Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbug in Windows 10 kan computers laten crashen

Door , 56 reacties

Universiteitsonderzoekers hebben bekendgemaakt dat in Windows 10 een geheugenbug zit die tot een beveiligingsrisico kan leiden als een computer data uitwisselt met een smb-server. Als er verbinding wordt gemaakt met een malafide smb-server, kan de Windows 10-client crashen.

Dit hebben softwareontwerpers van de Carnegie Mellon Universiteit naar buiten gebracht. Het gaat specifiek om het smb-netwerkprotocol, dat onder meer gebruikt wordt voor bestandsverkeer met een server en om verbinding te maken met printers in een netwerk. Voor zover bekend heeft Microsoft nog geen oplossing voor het beveiligingslek gepresenteerd.

De onderzoekers melden dat een denial of service kan optreden op zowel volledig geüpdatete Windows 10-systemen als volledig bijgewerkte systemen met Windows 8.1. Naast het risico op vastlopende en onbruikbare computers brengt de bug een veiligheidsrisico met zich mee. De wetenschappers melden dat niet duidelijk is of de kwetsbaarheid de mogelijkheid biedt voor aanvallers om verder te gaan dan een denial-of-serviceaanval.

Reacties (56)

Wijzig sortering
Ehmm maar ik mag er toch vanuit gaan dat je enkel SMB verbindingen legt met trusted systemen. Hoe zou je dat als kwaadwillende moeten doen dan? Bovendien werkt SMB niet over internet bij de meeste providers.
Simpel, als je WiFi verbinding maakt met een tot-dan-toe onbekende hotspot en je per ongeluk "Thuisnetwerk" of "Bedrijfsnetwerk" i.p.v. "Openbare Netwerk" aanklikt, ben je er al :Y

Bestand- en printer-delen-services gaan aan en beginnen alles wat aan het netwerk vast zit te proben. Er hoeft maar 1 gemene device tussen te zitten en dan is het al feest.

[Reactie gewijzigd door RoestVrijStaal op 3 februari 2017 16:54]

Bestand- en printer-delen-services gaan aan en beginnen alles wat aan het netwerk vast zit te proben. Er hoeft maar 1 gemene device tussen te zitten en dan is het al feest.
Tenzij je de betreffende services uitschakelt in de instellingen van de wifi adapter. Welk netwerk dan ook gekozen wordt, het werkt dan niet.

Natuurlijk kan je ze wel ingeschakeld laten op de virtuele interface van een VPN.
Eerlijk gezegd kan je dat inderdaad simpel noemen, maar de impact van het lek is toch beperkt denk ik.

Je kan het zo zien: als je zelf een SMB server op iemands netwerk kan krijgen, en hem zover kan krijgen op een linkje te klikken, dan kan dat linkje ook een link naar het afsluiten van je computer, een malafide script dat je op de SMB server hebt gezet, een script dat bestanden kopieert naar jouw SMB server of wat dan ook zijn. De toegevoegde waarde van deze bug is dan heel beperkt.

Natuurlijk kan je bedenken dat iemand zijn systeem heel goed beveiligd heeft tegen alles behalve deze bug (maar dan zal het netwerk vast ook degelijk beveiligd zijn), maar de kans dat dit doorslaggevend in een hack zal zijn lijkt me heel gering.

Doorslaggevend is dat je met een malafide SERVER moet verbinden en data moet uitwisselen. Een client die met jou verbind via SMB is niet genoeg. Proben ook niet (zover ik weet).

[Reactie gewijzigd door Niet Henk op 3 februari 2017 19:37]

Het introduceren van een rogue server in een netwerk kan op verschillende manieren. Malware op een client of een apparaatje in een slecht beveiligde en/of fysiek toegankelijke switch poort (desk van de receptionist...) is al voldoende.
Iemand overtuigen een SMB server te gebruiken is zoveel als iemand op een link laten klikken of een of andere DNS hijack uit te voeren.
Allemaal niet onoverkomelijk, de bijkomende vraag is wl of kwetsbare omgevingen niet ook op andere manieren eenvoudiger of beter toegang toestaan.
Mij lijkt dit inderdaad een randscenario voor een targeted attack, maar het heeft geen zin alles te beveiligen behalve tegen zulke lastige scenario's. Een oplossing is dus sowieso nodig.
Dat denk ik dan ook. Een kwaadwillende kan ook zomaar de stekker uit je computer trekken als 'ie fysiek toegang heeft. Of een switch uitzetten.

Als crashen het enige is, ach, dan valt 't nog wel mee. Wel irritant, maar nauwelijks een kwestie van 'beveiliging'.
Het kan natuurlijk ook een decoy worden.

Als het systeem van meerdere personeelsleden ineens zonder reden volledig crashed heeft de IT departement ineens werk onsite te doen. Chaos creeren is goed om andere dingen ongestoord te kunnen doen. Er is dan ineens niemand meer die op je let.
Ach, ik heb ooit (1999?) op een tokenring-netwerk een handjevol PC's gepoogd tegelijk te installeren met een Ghost image. Wist ik veel wat het vinkje 'multicast' zou doen. Dus ik dat aanzetten, gelijk 30 PC's die bluescreens gaven (Windows NT4). Good old days.
Welke versie van SMB?
CIFS? 2.0 of 3.0?
SMBv3 als ik me het herinner
Dus terugvallen op SMB 2.0 is een temporary fix?

-edit-
Het lijkt juist een probleem van SMB 2.0 te zijn, volgens het artikel in de link.

[Reactie gewijzigd door Trommelrem op 3 februari 2017 19:13]

Mogelijk is het bij SMBv3 dan ook mogelijk omdat het de tree functie van SMBv2 overneemt?

Ik weet dat de PoC over SMBv3 gaat: https://github.com/lgandx...er/SMBv3%20Tree%20Connect
Ik vraag me af of je nou voornamelijk omlaag gemod bent omdat je het waagt een grapje te maken bij een topic waar de 'serieuze IT-er' (die zichzelf te serieus neemt more like) zich begeeft... of vanwege je bizar slechte smaak, SMB 2 is best geinig maar 3 is vl beter :+
16 keer ongewenst.. De meeste IT'ers zijn precies geen gamers :-\
het lijkt alsof de laatste 2 zinnen van het verhaal elkaar tegenspreken
"een kwaardwillende kan beheerdersrechten krijgen"
en
"het is niet bekend of de aanvaller verder kan gaan dan een dos aanval"
of begrijp ik het verkeerd?
Je begrijpt het goed, de auteur heeft een foutje gemaakt. Het eerste is niet waar, het tweede wel.
Ik vind het altijd wel wat hebben. Dit soort informatie al blootgeven terwijl er nog geen oplossing is..
Er wrdt ook nergens gezegd dat er ooit een melding tegen Microsoft is gemaakt. Jammer weer...
Er wordt ook nergens gezegd dat er geen melding naar Microsoft is gemaakt. Microsoft heeft geen lijst van gerapporteerde bugs die nog niet zijn opgelost in hun bugbounty, en rapporteren gaat via email. Maar dit is een zeroday die 2 dagen terug de ronde deed op Twitter. Het lijkt me vrij stug dat iemand een zeroday publiek maakt wanneer MS er ook grof geld voor betaalt (of anders een ander). Ga er maar van uit dat MS het inmiddels wel weet

[Reactie gewijzigd door anargeek op 3 februari 2017 17:29]

Dat is ook weer zo inderdaad..
Gisteren kreeg ik opeens uit het niets een melding op mijn laptop dat mijn HDD's gencrypt waren.
En als ik mijn bestanden weer wil hebben, eerst mag gaan betalen.
Eerste keer ooit dat ik dit mee gemaakt heb, kan dat hier wat mee te maken hebben ?...
Inmiddels is het al weer opgelost, ik ben na de melding gelijk naar schijfbeheer gegaan namelijk en mijn D schijf geformatteerd.
Na dat dit gedaan was tijdelijk mijn lap even van uit gelaten, en na de tijd heb ik er gelukkig geen last meer gehad.

Hoezo een min -1, is wat vragen verbonden tegenwoordig ofzo

[Reactie gewijzigd door SSDtje op 3 februari 2017 17:36]

Wat jij beschrijft is Ransomware. Dat heeft niks met het lek uit dit artikel te maken, maar speelt al vele jaren.

Is vaak te voorkomen door een goede virusscanner te draaien (dus niet alleen MSE/Windows Defender, die komt niet goed uit de diverse tests), en niet op onbekende attachments etc te klikken.
Uh Windows defender komt juist beter uit bij tests. Een extra virus scanner zorgt alleen voor meer problemen. Dit was ook in een artikel eergisteren hier op Tweakers.

nieuws: Voormalig Firefox-ontwikkelaar: verwijder je antivirussoftware

[Reactie gewijzigd door Iva Wonderbush op 3 februari 2017 17:41]

Uh Windows defender komt juist beter uit bij tests.
Eh, helaas niet.. Kijk de laatste test van AV Comparatives maar eens, of die van AV Test. Bij beiden scoort MSE/Defender steevast in de onderste regionen.
Een extra virus scanner zorgt alleen voor meer problemen.
Dat klopt, maar als je een 3rd party produkt installeert, disabled MSE/Defender zichzelf automatisch ;)
Ik vind de resultaten een beetje krom.

Protection against 0-day malware attacks, oke, heet niet voor niets zero day, deze problemen worden doorgaans door andere Windows onderdelen opgevangen worden en zullen daar gefixt worden, en dat gaat MS niet via lapwerk in WD patchen. Dat trekt op av-test.org de hele score omlaag. Want onder het kopje "Detection of widespread and prevalent malware discovered in the last 4 weeks " scoort WD net zo goed als de overige AV's met een score van 99,8%. Met een industry average van 99,0%.

AV Comparatives is verdacht stil over het gebruik van het OS behalve
The products had Internet/cloud-access during the test, were last updated on the 1st of September 2016 and tested under Microsoft Windows 10 64-Bit
Ik weet dat in het verleden er een aantal AV tests geweest zijn, rond het moment dat MSE van een top scorende AV omlaag zakte naar de bodem, dat ze enorm hebben lopen spelen met de scores, maar ook bv een Windows 7 gebruikte zonder UAC en die al minstens een half jaar niet geupdate was.

Sindsdien moet je echt niet meer kijken naar de "gemiddelde score" van de AV's. Je moet even de statistieken induiken en het verhaal wordt duidelijker.

[Reactie gewijzigd door batjes op 3 februari 2017 18:42]

Hm, weer wat geleerd. Danku!
Dat is niet waar, het disabled zich niet automatisch maar dit moet je aangeven in Action Center (of de anti-virus vraagt dit tijdens setup in omslachtige manier). De normale Windows Defender is niet super maar al eens naar de Forefront variant gekeken voor zakelijk gebruik? Daarnaast als men een script/macro in een bestand uitvoert dan is er vaak sowieso geen houden meer aan.
Ik was er ook al lang van op de hoogte, dat dit al langer gebeurd, maar het was voor mijzelf de eerste keer dat ik het meemaakte, en ben hoe dan ook blij dat ik er vanaf ben.
Ook al staat er nooit wat belangrijks op mijn laptop, maar toch.
Ik schrok er toch even van.
en ben hoe dan ook blij dat ik er vanaf ben.
Als je er daadwerkelijk vanaf bent. Je D-schijf was misschien geencrypt, maar dat betekent niet dat er niet ergens anders op je pc nog wat rond dwaalt.
Het overkwam me op een al wat oudere laptop, er stond/staat niks belangrijks op.
Ik gebruik em alleen voor het afspelen van muziek, en soms wat browsen.
Thuis gebruik ik alleen mijn desktop.
Het overkwam me bij een goeie vriend thuis, dus gelukkig niet op mijn eigen thuis verbinding.
Cryptomalware. Waarschijnlijk malafide bestanden gedownload?
"Waarschijnlijk malafide bestanden gedownload?"
Niet dat ik weet, maar zeg nooit nooit natuurlijk.
Ik doe niet aan torrents, en klik nooit op, voor mijzelf ogende wearde/vage reclames.
Sterker nog, ik klik nooit op reclames eigenlijk.
Dus ik zou het je niet kunnen zeggen waar het aan gelegen heeft
Vaag mailtje van de Rabobank o.i.d. geopend misschien?
Ik heb inmiddels een reactie geplaatst op je vraag, alleen met me'n dome kop niet op reageren geklikt bij je, je kunt hem hier verder naar boven dus vinden ;)
Mijn fout.
Hoezo een min -1, is wat vragen verbonden tegenwoordig ofzo
Het is extreem off-topic. Je begint zomaar midden in een thread over een lek in SMB bij Win10 over een probleem van jouw computer dat ook nog eens niets te maken heeft met het onderwerp.
ik heb er zelf geen last van, SMB + SMB 3.0 + SMB direct +Net BIOS en file sharing + alle overbodige protocols . Staan forceer uitgeschakeld via de register Zelfs mijn computer naam is niet meer herkenbaar op het netwerk.

Via autorun kun je vrijwel alle opstart services drivers/services uitschakelen.

[Reactie gewijzigd door mysterieworld op 3 februari 2017 18:43]

Dan mis jij gewoon functionaliteit, voor velen geen optie. Vooral SMB Direct kan echt hele goede performance realiseren voor storage, zelfs meer dan SATA.
Nope, ook geen vaage mailtjes geopend.
Als ik een mailtje niet vertrouw, dan gaat i zoals het hoort, direct de prullenbak ik.
Naast via email kan het tegenwoordig ook via Flash of Java binnenkomen, en nee je hoeft niet op reclame te klikken hiervoor.
Top, duidelijk.
Het zal dan wel via een van deze wegen binnen gekomen zijn.
Thx :)
De blue screen of death is er dus nog :p
Naast het risico op vastlopende en onbruikbare computers brengt de kwetsbaarheid een veiligheidsrisico met zich mee; aanvallers kunnen met beheerdersrechten een willekeurige code uitvoeren in de Windows-kernel.
It is not clear at this point whether this vulnerability may be exploitable beyond a denial-of-service attack.
By causing a Windows system to connect to a malicious SMB share, a remote attacker may be able to cause a denial of service or potentially execute arbitrary code with Windows kernel privileges.

Er is mogelijk sprake van het uitvoeren van code, maar dat is nog helemaal niet zeker.
Het heeft niks met een update te maken, de bug zit er zowiezo al in blijkbaar, zelfs met volledig gepdate versies van Windows.
Staat ook in het artikel h. Dat er nog geen oplossing is geboden zover bekent.
Het probleem zit niet in een specifieke update, dus dat is niet echt een issue dit keer...

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*