Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 107 reacties

Microsoft zegt dat het Windows-lek dat Google maandag publiceerde actief wordt gebruikt door leden van de Strontium-groep. Dat is dezelfde groep die politieke hacks op de Verenigde Staten uitvoerde, die het land toeschreef aan Rusland.

Het gaat om 'kleine aantallen gerichte phishingaanvallen' op kwetsbare Windows-systemen, aldus Microsoft in een blogpost. Het bedrijft stelt dat gebruikers met de Anniversary Update van Windows 10 beschermd zijn tegen te aanvallen, zolang zij de Edge-browser gebruiken. Voor een succesvolle aanval maakt de Strontium-groep gebruik van twee zerodaykwetsbaarheden in Flash in combinatie met het Windows-lek. Adobe heeft al een patch uitgebracht, Microsoft zegt dit bij de volgende 'patch tuesday' op 8 november te willen doen.

Microsoft schrijft dat het verschillende threat actors in groepen indeelt en dat het gebruik van dit Windows-lek toe te schrijven is aan de Strontium-groep. Ars Technica meldt dat Microsoft deze benaming gebruikt voor dezelfde groep die ook wel bekendstaat als 'APT28' of 'Fancy Bear'. Deze groep werd bijvoorbeeld als verantwoordelijke gezien voor hacks op de Amerikaanse Democratische partij en op de Duitse Bondsdag in 2015. Microsoft meldt dat Strontium vooral bekend is van hacks op overheidsinstellingen, militaire doelwitten en daaraan gerelateerde particuliere bedrijven. Daarbij zou de groep gebruikmaken van een groot aantal zero-daykwetsbaarheden.

Voor een succesvolle aanval met de door Google ontdekte kwetsbaarheden is het vereist dat een kwaadwillende eerst het browserproces in handen krijgt via de kwetsbaarheid in Flash. Daarna kan de aanvaller het lek in de Windows-kernel gebruiken om aan de browser-sandbox te ontkomen en een backdoor te installeren op het systeem.

Google maakte het Windows-lek maandag publiekelijk bekend, tien dagen nadat het de kwetsbaarheid aan Microsoft en Adobe had gemeld. Microsoft reageerde kritisch op de publicatie, omdat deze gebruikers in gevaar zou kunnen brengen. Google verdedigde zijn beslissing door te melden dat het lek actief wordt gebruikt.

Moderatie-faq Wijzig weergave

Reacties (107)

Adobe heeft al een patch uitgebracht, Microsoft zegt dit bij de volgende 'patch tuesday' op 8 november te willen doen.
Ik vraag me af wanneer Microsoft deze IMO prehistorische manier van patchen los laat.
Dit was leuk in de tijd dat een PC nog niet verbonden was met het internet, maar nu niet meer wenselijk.
Waarom zou je dit soort patches pushen naar gebruikers. Gezien dit wijzigingen in de kernel zal aanbrengen, en security gerelateerd is, zal een herstart zeer waarschijnlijk vereist zijn.

De kernel exploit alleen wordt niet in het wild gebruikt, het wordt enkel gebruikt in combinatie met de flash exploit. Welke op de major browsers gedicht is.

Dus waarom zou je het ongemak van 400+ miljoen systemen een herstart geven als dat gewoon lekker uitgesteld kan worden tot de volgende patch tuesday zonder dat dit ook maar enige consequenties heeft.

Microsoft heeft eerder tijdens Windows 10 getracht de patch tuesdays stop te zetten, juist om gebruikers als jou tevreden te stellen met "zo snel mogelijk updates". Maar hier waren ze nog geen 2 maanden (dacht ik) later al totaal vanaf gestapt. Microsoft vind het concept zelf prettig, maar haar gebruikers ook.
Waarom? Om de gebruiker te beschermen? Het feit dat het enige gekende misbruik plaats vind in combinatie met een flash exploit betekend evenwel niet dat dit de enige manier is om het lek te misbruiken. En dankzij Google zijn er ineens een hele hoop mensen die op zoek zijn naar manieren om dit lek te misbruiken.

Windows geeft de gebruikers tegenwoordig trouwens voldoende tijd om te herstarten. Waar het in Windows 7 nog hoogstens enkele uren was kan je vandaag een herstart enkele dagen uitstellen.

Binnen bedrijven gebruikt men verder nog altijd andere manieren om patches door te sturen. Niet rechtstreeks vanuit MS, maar vanaf een eigen update server zodat men daar nog meer controle heeft over die updates.
Zo zijn er nog wel meer lekken in Windows en 3rd party software die niet gevonden zijn. Deze is wel gevonden en deze wordt actief in de gaten gehouden. Plus dat er nog een andere exploit nodig is, kan het hackers ook uitnodigen juist nu deze exploit te misbruiken, waardoor ze informatie vrijgeven dat er andere exploits zijn die gefixt dienen te worden.

Maar de afweging is voornamelijk "Met welke oplossing zorgen we voor het minste overlast". Of eerder, welke oplossing zorgt voor een minimaal gezeik jegens Microsoft. (maakt niet uit wat ze doen, gezeik krijgen ze toch)

Doorgaans, ik weet niet of het voor deze het geval is (zal zo wel even kijken anders, kan ook zijn dat deze nog niet klaar is maar verwachten dat het 1 deze dagen wel klaar is, misschien in de laatste phase QA oid), post Microsoft patches die in de wachtrij voor een patch tuesday staan, vanaf het moment dat ze beschikbaar zijn ook al op technet.

[Reactie gewijzigd door batjes op 2 november 2016 14:14]

Waarom zou je dit soort patches pushen naar gebruikers. Gezien dit wijzigingen in de kernel zal aanbrengen, en security gerelateerd is, zal een herstart zeer waarschijnlijk vereist zijn.

De kernel exploit alleen wordt niet in het wild gebruikt, het wordt enkel gebruikt in combinatie met de flash exploit. Welke op de major browsers gedicht is.

Dus waarom zou je het ongemak van 400+ miljoen systemen een herstart geven als dat gewoon lekker uitgesteld kan worden tot de volgende patch tuesday zonder dat dit ook maar enige consequenties heeft.

Microsoft heeft eerder tijdens Windows 10 getracht de patch tuesdays stop te zetten, juist om gebruikers als jou tevreden te stellen met "zo snel mogelijk updates". Maar hier waren ze nog geen 2 maanden (dacht ik) later al totaal vanaf gestapt. Microsoft vind het concept zelf prettig, maar haar gebruikers ook.
De meeste thuis PCs worden waarschijnlijk uitgezet na gebruik.
Het zelfde zou ook moeten gelden voor bedrijfs-PC als je het geld en milieu lief is.
Dus het herstarten zou voor deze geen enkele probleem zijn.
Dan zou alleen de server ee probleem zijn. In dit geval ook niet omdat op een server geen flash zou moeten staan en er niet op gesurft moeten worden, tenzij het bijvoorbeeld een Citrix server is.
De meeste thuisgebruikers (en kantoor ook veel) pleuren het ding in een slaap stand. Of de semi-hibernation state wat er sinds Win8 in zit voor snelle boot.

Dat zijn geen herstarts. De meeste echte herstarts die gebruikers uitvoeren komen door Windows Update.
De meeste thuisgebruikers (en kantoor ook veel) pleuren het ding in een slaap stand. Of de semi-hibernation state wat er sinds Win8 in zit voor snelle boot.

Dat zijn geen herstarts. De meeste echte herstarts die gebruikers uitvoeren komen door Windows Update.
De meeste thuisgebruikers die ik ken, schakelen de PC uit.
Als je en PC met SSD hebt is het voordeel van een semi-hibernation klein.
Tenzij je in een bedrijf eerst tig zaken over het netwerk moet trekken in installeren/activeren. Maar dat is bij een Thuisgebruiker zo goed als nooit het geval.
Windows 8 en 10, als je daar standaard de PC uitschakeld via het start menu, gaat het dus in die semi-hibernation. Dat moet je handmatig uitzetten, wat vrijwel niemand doet.
http://www.tenforums.com/...urn-off-windows-10-a.html
Windows 8 en 10, als je daar standaard de PC uitschakeld via het start menu, gaat het dus in die semi-hibernation. Dat moet je handmatig uitzetten, wat vrijwel niemand doet.
http://www.tenforums.com/...urn-off-windows-10-a.html
Die semi-hibernation logt vziw alle actieve desktop gebruikers uit en suspend daarna naar disk, zoals een volledige hibernate dat zou doen. Het enige voordeel is dat de startup van het OS zelf verkort wordt doordat niet de hele kernel en alle drivers en system-level services opnieuw op hoeven te starten voor een gebruiker in kan loggen met een desktop sessie.

Voor een gewone desktop gebruiker is er geen enkel functioneel verschil met een volledige herstart. (Sterker nog; als Windows updates moet installeren tijdens shutdown schakelt het deze fast-restart feature voor de eerstvolgende herstart tijdelijk uit...)

[Reactie gewijzigd door R4gnax op 2 november 2016 13:37]

Dat klopt, alle userspace meuk krijgt wel de herstart cycle. Net als de meeste Windows onderdelen.

Ik wees alleen aan dat de update herstarts toch gescheduled moeten worden. En dan kan je beter een vast maandelijks patroon schedulen dan onverwachts als je net weg moet, je laptop mee, hem snel af wil sluiten en BAM "installing update 1 of 29".

Zolang het geen ernstig lek is, is er niet echt reden om buiten de patch tuesdays om maar bij iedereen herstarts te forceren. Men zeikt al genoeg over die 1 keer per maand dat ze updates moeten instaleren.

Het veranderd in die zin functioneel het lukraak pushen van niet misbruikte exploit patches mensen meer in de weg zit dan wachten tot het gezien wordt of de patch tuesday.
Altijd de pc uit na gebruik. Komt bij dat de stroom er ook af gaat door een switch. Nooit anders gedaan.
Maakt dat uit? De herstart vindt niet plaats op een moment dat er met de pc gewerkt wordt, maar wanneer die wordt aangezet. Als het opstarten van de pc dan een keertje iets langer duurt, daar zit je de gebruikers niet echt mee dwars.
Antwoord dan gewoon niet.
Ik denk dat het de gemiddelde thuisgebruiker niet zo veel uitmaakt. Voor bedrijven is dat natuurlijk een compleet ander verhaal, maar zonder goed ingerichte WSUS omgeving en test processen ben je dan hoe dan ook al verkeerd bezig.
Daar denken de grote bedrijven met duizenden pc's toch echt heel anders over...
Daar denken de grote bedrijven met duizenden pc's toch echt heel anders over...
Daar mogen ze gerust anders over denken, en ze kunnen het intern zelf ook anders handhaven.
Ze kunnen zelf nog steeds alleen op de eerste donderdag van de maand of iedere donderdag in de week patchen. Dat staat los van wat Microsoft doet.
Dat staat het niet.

Op het moment dat een patch publiekelijk gemaakt wordt gaan er duizenden mensen wereldwijd door middel van reverse engineering achterhalen wat er precies is gewijzigd in het OS en hoe (en of) het te misbruiken is. Dus, als je die patches direct vrijgeeft, leg je extra druk op organisaties om vrijwel direct te patchen. En dat dan meerdere keren per week. Dat is geen werkbare situatie.

Vandaar Patch Tuesday.
Maar we hebben het hier over een lek dat al actief misbruikt werd. Dan is het onverantwoordelijk om toch nog steeds te willen wachten tot je volgende Patch Tuesday.
Maar we hebben het hier over een lek dat al actief misbruikt werd. Dan is het onverantwoordelijk om toch nog steeds te willen wachten tot je volgende Patch Tuesday.

Er zijn op elk moment van de dag enkele tientallen niet gepatchde bugs in Windows, Edge, Chrome, Firefox, iOS, etc die actief misbruikt worden.

Geen enkel bedrijf gaat als ene dolle kip rondrennen en meteen patches uitbrengen voor elk van die lekken.

Elke update is namelijk een potentiele kans om ook weer iets kapot te maken. Ofwel de patch zelf, maar ook niet zelden de installatie van die patch. Dat moet getest worden. Zeker bij een OS als Windows, waar honderden varianten van bestaan (elke keer als iemand besluit een optionele patch wel/niet te nemen is dat een fork van het OS), en bovendien ook nog eens interacties bestaan met tallze 3rd party systemen, is het niet zo simpel als jij stelt.

We hebbengenoeg faal-patches gezien de laatste maanden, om te hopen dat men inderdaad rustig aan doet.

Zeker omdat we ook de ernst van het lek niet weten. We weten enkel dat indien je de laatste flash hebt, er reeds geen misbruik van gemaakt kan worden. Idem als flash uitstaat. Maar wellicht ook als je EMET hebt, of als je Edge gebruikt en is de kwetsbaarheid enkel met IE of Firefox op Windows 7, maar is IE op 8.1 met zijn enhanced sandbox niet kwetsbaar. Etc. Jij weet de ernst helemaal niet. Traditioneel zijn ellevation lekken (en daar valt deze onder) niet de hoogste gevaar-categorie in Microsoft's index.

Tenslotte weten we niet eens of de patch uberhaupt al klaar was op die arbitraire 10de dag. Microsoft werkt ook aan tientallen andere patches, en enkel omdat deze in het nieuws is, is geen reden om al het andere werk te laten vallen.

Dat wil niet zeggen dat ze nooit steken laten vallen, maar het bundelen van patches is iets wat vrijwel elk bedrijf (o.a. ook Google) doet.
En er is ook al een oplossing: de patch van Adobe.

Maar nogmaals, wat mij betreft had MS de patch in dit geval gewoon vrijgegeven inderdaad want daar lijkt alle reden toe.

Of beter nog; gewoon opzouten met dat Flash :X

[Reactie gewijzigd door Glashelder op 2 november 2016 13:00]

En er is ook al een oplossing: de patch van Adobe.
Dat verhelpt de exploit waarmee op dit moment ingebroken wordt en arbitraire code als lokale user account gedraaid wordt.

De patch die MS uit zou moeten brengen is voor een exploit waarmee kernel-level toegang verkregen wordt vanuit code die onder een lokale user account draait.

De Flash exploit is in dit geval enkel een medium. Een medium wat uitgewiseeld kan worden voor andere exploits die ook het uitvoeren van arbitraire code mogeljik maken, en waarmee de kernel exploit daarna nog steeds uitgevoerd kan worden.

[Reactie gewijzigd door R4gnax op 2 november 2016 13:31]

Dat staat het niet.
Waar staat wat niet?
Op het moment dat een patch publiekelijk gemaakt wordt gaan er duizenden mensen wereldwijd door middel van reverse engineering achterhalen wat er precies is gewijzigd in het OS en hoe (en of) het te misbruiken is. Dus, als je die patches direct vrijgeeft, leg je extra druk op organisaties om vrijwel direct te patchen. En dat dan meerdere keren per week. Dat is geen werkbare situatie.

Vandaar Patch Tuesday.
Her probleem is al bekend, dus reserve engineering?
nieuws: Microsoft: vroege publicatie Windows-lek door Google vormt gebruikers...
Waar staat wat niet?
Dat staat los van wat Microsoft doet.
;)
Her probleem is al bekend, dus reserve engineering?
Ja, in dit geval wel ja. maar..
Ik vraag me af wanneer Microsoft deze IMO prehistorische manier van patchen los laat.
Veel vaker is nog helemaal niet bekend welke lekken patches precies fixen. Dus wat mij betreft gaat Microsoft lekker op deze weg door. Scheelt een hoop chaos.

In dit geval had MS de patch inderdaad wel vrij kunnen geven.

[Reactie gewijzigd door Glashelder op 2 november 2016 12:17]

Op het moment dat een patch publiekelijk gemaakt wordt gaan er duizenden mensen wereldwijd door middel van reverse engineering achterhalen wat er precies is gewijzigd in het OS en hoe (en of) het te misbruiken is. Dus, als je die patches direct vrijgeeft, leg je extra druk op organisaties om vrijwel direct te patchen. En dat dan meerdere keren per week. Dat is geen werkbare situatie.
Het is een duivels dilemma want de aanvallers worden steeds sneller. Vroeg of laat komt er een punt dat je moet kiezen tussen patchen of gekraakt worden. Uiteindelijk is dat gewoon een risco-analyse. Hoe groot is de kans dat je in een bepaalde periode (succesvol) aangevallen wordt, hoe groot is de schade en hoe verhoudt zich dat tot de kosten van vaker patchen. Hoe groter de belangen, hoe meer druk er achter zit om snel te patchen.

Daar komen we bij het volgende dilemma want grote bedrijven hebben het meeste om te beschermen maar zijn tegelijkertijd meestal log en traag. Momenteel neigen de grote bedrijven vooral naar wachten en uitstellen, maar ik verwacht dat het in de toekomst steeds meer zal verschuiven naar snel patchen.

Snel patchen is overigens nooit de hele of enige oplossing. Nog beter is het om te voorkomen dat je moet patchen door goede software te schrijven zonder fouten.

Een andere strategie om het probleem te verkleinen is om je aanvalsoppervlak te verkleinen. Is het nodig dat al je systemen op internet zitten? Kan er niet een firewall tussen? Kunnen er misschien tw firewalls tussen? Is er een andere applicatie die dezelfde functionalteit heeft maar van hogere kwaliteit is? Kunnen we het systeem virtualiseren/sandboxxen? Is het mogelijk/acceptabel om een deel van het systeem wl dagelijks te patchen? Is het acceptabel om een systeem een week uit te zetten om te wachten op een patch? Kunnen we deze service uitbesteden aan een gespecialiseerde partner in plaats van het zelf te doen?
[...]

Snel patchen is overigens nooit de hele of enige oplossing. Nog beter is het om te voorkomen dat je moet patchen door goede software te schrijven zonder fouten.

[...]
Dat klinkt wel simpel, maak maar een software pakket zonder fouten. Maar dat is natuurlijk compleet onrealistisch, geen enkel programma heeft geen bugs. En hoe ingewikkelder een programma hoe meer fouten erin zitten. Je kan niet simpelweg meer tijd nemen om bugs te patchen, je komt dan in een vicieuse cirkel van patchen en doordevelopen en dan komt het programma nooit af.

Het verdelen van de dekking van verschillende applicaties is dan weer wel een goede oplossing, tot op een bepaald gebied. Het laten praten van allemaal verschillende programmas die allemaal een kleine verschillende taak hebben is ook een hoop meer werk. En dan wordt het natuurlijk ook weer een kosten/baten plaatje voor het bedrijf. Maar het voorkomt wel goed een single point of failure (dat maar al te vaak de mail of internet blijkt te zijn)
Dat klinkt wel simpel, maak maar een software pakket zonder fouten. Maar dat is natuurlijk compleet onrealistisch, geen enkel programma heeft geen bugs. En hoe ingewikkelder een programma hoe meer fouten erin zitten. Je kan niet simpelweg meer tijd nemen om bugs te patchen, je komt dan in een vicieuse cirkel van patchen en doordevelopen en dan komt het programma nooit af.
En dat is een groot probleem dat we zo snel mogelijk moeten aanpakken. Als het andere is lapwerk. Natuurlijk is het niet mogelijk om 100% gegarandeerd foutvrije software te maken, maar het kan veel beter dan het nu is. De meeste code van nu is objectief slecht te noemen. Of we dat de programmeurs kunnen aanreken is vraag twee, maar het feit is dat onze code vol fouten zit.

Onze huizen zijn ook niet foutvrij, maar niemand hoeft twee keer in de week met een emmertje cement aan de gang om te voorkomen dat het dak instort. Die vergelijking is misschien een beetje flauw, maar mijn punt is dat we momenteel dweilen met de kraan open. De gaten komen er sneller bij dan we ze opgelost krijgen.

We zullen de ontwikkeling van onze software drastisch anders moeten gaan aanpakken om dat te doorbreken. Hoe we het fundamenteel beter moeten doen weet ik ook niet, maar we schrijven met z'n allen nog veel te veel code die zelfs niet aan de lage standaarden van vandaag voldoet.
Voor reguliere patches is patch tuesday niet echt een probleem, alleen bij dit soort patches is het eerder ontvangen van de patch wel wenselijk inderdaad. Gekke is dat MS in het verleden weleens patches eerder heeft uitgebracht vanwege het hoge risico dat gebruikers liepen (volgens mij was dat dit voorjaar een keer gebeurt). Wellicht is de patch nog in de maak of zijn ze nog aan het testen.
Voor reguliere patches is patch tuesday niet echt een probleem, alleen bij dit soort patches is het eerder ontvangen van de patch wel wenselijk inderdaad. Gekke is dat MS in het verleden weleens patches eerder heeft uitgebracht vanwege het hoge risico dat gebruikers liepen (volgens mij was dat dit voorjaar een keer gebeurt). Wellicht is de patch nog in de maak of zijn ze nog aan het testen.
Reguliere patches zijn inderdaad helemaal geen probleem. Maar ik had het over dit soort security patches.
En zoals Erik terecht aangeeft zijn die in het verleden vaker als snelle tussenpatch uitgebracht.
Het ongelooflijk brede ecosysteem waar Windows in draait maakt echter uitgebreide testen noodzakelijk voordat je een patch kunt uitrollen. 10 dagen is dan een wel erg optimistische deadline.
Kijk maar naar die Outlook patch van een jaar terug (KB3114409), was kennelijk niet goed getest. Resultaat was dat Outlook alleen nog in safe mode startte. Gelukkig was het snel bekend gemaakt en kwam het bij tijdens onze eigen testen al naar boven.
Ze hebben ook al eens buiten de patch-cyclus gepatcht: link.

Dat was voor een cht belangrijk probleem: De DRM kon omscheept worden. Voor veiligheidsproblemen kun je gewoon wachten :)

Voor non-zero-day problemen is de patch tuesday echter wel ergens zinvol. Bij het uitbrengen van een patch zul je een focus op de plek krijgen die gepatcht werd. Daardoor zijn ongepatchte systeme extra kwetsbaar. Als je de patch op 23 december uitbrengt, zullen veel systemen ungepatcht blijven, maar zijn wel extra kwetsbaar doordat de exploit snel beschikbaar zal zijn.

[Reactie gewijzigd door _Pussycat_ op 2 november 2016 15:02]

IMO is patch tuesday het beste wat ze ooit konden doen.

Volgens mij was de reden van Patch Tuesday dat de gebruikers niet elke dag/week te moeten rebooten (AKA: slechts 1 maal per maand "frustraties" van de updates, ipv elke week)

Geeft overigens andere voordelen mee:
  • Geeft microsoft/Windows Team elke maand iets om naartoe te werken. (Stuwt motivatie van personeel; Zie ook tweakers.net die elke 2 weken (?) een release doet)
  • Kun je uw tijd beter indelen en controleren (vb. Week 1 wat patchen, week 2-3 effectief patchen, week 4 testen; Release: Feestje!)
  • ...
Op mijn persoonlijke website werk ik zelf met soortgelijk systeem ;)
IMO is patch tuesday het beste wat ze ooit konden doen.

Volgens mij was de reden van Patch Tuesday dat de gebruikers niet elke dag/week te moeten rebooten (AKA: slechts 1 maal per maand "frustraties" van de updates, ipv elke week)
Ik werk gelukig niet meer met Windows. Daarom weet ik niet meer pecies hoe het nu is.
Maar 4 jaar gelden toen ik nog met Windows werkte was de frustratie dat de boot van windows systeem zolang duurde omdat er eerst veel data een Policies over het netwerk getrokken moesten worden voordat de PC geboot was. Dat kon meer dan 5minuten duren.
Ik boot nu mijn Linux PC en ik kan binnen 1 minuut werken.
Geeft overigens andere voordelen mee:
  • Geeft microsoft/Windows Team elke maand iets om naartoe te werken. (Stuwt motivatie van personeel; Zie ook tweakers.net die elke 2 weken (?) een release doet)
  • Kun je uw tijd beter indelen en controleren (vb. Week 1 wat patchen, week 2-3 effectief patchen, week 4 testen; Release: Feestje!)
  • ...
Op mijn persoonlijke website werk ik zelf met soortgelijk systeem ;)
Zo werk ik niet, zodat er een veiligheidsupdate met hoge prio is wordt deze direct genstalleerd.
Microsoft zelf vermeldt nergens Rusland, dat doet de Amerikaanse overheid. De titel is dus nogal misleidend.
Uhm, het zijn MS eigen woorden! Lees de MS bron maar eens, die hebben het over STRONTIUM, oftewel de Russische hackersgroep die door tig landen is gelinkt is aan het Kremlin.

"A research team at the Microsoft Malware Protection Center (MMPC) proactively monitors the threat landscape for emerging threats. Part of this job involves keeping tabs on targeted
attack groups, which are often the first ones to introduce new exploits and techniques that are later used widely by other attackers. One such group, which Microsoft has code-named STRONTIUM, is of particular interest because of its aggressive, persistent tactics and techniques, and its repeated use of new zero-day exploits to attack its targets."

http://download.microsoft...ent_Adversary_English.pdf

Edit/
MS linked naar een APT28 document in bovenstaande PDF.

[Reactie gewijzigd door mad_max234 op 2 november 2016 11:27]

MS zn woorden zijn toch echt dat Strontium er achter zit, zij spreken nergens over het feit dat ze Russisch zijn of niet.
Lees de referentie link ook even die MS geeft als je nog niet overtuigd bent of eerdere uitspraken van MS over dit onderwerp deed. ;)

Edit/
"STRONTIUM has been active since at least 2007. Whereas most modern untargeted malware is ultimately profit-oriented, STRONTIUM mainly seeks sensitive information. Its primary institutional targets have included government bodies, diplomatic institutions, and military forces and installations in NATO
member states and certain Eastern European countries. Additional targets have included journalists, political advisors, and organizations associated with political activism in central Asia. STRONTIUM is Microsoft’s code name for this group, following its internal practice of assigning chemical element names to activity groups; other researchers have used code names such as APT28, Sednit, Sofacy and Fancy Bear as labels for a group or groups that have displayed "

http://download.microsoft...ent_Adversary_English.pdf

[Reactie gewijzigd door mad_max234 op 2 november 2016 11:36]

Hierin is maar 1 verwijzing naar Rusland en dat is een externe link naar fireeye over een onderzoek naar apt28.

Ik geloof best dat Rusland er achter zit, maar MS claimt dit nergens en daar gaat het hier over, dat de titel van dit artikel misleidend is omdat MS nergens claimt dat Rusland er achter zit.
Precies, MS zegt alleen dat het die groep is, en linkt dan naar een pagina die de groep beschrijft. Die pagina zegt dan dat het een Russische groep is, maar MS heeft alleen maar aangegeven om welke groep het gaat.
Er staat duidelijk dat ze met hun codenaam dezelfde hackers bedoelen als fireeye met apt28. Ze linken naar een uitleg waaruit kan blijken dat het de Russische staat is. Linken op deze manier is toch echt onderschrijven van de bron, en dus claimt Microsoft toch echt dat er vermeende russische staatshackers achter zitten.

edit: typo

[Reactie gewijzigd door curumir op 2 november 2016 12:34]

Microsoft claimt dat er vermeende Russische staathackers achter zitten? De woorden 'claimt' en 'vermeend' sluiten elkaar hier uit lijkt mij.

Waar komt overigens de term staatshackers vandaan?
Het ene benoemen wil niet zeggen dat je het andere benoemt. Microsoft noemt de groep, niet het land van herkomst. En een aantal landen/organisaties denkt dat het Russisch is, maar het zijn veelal aannames die niet gestaafd zijn met concrete bewijzen.
Uhm, het zijn MS eigen woorden! Lees de MS bron maar eens, die hebben het over STRONTIUM, oftewel de Russische hackersgroep die door tig landen is gelinkt is aan het Kremlin.

"A research team at the Microsoft Malware Protection Center (MMPC) proactively monitors the threat landscape for emerging threats. Part of this job involves keeping tabs on targeted
attack groups, which are often the first ones to introduce new exploits and techniques that are later used widely by other attackers. One such group, which Microsoft has code-named STRONTIUM, is of particular interest because of its aggressive, persistent tactics and techniques, and its repeated use of new zero-day exploits to attack its targets."

http://download.microsoft...ent_Adversary_English.pdf

Edit/
MS linked naar een APT28 document in bovenstaande PDF.
Ik heb je quote een paar keer doorgelezen. Maar volgens mij staat er in, dat het Microsoft Malware Protection Center (MMPC) STRONTIUM, in de gaten houd omdat ze in het verlden vaak zero-day exploits (mis)(ge)bruikt hebben.

Kortom, er is nog geen enkele bewijs dat STRONTIUM, deze exploit (mis)(ge)bruikt.

Tevens staat nergens in je quote dat STRONTIUM een Russische groep is.

Corrigeer me a.u.b. als ik het mis heb.
Correctie:
Het zijn ltijd de Russen :P
APT28: A Window into Russia’s Cyber Espionage Operations?, FireEye, Inc., October 14, 2014, https://www2.fireeye.com/apt28.html.
Is de enige referentie, is niet eens door Microsoft zelf, is slechts een referentie naar een bron.

Het is FierEye die die link maakt, niet Microsoft.
Als ik ooit ga hacken ga ik dat sowieso doen via een computer in Rusland, dan stelt, nadat het spoor naar Rusland leidde, niemand vragen meer .
Als ik ooit ga hacken ga ik dat sowieso doen via een computer in Rusland, dan stelt, nadat het spoor naar Rusland leidde, niemand vragen meer .
Ja, want de mensen die dat soort onderzoeken doen zien dat natuurlijk meteen over het hoofd.

In tegenstelling tot je veel op Tweakers leest zijn de aanwijzingen dat Rusland, systematisch en doelbewust vanuit staatsorganen met dit soort dingen bezig is erg sterk. Ik weet wel dat het geen populair standpunt is want sinds Snowden is vooral de US hier de gebeten hond, maar je mag de feiten niet weggummen. De redenering dat Rusland wellicht niet achter de hacks zit word zwaar opgeblazen door Trump die een vreemde fascinatie heeft voor Putin maar een zelfs een voorzichtige search op het wilde web levert al voldoende informatie op om die beweringen als belachelijk af te doen. Begin maar eens hier: http://www.vox.com/world/...ssia-hacking-third-debate
'de Strontium-groep. Dat is dezelfde groep die politieke hacks op de Verenidge Staten uitvoerde, die het land toeschreef aan Rusland.'

Nee, de '17 agencies' hebben dat dus nooit gezegd. Enkel de DNC/Clinton/CNN groep blijft dat volhouden.
Lees de statements maar eens van de FBI/CIA/DOJ/NSA/DHS. Geen concrete vermoeden(s) dat het de Russische overheid erbij betrokken is.

[Reactie gewijzigd door osmosis op 2 november 2016 11:48]

Amerika is echt bezig Rusland te demoniseren. Rusland/Putin zit volgens hen echt OVERAL achter. Ondertussen wordt de spanning flink opgevoerd door de NATO richting Rusland. Ook de Nederlandse regering doet er vrolijk aan mee en koppelt een 'handelsverdrag' aan het steunen van Putin in Syrie.

En idd.. die DNC hacks worden zonder bewijs ook al toegeschreven aan Rusland.. is enkel een afleidingsmanouvre van de werkelijke inhoud van die emails..

Het is ook simpelweg het klaarstomen van het volk voor conflicten met Rusland..
Wat ik lees over deze exploit is dat je een browser nodig hebt, flash, en moet surfen naar websites en weet ik veel wat.

Dus m.a.w. is de DNC zo amateuristisch dat de persoon die de E-mail server draaide niet enkel dit op een Windows computer deed (het idee alleen al), maar dan ook nog eens op dat toestel aan het surfen was met een Flashplugin geactiveerd naar sites die dubieus zijn.

Waarom heeft hij de IIS instellingen niet zo gezet dat de directory waar de mailserver alles opslaat gewoon over HTTP te downloaden is? Dat had iedereen de moeite gespaard te moeten wachten tot hij zo dom was om met een browser naar een malafide website te klikken.

Als je voor de grootste partij van de VS de E-mail server beheert, dan hoor je niet zo incompetent te zijn. Maarja, ik heb wel vaker van die rare meningen hoor.
Deze hackmethode heeft zover ik weet niks te maken met de hack van het DNC, anders dan dat het er op lijkt dat dezelfde groep ze mogelijk gebruikt/gaat gebruiken. Zou het op deze manier gehackt zijn, zou je natuurlijk helemaal gelijk hebben...

De hack van het DNC en van Podesta zijn ook minstens twee gebeurtenissen volgens mij. Podesta is gehackt via phising door middel van een nagebootste gmail server, die van het DNC zijn verkregen door hacking en malware.

https://www.wired.com/2016/07/heres-know-russia-dnc-hack/
https://www.secureworks.c...ton-presidential-campaign
Beide partijen zijn verre van heilig en het lijstje met mogelijke landen dat erachter kan zitten is volgens mij ook niet zo heel groot. De waarheid zal zoals gewoonlijk ergens in het midden liggen.

Ik denk dat men als regering niet zomaar een ander land beschuldigt, gezien dat spelen is met vuur. Daarbij wil Russisch vuur ook nog wel eens anders om zich heenslaan dan 'wij' verwachten. Het stadium van twijfelen of je het niet doet (maar over je heen laat lopen) of een vuist maakt met misschien minder prettige gevolgen van dien, is dan al voorbij.

Over het handelsverdrag: Klassiek gevalletje 'uit principe'. Die hebben wij van Rusland ook al regelmatig 'om niks' gehad. Toen mocht er ineens geen Nederlandse kaas en tomaten en weet ik al niet wat Rusland meer in. Was het maar zo 'simpel' als Apple en Samsung een tijdje terug: Hard tegen hard in de rechtzaak, maar ondertussen wel elkaars grootste leverancier/afnemer zijn.

[Reactie gewijzigd door Dahwe op 2 november 2016 12:52]

Of... de Russische staatsdienst voert werkelijk deze cyberaanvallen uit natuurlijk. Ik weet ook niet wat waarheid is, maar schat de kans dat hier daadwerkelijk Russen achter zitten als iets groter als een demonisering van de Russen...
Lees de statements maar eens van de FBI/CIA/DOJ/NSA/DHS.
Heb je linkjes naar deze statements?
Reken maar dat die de informatie hebben van de NSA. En die hebben echt wel methoden om daar achter te komen.
De NSA geeft dat soort informatie niet publiekelijk. Net zoals de JSCU in Nederland dat soort informatie niet publiekelijk geeft. Publiek maken van dit soort informatie kan namelijk leiden tot een hoop politieke ellende en vervelende consequenties hebben op het vlak van onder meer defensie en economie.
Dit wordt natuurlijk via informele kanalen gecommuniceerd. Ze zuigen dit echt niet uit hun duim.

[Reactie gewijzigd door ArtGod op 2 november 2016 11:56]

Nu nog bewijs.
Reken maar dat die de informatie hebben van de NSA. En die hebben echt wel methoden om daar achter te komen
Tuurlijk. Net als die presentatie van Powel bij de VN van bewijsmateriaal op basis waarvan Irak werd binnengevallen. Wat achteraf een grote geconstrueerde leugen bleek om een excuus te hebben. Zoals Amerika alle conflicten sinds de Spaan-Amerikaanse oorlog is begonnen op basis van een aanleiding die later op zijn minst discutabel bleek (met uitzondering wellicht van afghanistan na 9/11, al is daar natuurlijk ook discussie over).
Nog afgezien van de opzetjes die mislukten (https://en.wikipedia.org/wiki/USS_Liberty_incident)

Ik zou toch enige voorzichtigheid in acht nemen voor je de Amerikanen op hun mooie blauwe ogen gelooft.
“They compile malware samples with Russian language settings during working hours consistent with the time zone of Russia’s major cities. While we don’t have pictures of a building, personas to reveal, or a government agency to name, what we do have is evidence of longstanding, focused operations that indicate a government sponsor – specifically, a government based in Moscow."

http://www.cbronline.com/...e-russian-hacker-4990078/

Ze werken dus tijdens Moskou kantoor uren, geen sluitend bewijs weliswaar, maar wel een hele dikke aanwijzing. Het echte bewijs gaan de veiligheidsdiensten nooit leveren want dat geeft te veel weg of hun eigen werkwijze en snufjes.
Zeker wel...
https://www.washingtonpos...3b66_story.html?tid=a_inl
The Obama administration on Friday officially accused Russia of attempting to interfere in the 2016 elections, including by hacking the computers of the Democratic National Committee and other political organizations.

The denunciation, made by the Office of the Director of National Intelligence and the Department of Homeland Security, came as pressure was growing from within the administration and some lawmakers to publicly name Moscow and hold it accountable for actions apparently aimed at sowing discord around the election.
officially accused
Rusland is hooguit een verdachte. In een nieuwsitem moet dit correct zijn.
Ze zijn officieel beschuldigd door de VS. Dat is toch ook wat beweerd wordt in de quote van osmosis? Er staat inderdaad nergens dat ze veroordeeld zijn, dat kan alleen dmv een rechtszaak.
Zeker niet...
https://www.dhs.gov/news/...-office-director-national

'However, we are not now in a position to attribute this activity to the Russian Government.'
Selective quoting ftw! Je bent echt bewust de feiten aan het verdraaien...

Jouw quote mt de zin ervoor:
Some states have also recently seen scanning and probing of their election-related systems, which in most cases originated from servers operated by a Russian company. However, we are not now in a position to attribute this activity to the Russian Government.
Jouw quote gaat over het mogelijk hacken van stemmachines, niet over de hack van o.a. de DNC.

De openingszin is echter buitengewoon duidelijk over de hack van oa. de DNC:
The U.S. Intelligence Community (USIC) is confident that the Russian Government directed the recent compromises of e-mails from US persons and institutions, including from US political organizations.

[Reactie gewijzigd door curumir op 2 november 2016 14:29]

Dit is een verslag van een statement van de regering. Wat heeft de Post en DNC/Clinton daaraan aangepast volgens jou?

Daarom, special voor jou, een link met nog 'een paar' sites die berichten over deze feitelijke gebeurtenis:
https://encrypted.google....20of%20hacking%20campaign
Wat een onzin. Bovendien wordt er een OFFICIEEL nieuwsbulletin van de Amerikaanse overheid gebruikt als bron. Je vind dezelfde beschuldiging ook gewoon op Fox:

http://www.foxnews.com/po...king-political-sites.html
Zolang ze dit soort beveiligingsupdates maar pas met "patch tuesday" uitrollen heb ik niet veel medelijden.
Het "lek", is de combinatie van 2 exploits. Die in Flash is dichtgezet, de Kernel exploit alleen wordt niet actief misbruikt. Dus waarom zou je de update (die naar alle waarschijnlijkheid een restart vereist) buiten patch tuesday om pushen?

Zorgt enkel en alleen maar voor ongemak.
Voor de Windows exploit te misbruiken hoef je gewoon toegang te hebben tot het browser process of in andere woorden de browser sandbox.

Ik denk dus dat eender welke exploit ivm Flash, Java, Silverlight misbruikt kan worden in combinatie met de Windows exploit.

Er zullen nog wel een handvol meer 0day exploits zijn die deze Windows exploit kunnen misbruiken.
Microsoft monitored eventueel misbruik op die kernel exploit. Zodra een ander gat open ligt en dan weer zo'n combinatie ontstaat wat een ernstig kritiek lek opent. Als het moet, zullen ze die patch wel pushen, maar zolang het niet moet, onnodig om mensen ongemak te geven.

Die andere 0 day exploits zullen ook wel weer op hun beurt hun eigen zero days in Windows gebruiken, dus daar bereik je ook weer niets mee.

Dat andere exploits deze nu ook kunnen gaan gebruiken, is volledig te wijten aan Google.
Maar als ze het monitoren, waarom zou het dan erg zijn dat Google hem gepublisht heeft?

Ik vind het juist goed dat Google dit doet, want niemand zegt dat Microsoft niet hetzelfde mag gaan doen. Beter alle exploits op tafel gooien en met grote resources de exploit wel moeten fixen inplaats van wat ze nu uitspoken, uitstellen en muggeziften.

Oh en trouwens weet je ook niet wat Microsoft in die 10 dagen heeft gedaan na de disclosure. Ik ben er vrijwel zeker van dat Google gewoon de standaard "We are working on it" antwoord terugkreeg.
Maar als ze het monitoren, waarom zou het dan erg zijn dat Google hem gepublisht heeft?
Omdat dat enkel het risico vergroot. Google het het ook gewoon 8 november pas vrij kunnen geven.
Ik vind het juist goed dat Google dit doet, want niemand zegt dat Microsoft niet hetzelfde mag gaan doen. Beter alle exploits op tafel gooien en met grote resources de exploit wel moeten fixen inplaats van wat ze nu uitspoken, uitstellen en muggeziften.
Alleen is de ene exploit de andere niet. Naast dat het fixen van exploits regelmatig wat langer duur dan enkel 10 dagen. En die tijd gaat niet zo zeer zitten in het programeren of het verzinnen van een oplossing (alhoewel een oplossing verzinnen soms nog best pittig is).

Maar ruklaak exploits vrijgeven is niet gezond, daar is niemand bij gebaat. Dat er wat druk achter gezet wordt, snap ik volledig. Bij veel bedrijven mag dat ook wel.

Het is een kwestie van kosten en baten. Is het het waard om een patch halsoverkop te pushen welke zeker niet voldoende getest is (10 dagen voor kernel wijzigingen is niets). Of dat er op je gemakje even kan kijken of de patch niet eventueel voor 100miljoen mensen de boel lam legt.

Zolang de exploit niet actief misbruikt wordt, wat in het geval van de losse kernel exploit de situatie is. Wat is dan de zorg dat het zo snel mogelijk gepatched wordt? Het ernstig kritieke onderdeel van deze lek, waar Google zo'n heisa over maakt. Is sinds 27 oktober gefixt.
Oh en trouwens weet je ook niet wat Microsoft in die 10 dagen heeft gedaan na de disclosure. Ik ben er vrijwel zeker van dat Google gewoon de standaard "We are working on it" antwoord terugkreeg.
Vorig jaar deed Google dit geintje ook, toen is er van Google uit naar Microsoft toe, na de eerste melding geen communicatie meer geweest. MS heeft toen zelf contact gezocht met Google, waar Google niet eens op antwoorde.

Nu weet ik de correspondentie tussen deze 2 in dit geval niet (zal in de toekomst wel weer naar buiten komen...misschien), maar geschiedenis herhaalt zich, dus ik ga er voor het gemak van uit dat er geen correspondentie is geweest buiten de initiele melding. Deels ook op basis van het feit dat Google hamert dat Microsoft geen hol uitvreet terwijl -schijnbaar- links en rechts overal Windows machines gehacked worden. Terwijl de methode van die hack, dmv flash het systeem binnen dringen.... Al gedicht was op 27 oktober. Als Google ook maar enigsinds moeite van hun kant genomen had richting deze melding jegens Microsoft, dan hadden ze geweten dat die patch voor Edge en IE er al was.
Zolang ze dit soort beveiligingsupdates maar pas met "patch tuesday" uitrollen heb ik niet veel medelijden.

De vraag is of ze al klaar waren. In 10 dagen een patch maken en testen en de patch daarna ook als update beschikbaar maken, en deze update dan ook testen (dat laatste vergeten mensen - want er zijn honderden Windows varianten) voor een OS met meer dan een miljard gebruikers is niet iets dat je 'even' doet.

Plus dat talloze mensen en organsiaties andersom al geklaagd hebben, wanneer er een update komt buiten de normale patch cycle.
effe quoten:
''' Het bedrijft stelt dat gebruikers met de Anniversary Update van Windows 10 beschermd zijn tegen te aanvallen, zolang zij de Edge-browser gebruiken''."

dat is nou zelf promotie om edge aan te dringen bij gebruikers.
zijn andere browsers dan niet safe?
google crome, firefox, maxthon (5.0 beta). safari.
Google Chrome blokkeert bepaalde system calls, dus daar zou het in ieder geval ook geen probleem bij moeten zijn.

Mogelijk dat Microsoft het over Internet Explorer heeft.

Ik geloof dat die quote ook een beetje uit zijn verband getrokken is, en meer een algemene 'tip' is van Microsoft zelf. Zo raar is dat niet lijkt mij, ze willen graag hun eigen browser promoten.

[Reactie gewijzigd door hmmmmmmmmmpffff op 2 november 2016 11:38]

IE is ook gepatched.

Natuurlijk promoten ze hun eigen software, ze hebben controle over Edge, dus ook zelf garantie dat het inderdaad veilig is voor die exploit. Die garantie kunnen ze natuurlijk niet bieden voor 3rd party software, dus dat kunnen ze in deze context niet aanraden.
IE is ook gepatched.
Kun je hier a.u.b. een Microsoft) link als ondersteuning geven?

Dat mensen een +1 geven voor een reactie waar geen enkel bewijs in staat begrijp ik niet. 8)7
This security update is rated Critical. The update addresses the vulnerabilities in Adobe Flash Player by updating the affected Adobe Flash libraries contained within Internet Explorer 10, Internet Explorer 11, and Microsoft Edge. For more information, see the Affected Software section.
https://technet.microsoft...ry/security/ms16-128.aspx

Die +1 komt omdat ik meestal wel bewijs heb maar echt geen zin heb om voor elke comment het er maar bij te zoeken. Ik heb het ook gepost in het andere nieuws bericht waar het top comment is.
RSpanjaard in 'nieuws: Microsoft: vroege publicatie Windows-lek door Google v...

[Reactie gewijzigd door batjes op 2 november 2016 12:19]

Dank je wel.
Die +1 komt omdat ik meestal wel bewijs heb maar echt geen zin heb om voor elke comment het er maar bij te zoeken. Ik heb het ook gepost in het andere nieuws bericht waar het top comment is.
RSpanjaard in 'nieuws: Microsoft: vroege publicatie Windows-lek door Google v...
IMO heel erg dom want je bent ook een mens die fouten kan maken, ook al heb je het tot nu toe altijd goed.

Waarom geef je niet de link naar je top post?
Klopt, als ik ook maar een beetje twijfel krijg terwijl ik typ, zoek het doorgaans wel snel even op :)

Ik had me eerder dit jaar ook al betrapt op zo'n foutje, waar ik gelukkig op gewezen ben dus ik let er ook wat beter over op. Maar ik hoor graag als ik het mis heb. Ik heb zeker niet altijd gelijk ofzo, maar in topics waar die tag naast mijn naam komt, let ik er wel een stuk beter op, als ik twijfel en geen bron kan vinden, post ik daar meestal ook niets.

Maar gezien ik deze discussies gister ook al gevoerd had, zat het nog vers in het geheugen. Ik probeer meestal wel een bron erbij te pakken, maar vaak is het probleem ook dat ik veel info van msdn/technet blogs e.d. af heb.... En lang niet alles bookmark, het is echt pittig om jaren oude artikelen weer terug te vinden(helemaal sinds MS een jaar geleden hun site verbouwd heeft en een boel oude links gewoon niet meer werken en de insite search is echt super ruk). Ik heb ook niet altijd de tijd, zin of moeite om ze erbij te zoeken.

Die post is een beetje een warboel, ik moet echt wat beter leren schrijven :P
Simpele logica is niet genoeg: Edge is veilig en gebruikt Flash in Windows, waarom zou Internet Explorer dan niet veilig zijn voor een lek in Flash, terwijl het dezelfde Flash gebruikt?
Simpele logica is niet genoeg: Edge is veilig en gebruikt Flash in Windows, waarom zou Internet Explorer dan niet veilig zijn voor een lek in Flash, terwijl het dezelfde Flash gebruikt?
Omdat Edge een betere sandbox bevat die de Flash exploit de mogelijkheid ontneemt om arbitraire code uit te voeren als lokale user.
Simpele logica is niet genoeg: Edge is veilig en gebruikt Flash in Windows, waarom zou Internet Explorer dan niet veilig zijn voor een lek in Flash, terwijl het dezelfde Flash gebruikt?
Niet slim om in dit geval alleen op logica te vertrouwen, om zeker te zijn t.a.v. veiligheid heb je bewijs of een aanbeveling van de fabrikant nodig.
@batjes had het al onderbouwd.
batjes in 'nieuws: Microsoft: vermeende Russische staatshackers misbruiken ze...
Op een aanbeveling van een fabrikant moet je kunnen vertrouwen.
Blijkbaar zit het lek alleen in de flash plugin van firefox, chrome enz. en niet in de flash welke ze in edge gebruiken. Of ze hebben deze al gepdatet of MS weet iets wat de rest niet weet dat kan ook natuurlijk.
Uhm, dit is gewoon net hetzelfde als dat Microsoft zou zeggen dat als met EMET gebruikt dat men veilig is. Wat is er zo vreemd aan om een veilige configuratie voor te stellen? En sinds Microsoft geen controle heeft over andere browsers en de versie van Flash die die browsers gebruiken is dit het enige wat ze kunnen zeggen.
Volgens een video van NCIX (ik weet dus niet of het klopt) had Google ook bekend gemaakt dat bij gebruik van Chrome geen gevaar bestaat. Ik dacht ik zet er dit ook even bij ter discussie.
Het gaat om 'kleine aantallen gerichte phishingaanvallen' op kwetsbare Windows-systemen, aldus Microsoft in een blogpost. Het bedrijft stelt dat gebruikers met de Anniversary Update van Windows 10 beschermd zijn tegen te aanvallen, zolang zij de Edge-browser gebruiken. Voor een succesvolle aanval maakt de Strontium-groep gebruik van twee zerodaykwetsbaarheden in Flash in combinatie met het Windows-lek. Adobe heeft al een patch uitgebracht, Microsoft zegt dit bij de volgende 'patch tuesday' op 8 november te willen doen.
:)

Zoals in het vorige bericht, blijkbaar houdt Microsoft het wel degelijk allemaal erg goed in de gaten, wie denkt Google dat ze zijn.

Nu de 2de keer dat Microsoft de bal terugkaatst en laat zien dat ze hun shit gewoon in orde hebben.
[...]


:)

Zoals in het vorige bericht, blijkbaar houdt Microsoft het wel degelijk allemaal erg goed in de gaten, wie denkt Google dat ze zijn.

Nu de 2de keer dat Microsoft de bal terugkaatst en laat zien dat ze hun shit gewoon in orde hebben.
Hun shit in orde hebben? Ze brengen hun shit pas op 8 november uit.

Volgens mij is onze gedachte van in orde hebben anders.
De kernel exploit wordt niet actief misbruikt op het moment, dus waarom zouden ze die patch moeten pushen buiten patch tuesdays om?

Ze hebben al een patch voor Flash/Edge/IE gepushed buiten de patch tuesday om die het misbruikte lek dichtgooit.

De kernel fix kan misschien wat meer tijd nodig hebben gehad en niet gelijk met de flash fix naar buiten zijn gebracht. En om nu een dag of 2 later weer een herstart update te pushen, terwijl je zonder enige consequenties ook lekker kan wachten tot de patch tuesday. Wat er tevens voor zorgt dat Microsoft de quality check wat beter kan uitvoeren, gezien dit de kernel betreft, mag dat ook wel. Als de browser door zo'n quickfix stuk gaat, is tot daaraan toe.
De kernel exploit wordt niet actief misbruikt op het moment, dus waarom zouden ze die patch moeten pushen buiten patch tuesdays om?
Dat is IMO een opmerking van het niveau. Mijn systeem kan niet gehackt worden.
Het enige dat gezegd kan worden dat de het niet bekend is dat deze exploit misbruikt worden.
Binnen de blackhats zullen ze heel actief werken aan exploits die dit lek misbruiken kan.
Vandaar vind ik het erg dom dat Microsoft zo laks is met het releasen van deze patch.
Ze hebben al een patch voor Flash/Edge/IE gepushed buiten de patch tuesday om die het misbruikte lek dichtgooit.

De kernel fix kan misschien wat meer tijd nodig hebben gehad en niet gelijk met de flash fix naar buiten zijn gebracht. En om nu een dag of 2 later weer een herstart update te pushen, terwijl je zonder enige consequenties ook lekker kan wachten tot de patch tuesday. Wat er tevens voor zorgt dat Microsoft de quality check wat beter kan uitvoeren, gezien dit de kernel betreft, mag dat ook wel. Als de browser door zo'n quickfix stuk gaat, is tot daaraan toe.
Binnen de.Linux community worden zaken ovr het algemeen veel sneller gepatcht /getest en released.
Waarom Microsoft dit niet kan begrijp ik niet, of is het ook zo'n logge bureaucratische organisatie.
Dat is IMO een opmerking van het niveau. Mijn systeem kan niet gehackt worden.
Het enige dat gezegd kan worden dat de het niet bekend is dat deze exploit misbruikt worden.
Binnen de blackhats zullen ze heel actief werken aan exploits die dit lek misbruiken kan.
Vandaar vind ik het erg dom dat Microsoft zo laks is met het releasen van deze patch.
Het wordt gemonitored, de patch staat dus klaar. MS neemt nu gewoon de tijd om wat extra quality assurance uit te voeren, en dat is geen slechte opvatting. Ik heb liever een goed geteste fix dan wat hak en plak werk.

Zodra MS die exploit in het wild misbruikt ziet worden, kunnen ze die patch gewoon pushen. En dat zullen ze ook wel doen. De deur voor het lek hebben ze ook dichtgezet met een patch buiten de dinsdag om.
Binnen de.Linux community worden zaken ovr het algemeen veel sneller gepatcht /getest en released.
Waarom Microsoft dit niet kan begrijp ik niet, of is het ook zo'n logge bureaucratische organisatie.
Patch tuesday is een keuze.

Microsoft kwam ermee omdat hun -voornamelijk- zakelijke klanten het zat waren dat ze elke paar dagen zich bezig moesten houden met updates. Microsoft kwam daarop met het patch tuesday idee, zodat je maar 1 keer per maand om hoeft te kijken naar updates. Dit sloeg aan, dit heeft men wat beter uitgewerkt, zodat kritieke patches bv gewoon buiten om gepushed kunnen worden (wat 27 oktober dus gebeurde, ik heb een dag, mis 2 erna, ook patches geinstalleerd). Tijdens het begin van Windows 10, wou Microsoft juist van het concept afstappen, deels omdat Windows 10 een rolling release werd, door gewoon te updaten wanneer het klaar was. Maar hier waren de gebruikers (voornamelijk zakelijk) gewoon niet blij mee, die hebben zelfs in Microsoft communities protesten gestart voor het behoud van de patch tuesday. Het vrijgeven van patches geeft gewoon zijn ongemakken, vooral in het beheer ervan, want in een organisatie ga je niet klakkeloos patches uitrollen. Dat moet getest worden. Men vind updaten klote, men doet het liever niet, het zorgt voor extra werk. En het alternatief is dat mensen uit frustatie de updates uitschakelen (wat veel gebeurde aan de consumenten kant), of dat ze maar 1 keer per X maanden de updates gaan uitrollen (wat weer veel voorkwam aan de zakelijke kant). Door het een beetje te sturen, kan op deze manier de meeste mensen tevreden houden, het minste ongemak bieden en toch de hele bende zo up 2 date mogelijk houden.
(Ik heb hier zo geen bron van, heb ik van MSDN af als ik het me goed herinner, zal mis wel een bron van zijn).

En daarom hebben we Patch Tuesday.

[Reactie gewijzigd door batjes op 2 november 2016 13:01]

Laks? Wat had jij gezegd als ze die patch nu hadden uitgebracht en je systeem ermee onderuit haalde? Dan was het zeker ook niet goed? Je gaat gewoon veel te kort door de bocht hier. Het is niet zo simpel als gewoon even patchen en uitsturen. Er komt vl meer bij kijken. En ik denk dat je ook een beetje een illusie voor hebt dat Linux zo snel is met bepaalde zaken te patchen.
En ik denk dat je ook een beetje een illusie voor hebt dat Linux zo snel is met bepaalde zaken te patchen.
Nee, dat is mijn ervaring, geen illusie.

Kom a.u.b. niet met deze link.
nieuws: Ontwikkelaars verhelpen oude Linux-kwetsbaarheid die rechten kan verh...

Dat heeft IMO niets met fixen te maken. Maar eerder met zaken uit het oog verliezen of vertrouwen op andere zaken in de Kernel die het probleem oplosten, die dan mogelijk later verwijderd zijn? Iets dat zeker geen schoonheidsprijs verdient.
Maar deze bug was heel snel gefixed toen deze op de radar was.
Een illusie dus. Ook leuk dat je ook dus blijkbaar selectief alleen de patches wilt horen die wel binnen aanzienbare tijd gefixed zijn, maar de keren dat het fout gaat "ho nee, dat is net erg, kan eens gebeuren". Het is niet de eerste keer dat jaren oude, zelfs bekende, gaten in Linux gedicht worden. Als jij echt denkt dat Linux zo snel is met het fixen van ieder gat, dan zijn er twee opties: of te wel vergis jij je, oftewel hebben ze bij Linux geen aandacht voor complexere problemen. Iets zegt met dat optie 2 niet het geval is.
Een illusie dus. Ook leuk dat je ook dus blijkbaar selectief alleen de patches wilt horen die wel binnen aanzienbare tijd gefixed zijn, maar de keren dat het fout gaat "ho nee, dat is net erg, kan eens gebeuren".
Nee, ik wil alle problemen horen. Maar t.a.v. de door mij genoemde link zijn een aantal zaken niet duidelijk.
Het lijkt als ik daar alle email lees dat het probleem afgevangen werd door een ander deel in de kernel.
Wat IMO niet de reden kan en mag zijn om het probleem op de juiste plaats in de kernel ook te patchen.

Microsoft heeft een gelijksoortig probleem gehad: nieuws: Vijf jaar oude Windows-bug duikt opnieuw op

Een probleem dat gefixed was en later weer opdook.
Het is niet de eerste keer dat jaren oude, zelfs bekende, gaten in Linux gedicht worden. Als jij echt denkt dat Linux zo snel is met het fixen van ieder gat, dan zijn er twee opties: of te wel vergis jij je, oftewel hebben ze bij Linux geen aandacht voor complexere problemen. Iets zegt met dat optie 2 niet het geval is.
Kom dan a.u.b. met informatie over bekende gaten in de kernel die pas zeer laat gepatcht werden?

T.a.v. oude bugs in Windows:
nieuws: Microsoft repareert 17 jaar oude bug in Windows
nieuws: Vijf jaar oude Windows-bug duikt opnieuw op

Geen aandacht voor complexe problemen, aan de kant van Microsoft?
Microsoft heeft echter meer zin om een goed geteste patch uit te brengen voor een exploit die op een normaal systeem niet meer werkt dan nu zonder nadenken een patch uit te brengen die zonder fatsoenlijk testen op 1.5 miljard systemen wordt genstalleerd. Google was waarschijnlijk zelfs nog op de hoogte dat een patch gepland stond voor 8 november.
Nu de 2de keer dat Microsoft de bal terugkaatst en laat zien dat ze hun shit gewoon in orde hebben.
Nee, toch niet. Je hebt maandag nog gepost van Microsoft op 27 oktober hier een patch voor heeft uitgebracht. Nu, twee dagen later, blijkt dat Microsoft de patch nog niet eens heeft uitgerold en dat pas 8 november gaat doen.

Wat is het nou dan? Is die patch nou al wel uitgerold naar eindgebruikers of niet?
Dat is de exploit in de kernel, wat afzonderlijk van de flash exploit. Wat -nog- niet in het wild gespot is.

Het lek van maandag was een combinatie van 2 exploits, zoals een lek wel vaker gebruik maakt van meerdere exploits om zo binnen te komen. Het belangrijkste is die deur weer dichtzetten. Daarna kan je het huis verbouwen zodat het veiliger wordt.

Men is momenteel met een geupdate Windows niet vatbaar voor het kritieke lek wat Google gemeld heeft, want dat zit in de browsers, en zowel Chrome, Edge, Firefox als IE (10 en 11) zijn gepatched.
Wij kunnen er denkelijk wel vanuit gaan dat GCHQ en NSA hier al geruime tijd gebruik van maken.
Ik heb Flash al een tijdje uit m'n leven verbannen, en in Chrome staat het automatisch uit. Althans, ik kan er voor kiezen om het in te schakelen, mocht de site Flash bevatten. :)
Alle lekken worden nooit op tijd verholpen er zullen altijd wel mensen zijn die er misbruik van gaan maken.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True