke toegang of beschikking over beheerdersrechten vereist.

In de patchronde heeft Microsoft bovendien een update voor MSRT uitgebracht, waarmee detectie voor de veelvoorkomende Cerber-ransomware is toegevoegd. De malware was in de afgelopen dertig dagen verantwoordelijk voor een kwart van alle infecties door ransomware op Windows-machines.

Moderatie-faq Wijzig weergave

Reacties (61)

Voor de volledigheid, het lek in de print spooler betreft security bulletin MS16-087, en treft alle ondersteunde Windows versies, dus van Windows Vista tot en met 10, inclusief de respectievelijke server-varianten.

Het gaat overigens om 2 lekken die gefixed worden, niet alleen het de genoemde CVE-2016-3238, maar ook CVE-2016-3239 wordt ermee opgelost. De eerste is Critical, de tweede is Important, een gevaarklasse lager.

[Reactie gewijzigd door wildhagen op 13 juli 2016 12:01]

De Critical, update lost eigenlijk niks op er komt alleen een waarschuwing in beeld bij ongesigneerde drivers. Eigenlijk zou een virus scanner de driver moeten scannen en eventueel blokkeren.
The update addresses the vulnerability by issuing a warning to users who attempt to install untrusted printer drivers.
Oftewel we leggen het probleem nu bij de gebruiker neer. Waarom zou ms in vredesnaam unsigned printer drivers accepteren?

Is er een use case voor een unsigned custom printer driver?
Volgens mij kost het signeren van drivers (en software) gewoon best wel wat geld. Zal voor je random HP printer niet zo boeiend zijn maar ik houd zelf graag de regie over welke drivers ik kan installeren.
Je hebt als ontwikkelaar niet altijd de middelen om daar geld aan uit te geven.

[Reactie gewijzigd door Alpha Bootis op 13 juli 2016 13:45]

En dus moet dat het probleem van de eind/thuisgebruiker worden?

Zoals we eerder hebben kunnen zien met het windows 10 upgrade verhaal is een waarschuwing absoluut niet voldoende. Zeker niet als het gaat om veiligheid.
Windows wordt door meer gebruikt dan alleen bij consumenten thuis. En vooral daar worden veel 'eigen' producten gebruikt. Die wellicht niet gesignd zijn.

Door de deur dicht te gooien voor mensen die hun eigen printers maken
(lees: 'printerdrivers', meestal zijn de apparaten die je aanstuurt labelprinters, of fabrieksdingen die je via een printer-driver aanstuurt, maar ook een pdf printer bijvoorbeeld) is MS veel potentiële klanten kwijt.
Dan moeten ze het wat moeilijker maken. OSX vereist een extra bevestiging door een handeling die normaal niet wordt gedaan bijvoorbeeld. Dit is gewoon het standaard riedeltje waarbij je 1 keer extra op OK moet klikken.
Het OS dicht hameren is ook geen optie, dan jaag je alle power users weg. Dat zijn uiteindelijk ook de users met de grootste vinger in de pap aangaande waar welke software geïmplementeerd wordt.
Bovendien is je OS dan ook nog steeds niet veilig.

Daarnaast, als je concrete waarschuwingen negeert vind ik dat overigens niet iets waar beleid of software op aangepast zou moeten worden.
Dat is gewoon je eigen schuld en dus verantwoordelijkheid. Je bent een volwassen persoon dus een beetje verantwoordelijkheid mag wel.
Je kan mensen dom houden door steeds je software aan te passen tot je er bij neervalt, je kan ook mensen opvoeden door ze maar eens ergens last van te laten hebben.
Software moet naast fatsoenlijk te beargumenteren veiligheidskeuze's uiteindelijk ook bruikbaar blijven en dat krijg je niet door alles in kooitjes te gooien waar er 0,0 mogelijkheid is om buiten te treden.

[Reactie gewijzigd door Alpha Bootis op 14 juli 2016 10:36]

Dat zijn uiteindelijk ook de users met de grootste vinger in de pap aangaande waar welke software geïmplementeerd wordt.
is dat zo ja? Kan me haast niet voorstellen dat deze groep voor zoiets kleins moeilijk gaat doen als de optie er nog wel is om eenmalig dergelijke installaties toe te staan.
Het uitsluiten van niet gesigneerde software en drivers vind ik geen klein ding.
Jij gebruikt niet veel open source/gratis software denk ik? Niet iedereen heeft exact dezelfde use case als waar jij je argumentatie op baseert.

[Reactie gewijzigd door Alpha Bootis op 14 juli 2016 10:38]

Ik zeg niet volledig uitsluiten ik zeg dat het een extra handeling moet vereisen als sign of intent. Dat je weet waar je mee bezig bent. Rechtsklikken op icon en dan op openen/uitvoeren klikken bijvoorbeeld. Of via een panel in instellingen dat je eenmalig goedkeuring kan geven.
Je originele post suggereerde iets anders.
Als mensen een pop-up kunnen weg klikken kunnen ze ook rechter klikken en zo de boel passeren. Wat ze ongetwijfeld gaan doen als die veiligheidsmethodiek er voor zorgt dat ze iets niet kunnen wat ze wel willen.
Dus wat voor concreet verschil gaat dat opleveren met hoe de situatie nu is?

Ik vind het vrij duidelijk. Je krijgt gewoon een scherm, waar letterlijk in staat dat je iets niets moet uitvoeren als je geen concreet vertrouwen hebt in de bron waar je het uit bemachtigd hebt, omdat Microsoft de software niet kent.
Dat mensen zo'n melding negeren is een gebruikersprobleem, niet een softwareprobleem. Ik denk niet dat je dat er uit kan programmeren door het knopje waar je op moet klikken te verplaatsen.

[Reactie gewijzigd door Alpha Bootis op 14 juli 2016 10:50]

Dat werkt heel goed hoor. Ik merk zelf ook wel eens dat ik een applicatie wil openen en gatekeeper dat niet toestaat waardoor ik op de knopjes druk en me na 2 keer afvraag eaarom er niets gebeurt. Als ik dan dus die extra handeling moet uitvoeren ga ik me toch wel afvragen waarom office 2016 niet signed is door MS en dus tot veilige software behoort.

Die waarschuwing (weet u zeker dat u dit wilt doen) is nooit een goede geweest. Net als dat in installatieprocedures iedereen op volgende klikt en klakkeloos de algemene boorwaarden accepteerd.

Het kan dus wel degelijk de mindset veranderen daar mensen nu actief moeten nadenken over wat ze doen.
Volgens mij kost het signen van code helemaal niet zoveel. Ik heb het laatst een uitgezocht en wat ik vond ik dat een EV certifcaat voor code signing van een door MS goedgekeurde certificaat boer voldoende is. Kosten uit mijn hoofd 200 tot 300 euro per jaar.

In het verleden koste het signen van drivers door MS wel een bepaald bedrag per OS familie, maar dit heeft MS al enige tijd geleden laten varen.
Ik heb in het verleden gecertificeerde drivers ontwikkeld voor windows 7/2012 en het signen van drivers was nooit het kostbare deel, maar WHQL certificering wel! WHQL is dat het product en driver door microsofts quality labs word geanalyseerd en getest. Dat is aanzienlijk duurder en tijdrovender. Er is een moment geweest dat ze of overwogen WHQL verplicht te stellen of het tijdelijk ook gehad heben als eis. dat speelde rond windows vista een beetje dacht ik. Uiteindelijk hebben ze besloten alleen het certificaat te vereisen.

Voor 200 tot 300 euro ben je inderdaad klaar! Je bedrijf, persoon word gevalideert middels een telefoontje en daarmee is de driver dus een soort traceerbaar. Echter kan voordat je licentie verloopt ook je bedrijf failiet gaan of worden opgeheven, telefoonnummer en gekoppelde persoon onvindbaar zijn en kunnen er nog steeds nieuwe drivers gemaakt worden.

Als driver op kernel niveau kun je ook overal bij, geld er geen protected memory space meer.

Echter als ik het artikel lees word er untrusted gezegd, dat kan verder gaan dan alleen unsigned. Het kan zijn dat microsoft een lijst bijhoud met trusted en/of untrusted parties/drivers waartegen geconroleerd word?

Echter heb ik ook wel goedkope hardware gehad met unsigned drivers waar in de handleiding vrolijk staat dat je al dergelijke meldingen moet negeren en wegklikken. 9 uit de 10 mensen doen dit waarschijnlijk ook. zeker als het iets is van dealextreme wat het niet waard is om nog terug te sturen bijvoorbeeld of waarvan je weet dat de fabrikant het toch niet gaat oplossen. Het is geen ijzersterke verdediging inderdaad, maar het is allicht beter dan helemaal geen melding!
Heeft MS niet een paar jaar geleden alle kosten voor het WHQL programma laten vallen? Zie ook: https://blogs.msdn.micros...n-submission-fees-update/

Volgens mij is untrusted trouwens hetzelfde als niet gecertificeerd. Als je een unsigned driver wil installeren krijg je n.l. ook altijd de vraag of je driver X van bedrijf Y vertrouwd.

[Reactie gewijzigd door Dennism op 14 juli 2016 08:03]

Je kunt unsigned drivers toch op hoog niveau (in een enterprise omgeving) laten blokkeren? Thuis wil je wel dat je evt. oude drivers kunt forceren
Thuis zou je dergelijke dingen juist niet willen omdat er vaak geen supervisie is die kan zeggen dat een bepaalde driver wel of niet goed is. Denk aan een random echtpaar wat geen IT kennis heeft maar wel een document of foto moet printen. Die moet dan toch gewoon een veilige driver hebben voor hun printer? Dit is het probleem van de fabrikant en ms. De fabrikant moet er voor zorgen dat hun driver signed is. Remote code execution op driver level (en dus root) is zeer gevaarlijk.
Remote code execution op driver level (en dus root) is zeer gevaarlijk.
Het nadeel van een monolitische kernel (net als bij Linux / Mac OS X* overigens) en achteraf een ontwerpfout: Een printer-driver kan op die manier bij alles, dus ook bij alle USB webcam / microfoon / geluidskaart communicatie terwijl die daar eigenlijk natuurlijk geen toegang toe zou moeten hebben.

*Ed: Ik weet het, Mac OS X is op papier "hybride" microkernel, maar heeft in de praktijk 1 kernel en slechts 1 monolitische server voor alle processen, dus heeft het probleem ook.

[Reactie gewijzigd door kidde op 13 juli 2016 15:53]

Het grote verschil is alleen dat Linux en OS X de driver zelf al hebben (CUPS) en extra besturingsbestanden voor een Printer zelf intern ophalen.

Externe installatie is dan dus niet nodig en de kans op malicious drivers is daardoor een stuk lager. Bij windows moet je voor alles zowat een losse driver binnenhalen.
Voor iedereen die het artikel liever wilt lezen in plaats van de video bekijken: http://blog.vectranetwork...inter-wateringhole-attack
Ik dacht dat Microsoft die maandelijks patchronde had afgeschaft sinds Windows 10? Of moet dat nog komen?
Patch Tuesday is zeker niet afgeschaft.

Waren ooit wel plannen voor, maar zover is het nog (lang) niet.

Afschaffen lijkt me overigens niet wenselijk, het is nu voor systeembeheerders iig overzichtelijk, zodat het updaten van de omgeving beter te doen is. Als er elke dag een patch kan uitkomen, zou er meerdere keren per week onderhoud op de omgeving geplanned moeten worden. Niet echt hanig zeg maar ;)
Het slaat eigenlijk nergens op, updates moeten uitkomen wanneer ze klaar zijn, niet omdat het de zoveelste dinsdag in de maand is. Wanneer de updates dan geïnstalleerd worden moet de systeembeheerder zelf maar weten.
Het slaat eigenlijk nergens op, updates moeten uitkomen wanneer ze klaar zijn, niet omdat het de zoveelste dinsdag in de maand is. Wanneer de updates dan geïnstalleerd worden moet de systeembeheerder zelf maar weten.
Leuke gedachte, maar bij grote bedrijven moeten patch rollouts ver van tevoren ingepland worden.
Dan is het dus handiger als dat van tevoren bekend is.
Code rood patches vormen uiteraard de uitzondering.
Hi, die zijn van te voren bekend.
Ongeveer op het gelijke moment dat ik de CCERT meldingen zie, komt er ook bericht langs van de externe partner dat de patch set getest kan worden met de business applicaties. Dat is dus de Microsoft patch set die via de zero-touch deployment tooling gedistribueerd wordt.
Omdat grote bedrijven geen rolling updates voor elkaar krijgen moet de rest ook maar wachten. Vreemde wereld waarin we leven als it' ers.
Als het om updates van veiligheidslekken gaat, dan gaat het meestal om lekken die of niet actief misbruikt worden, of om lekken waarvan aannemelijk is dat alleen de melder de werking ervan weet. Al kan je dat laatste nooit 100% garanderen natuurlijk. De installatie van die updates mogen best even uitgesteld worden.

Bij echt kritieke lekken die ook misbruikt worden, levert Microsoft vaak een oud-of-band patch die dus buiten Patch Tuesday geleverd wordt.

Dus ja je hebt gelijk, maar dit is een goede afweging tussen veiligheid en manageability. Van elke dag updaten wordt je als organisatie - zeker de wat grotere - absoluut niet vrolijk.
Omdat je alles moet testen neem ik aan? Draai het gewoon om: afdeling x heeft pakket y nodig. Dan zijn zij verantwoordelijk voor deugdelijke software die een update overleeft. Als ze dat niet kunnen/willen dan komt het er niet of ze betalen 1 fte bij it om hun pakketje te onderhouden.
Het slaat eigenlijk nergens op, updates moeten uitkomen wanneer ze klaar zijn, niet omdat het de zoveelste dinsdag in de maand is. Wanneer de updates dan geïnstalleerd worden moet de systeembeheerder zelf maar weten.
Weten wanneer je updates verwachten kan maakt de planning van onderhoud etc wel veel makkelijker hoor. Wij doe dat altijd op Woensdag omdat dan de Dinsdag updates meteen meegenomen worden.
Ik hack dan ook het liefst op donderdag zodat ik 6 dagen mijn gang kan gaan 😇
Patch tuesday is onzin. Systeembeheerders kunnen prima alle verzamelde patches op een tijdstip installeren dat het hun uit komt, daarvoor hoeft MS ze echt niet van de rest van de wereld te onthouden.
Bovendien is niet iedere systeembeheerder hetzelfde. Ze zitten echt niet allemaal te wachten op systemen met bugs die al weken bekend zijn en door hackers misbruikt worden. Onze ubuntu servers installeren iedere nacht security updates. Is wel zo veilig...
dat wil ik zien, in het midden van de nacht even onze systemen om zeep komen helpen die ook dan moeten werken. Neen, netjes gegroepeerd op een dag en getest door onszelf voor we die uitrollen.
Yup, rolling release over het serverpark. Automatische regressietest en stop de rollout bij falen. Scheelt heel wat handenarbeid die nu zinnig ingezet kan worden.
Zodra een patch uitkomt zijn er mensen die de wijzigingen analyseren en daardoor achter de kwetsbaarheid komen. Dan zijn degenen die de patches opsparen kwetsbaar.
Juist Windows 10 Enterprise had nu toch een update branch for business waar updates 4 maanden gedelayed worden speciaal voor systeembeheerders? Gooi de normale gebruiker dan op instant upgrades, bedrijven kunnen heel easy op een tragere upgrade branch met volle support nog.
Dat gaat om features die toegevoegd worden als ik me niet vergis. En die mogelijkheid is ook voor consumenten beschikbaar.
Als je een omgeving hebt waar het problemen veroorzaakt kan je perfect een WSUS server opzetten en je patches op die manier groeperen. Nu zijn de vele thuisgebruikers er de dupe van omdat een patch moet blijven liggen tot patch tuesday (tenzij je voor de amerikaanse overheid werkt).
Volgens mij worden kritieke lekken zsm gedicht, ongeacht of er een maandelijks patchronde is of niet.
Out-of-band updates komen wel voor, maar zeer zeker niet voor iedere kritiek lek. Veel kritieke lekken worden pas op Patch Tuesday gefixed.

Volgens mij is het criteria voor een Out-Of-Band patch met name of er al exploits voor zijn, en of deze in de praktijk al gesignaleerd zijn.
Ook voor Windows 10 komen maandelijks patches uit. Die hebben dan de vorm "Cumulatieve Update voor Windows 10 (version 1511)"
Is ook afgeschaft maar enkel voor W10. Bij W10 zie je ook regelmatig buiten de patch tuesday updates binnenkomen. Patch Tuesday is nog steeds belangrijk voor de andere producten
Ze zijn er eigenlijk wel degelijk vanaf gestapt om slechts maandelijks met updates te komen. Maar iedere 2de dinsdag van de maand is wel altijd een datum waarop updates worden vrijgegeven, het verschil is dat er nu ook andere (willekeurige) datums zijn. Die tweede dinsdag van de maand wordt nog altijd gebruikt voor beveiligingsupdates, maar zo nu en dan geeft Microsoft ook door de maand een update vrij die uitsluitend bugs oplossen die niet security-gerelateerd zijn, verder houden de grote updates, zoals versie 1511 en 1607, zich ook niet aan de tweede dinsdag van de maand.
Wat is MSRT? Zit dat in een gewone W10 Home of is dat iets extra?
Mss een beetje off topic: is die Windows Defender voldoende als antivirus voor W10?
AV test ziet wel verbetering in Windows Defender. Maar het blijft nog steeds (stukken) minder goed dan een aparte virus scanner: https://www.av-test.org/en/compare-manufacturer-results/
Die voor Windows 10 haalt maar 3 van de 6 punten..50% ...

[Reactie gewijzigd door [Yellow] op 13 juli 2016 13:27]

Microsoft zet veel in op prevalence. Zie bijv. deze blog. Als dat wordt meegewogen in de testen, bijvoorbeeld in deze, scoort Defender een stuk hoger.
MSRT is de Microsoft Windows Malicious Software Removal Tool en helpt om diverse veel voorkomende malware te verwijderen.

Het is GEEN antiviruspakket, want het wordt eenmalig uitgevoerd, en blijft daarna niet actief.
In de video wordt uitgelegd dat de driver van de printer komt. Dit klopt in 99% van de gevallen niet. De printer driver komt bijna altijd van een printserver. In de video wordt uitgelegd dat een hacker de printerdriver op de printer aanpast door de printer te hacken, of door de default credentials te gebruiken.

De 3e optie werkt volgens mij altijd, en dat is het spoofen van een printer op het netwerk. Hierbij moet de gebruiker dan wel connectie maken met \\printserver\share voordat dit werkt. Als je standaard een printer opzoekt zie je deze dus niet.
Lekker op tijd! Bij ons is dit vorige week gebeurt. Zorgt deze patch ervoor dat alles weer netjes wordt rechtgezet?
Ik zou me eerst eens zorgen gaan maken over het feit dat men van buiten af je netwerk binnen zijn gekomen. Dit is wel het minste issue.

[Reactie gewijzigd door Wim-Bart op 13 juli 2016 16:51]

Wel bijzonder dat die hackers wel de printer kunnen vinden....
Printers (of Multifunctionals beter gezegd) draaien tegenwoordig een redelijk uitgebreid OS op de hardware. Ze bevatten gewoon een moederbord, RAM, een HDD, CPU en grafische processor. Dus het is feitelijk hacken van een computer, dus niet zo bijzonder ;)
It's a joke! "Cannot find printer" "it's over there you stupid piece of machine! Look"
Gaan ze ook nog een keer wat aan de klok doen die sinds Windows 10 altijd verkeerd staat? Dit gebeurde op mijn HTPC na de Windows 10 upgrade.

Ik heb alles gedaan wat op internet staat (Services aanpassen, users bij services aanpassen, registry aanpassen, time servers aanpassen, auto tijd uitzetten), maar niets helpt, elke keer na opstarten staat hij weer verkeerd.

Hoe moelijk kan het zijn dat zo'n basic iets niet eens werkt? Bij startup moet er gewoon gekeken worden ergens wat voor een tijd het is (want uit de Bios/Uefi halen is blijkbaar te moeilijk) maar dat gebeurt gewoon niet, ook al staat er 'Automatic' in de services.
Ik heb nog geen enkele keer een foute tijd gezien bij windows 10.is het apparaat wel verbonden met het internet ?
Ja, is verbonden met het internet. En de stekker zit overigens ook in het stopcontact.

Op 10 andere Windows computers/laptops geen last. Maar dit is wel bizar. Het schijnt vaak voor te komen: https://www.google.nl/search?q=windows+10+time+always+wrong
Alles geprobeerd van die oplossingen. Maar niets helpt in mijn geval van die ene computer.
Welke tijd staat er in de BIOS ingesteld?
Die staat op 2 uurtjes eerder dan de echte tijd hier ingesteld. Maar dat zou er niet toe mogen doen, want in Windows staat de tijd altijd een uur of 5 of 8 verkeerd, en ik heb ook nog eens gezegd dat de time en timezone van de server moeten worden gehaald. Vreemd...
Vind wel vreemd dat ik meer dan gig aan ruimte kwijt ben. Die updates zijn toch niet zo groot?
Je kunt natuurlijk beginnen door de Group Policy "Point and Print Restrictions" eens goed in te stellen:

- Users can only Point and Print to these servers (lijstje met trusted printservers)
of
- Users can only point and print to machines in their Forrest

Staan ook nog een paar andere security prompts in.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True