Beveiligingsbug in Windows 10 kan computers laten crashen

Universiteitsonderzoekers hebben bekendgemaakt dat in Windows 10 een geheugenbug zit die tot een beveiligingsrisico kan leiden als een computer data uitwisselt met een smb-server. Als er verbinding wordt gemaakt met een malafide smb-server, kan de Windows 10-client crashen.

Dit hebben softwareontwerpers van de Carnegie Mellon Universiteit naar buiten gebracht. Het gaat specifiek om het smb-netwerkprotocol, dat onder meer gebruikt wordt voor bestandsverkeer met een server en om verbinding te maken met printers in een netwerk. Voor zover bekend heeft Microsoft nog geen oplossing voor het beveiligingslek gepresenteerd.

De onderzoekers melden dat een denial of service kan optreden op zowel volledig geüpdatete Windows 10-systemen als volledig bijgewerkte systemen met Windows 8.1. Naast het risico op vastlopende en onbruikbare computers brengt de bug een veiligheidsrisico met zich mee. De wetenschappers melden dat niet duidelijk is of de kwetsbaarheid de mogelijkheid biedt voor aanvallers om verder te gaan dan een denial-of-serviceaanval.

Reacties (56)

mkools24 3 februari 2017 16:33

Ehmm maar ik mag er toch vanuit gaan dat je enkel SMB verbindingen legt met trusted systemen. Hoe zou je dat als kwaadwillende moeten doen dan? Bovendien werkt SMB niet over internet bij de meeste providers.

RoestVrijStaal @mkools24 • 3 februari 2017 16:52

Simpel, als je WiFi verbinding maakt met een tot-dan-toe onbekende hotspot en je per ongeluk "Thuisnetwerk" of "Bedrijfsnetwerk" i.p.v. "Openbare Netwerk" aanklikt, ben je er al

Bestand- en printer-delen-services gaan aan en beginnen alles wat aan het netwerk vast zit te proben. Er hoeft maar 1 gemene device tussen te zitten en dan is het al feest.

[Reactie gewijzigd door RoestVrijStaal op 22 juli 2024 18:56]

The Zep Man

Microsoft
Besturingssystemen
Microsoft Windows

@RoestVrijStaal • 3 februari 2017 17:53

Bestand- en printer-delen-services gaan aan en beginnen alles wat aan het netwerk vast zit te proben. Er hoeft maar 1 gemene device tussen te zitten en dan is het al feest.

Tenzij je de betreffende services uitschakelt in de instellingen van de wifi adapter. Welk netwerk dan ook gekozen wordt, het werkt dan niet.

Natuurlijk kan je ze wel ingeschakeld laten op de virtuele interface van een VPN.

Niet Henk @RoestVrijStaal • 3 februari 2017 19:34

Eerlijk gezegd kan je dat inderdaad simpel noemen, maar de impact van het lek is toch beperkt denk ik.

Je kan het zo zien: als je zelf een SMB server op iemands netwerk kan krijgen, en hem zover kan krijgen op een linkje te klikken, dan kan dat linkje ook een link naar het afsluiten van je computer, een malafide script dat je op de SMB server hebt gezet, een script dat bestanden kopieert naar jouw SMB server of wat dan ook zijn. De toegevoegde waarde van deze bug is dan heel beperkt.

Natuurlijk kan je bedenken dat iemand zijn systeem heel goed beveiligd heeft tegen alles behalve deze bug (maar dan zal het netwerk vast ook degelijk beveiligd zijn), maar de kans dat dit doorslaggevend in een hack zal zijn lijkt me heel gering.

Doorslaggevend is dat je met een malafide SERVER moet verbinden en data moet uitwisselen. Een client die met jou verbind via SMB is niet genoeg. Proben ook niet (zover ik weet).

[Reactie gewijzigd door Niet Henk op 22 juli 2024 18:56]

the_stickie @mkools24 • 3 februari 2017 17:01

Het introduceren van een rogue server in een netwerk kan op verschillende manieren. Malware op een client of een apparaatje in een slecht beveiligde en/of fysiek toegankelijke switch poort (desk van de receptionist...) is al voldoende.
Iemand overtuigen een SMB server te gebruiken is zoveel als iemand op een link laten klikken of een of andere DNS hijack uit te voeren.
Allemaal niet onoverkomelijk, de bijkomende vraag is wél of kwetsbare omgevingen niet ook op andere manieren eenvoudiger of beter toegang toestaan.
Mij lijkt dit inderdaad een randscenario voor een targeted attack, maar het heeft geen zin alles te beveiligen behalve tegen zulke lastige scenario's. Een oplossing is dus sowieso nodig.

DigitalExorcist @mkools24 • 3 februari 2017 16:45

Dat denk ik dan ook. Een kwaadwillende kan ook zomaar de stekker uit je computer trekken als 'ie fysiek toegang heeft. Of een switch uitzetten.

Als crashen het enige is, ach, dan valt 't nog wel mee. Wel irritant, maar nauwelijks een kwestie van 'beveiliging'.

supersnathan94 @DigitalExorcist • 4 februari 2017 23:07

Het kan natuurlijk ook een decoy worden.

Als het systeem van meerdere personeelsleden ineens zonder reden volledig crashed heeft de IT departement ineens werk onsite te doen. Chaos creeren is goed om andere dingen ongestoord te kunnen doen. Er is dan ineens niemand meer die op je let.

DigitalExorcist @supersnathan94 • 5 februari 2017 07:57

Ach, ik heb ooit (1999?) op een tokenring-netwerk een handjevol PC's gepoogd tegelijk te installeren met een Ghost image. Wist ik veel wat het vinkje 'multicast' zou doen. Dus ik dat aanzetten, gelijk 30 PC's die bluescreens gaven (Windows NT4). Good old days.

Trommelrem 3 februari 2017 17:27

Welke versie van SMB?
CIFS? 2.0 of 3.0?

smiba @Trommelrem • 3 februari 2017 17:53

SMBv3 als ik me het herinner

Trommelrem @smiba • 3 februari 2017 19:10

Dus terugvallen op SMB 2.0 is een temporary fix?

-edit-
Het lijkt juist een probleem van SMB 2.0 te zijn, volgens het artikel in de link.

[Reactie gewijzigd door Trommelrem op 22 juli 2024 18:56]

smiba @Trommelrem • 3 februari 2017 19:56

Mogelijk is het bij SMBv3 dan ook mogelijk omdat het de tree functie van SMBv2 overneemt?

Ik weet dat de PoC over SMBv3 gaat: https://github.com/lgandx...er/SMBv3%20Tree%20Connect

Finraziel

Microsoft

@Ge0force • 4 februari 2017 09:46

Ik vraag me af of je nou voornamelijk omlaag gemod bent omdat je het waagt een grapje te maken bij een topic waar de 'serieuze IT-er' (die zichzelf te serieus neemt more like) zich begeeft... of vanwege je bizar slechte smaak, SMB 2 is best geinig maar 3 is véél beter

Ge0force @Finraziel • 4 februari 2017 11:21

16 keer ongewenst.. De meeste IT'ers zijn precies geen gamers :-\

bartje 3 februari 2017 16:37

het lijkt alsof de laatste 2 zinnen van het verhaal elkaar tegenspreken
"een kwaardwillende kan beheerdersrechten krijgen"
en
"het is niet bekend of de aanvaller verder kan gaan dan een dos aanval"
of begrijp ik het verkeerd?

RedPixel @bartje • 3 februari 2017 17:24

Je begrijpt het goed, de auteur heeft een foutje gemaakt. Het eerste is niet waar, het tweede wel.

iVoidstep 3 februari 2017 16:34

Ik vind het altijd wel wat hebben. Dit soort informatie al blootgeven terwijl er nog geen oplossing is..

Stoelpoot @iVoidstep • 3 februari 2017 16:44

Er wrdt ook nergens gezegd dat er ooit een melding tegen Microsoft is gemaakt. Jammer weer...

anargeek @Stoelpoot • 3 februari 2017 17:28

Er wordt ook nergens gezegd dat er geen melding naar Microsoft is gemaakt. Microsoft heeft geen lijst van gerapporteerde bugs die nog niet zijn opgelost in hun bugbounty, en rapporteren gaat via email. Maar dit is een zeroday die 2 dagen terug de ronde deed op Twitter. Het lijkt me vrij stug dat iemand een zeroday publiek maakt wanneer MS er ook grof geld voor betaalt (of anders een ander). Ga er maar van uit dat MS het inmiddels wel weet

[Reactie gewijzigd door anargeek op 22 juli 2024 18:56]

iVoidstep @Stoelpoot • 3 februari 2017 17:40

Dat is ook weer zo inderdaad..

SSDtje

3 februari 2017 17:16

Gisteren kreeg ik opeens uit het niets een melding op mijn laptop dat mijn HDD's geëncrypt waren.
En als ik mijn bestanden weer wil hebben, eerst mag gaan betalen.
Eerste keer ooit dat ik dit mee gemaakt heb, kan dat hier wat mee te maken hebben ?...
Inmiddels is het al weer opgelost, ik ben na de melding gelijk naar schijfbeheer gegaan namelijk en mijn D schijf geformatteerd.
Na dat dit gedaan was tijdelijk mijn lap even van uit gelaten, en na de tijd heb ik er gelukkig geen last meer gehad.

Hoezo een min -1, is wat vragen verbonden tegenwoordig ofzo

[Reactie gewijzigd door SSDtje op 22 juli 2024 18:56]

wildhagen

Besturingssystemen
Microsoft Windows

@SSDtje • 3 februari 2017 17:18

Wat jij beschrijft is Ransomware. Dat heeft niks met het lek uit dit artikel te maken, maar speelt al vele jaren.

Is vaak te voorkomen door een goede virusscanner te draaien (dus niet alleen MSE/Windows Defender, die komt niet goed uit de diverse tests), en niet op onbekende attachments etc te klikken.

Iva Wonderbush @wildhagen • 3 februari 2017 17:39

Uh Windows defender komt juist beter uit bij tests. Een extra virus scanner zorgt alleen voor meer problemen. Dit was ook in een artikel eergisteren hier op Tweakers.

nieuws: Voormalig Firefox-ontwikkelaar: verwijder je antivirussoftware

[Reactie gewijzigd door Iva Wonderbush op 22 juli 2024 18:56]

wildhagen

Besturingssystemen
Microsoft Windows

@Iva Wonderbush • 3 februari 2017 17:45

Uh Windows defender komt juist beter uit bij tests.

Eh, helaas niet.. Kijk de laatste test van AV Comparatives maar eens, of die van AV Test. Bij beiden scoort MSE/Defender steevast in de onderste regionen.

Een extra virus scanner zorgt alleen voor meer problemen.

Dat klopt, maar als je een 3rd party produkt installeert, disabled MSE/Defender zichzelf automatisch

batjes

Microsoft Windows 10 Pro NL
Besturingssystemen
Microsoft Windows
Microsoft

@wildhagen • 3 februari 2017 18:41

Ik vind de resultaten een beetje krom.

Protection against 0-day malware attacks, oke, heet niet voor niets zero day, deze problemen worden doorgaans door andere Windows onderdelen opgevangen worden en zullen daar gefixt worden, en dat gaat MS niet via lapwerk in WD patchen. Dat trekt op av-test.org de hele score omlaag. Want onder het kopje "Detection of widespread and prevalent malware discovered in the last 4 weeks " scoort WD net zo goed als de overige AV's met een score van 99,8%. Met een industry average van 99,0%.

AV Comparatives is verdacht stil over het gebruik van het OS behalve

The products had Internet/cloud-access during the test, were last updated on the 1st of September 2016 and tested under Microsoft Windows 10 64-Bit

Ik weet dat in het verleden er een aantal AV tests geweest zijn, rond het moment dat MSE van een top scorende AV omlaag zakte naar de bodem, dat ze enorm hebben lopen spelen met de scores, maar ook bv een Windows 7 gebruikte zonder UAC en die al minstens een half jaar niet geupdate was.

Sindsdien moet je echt niet meer kijken naar de "gemiddelde score" van de AV's. Je moet even de statistieken induiken en het verhaal wordt duidelijker.

[Reactie gewijzigd door batjes op 22 juli 2024 18:56]

Iva Wonderbush @wildhagen • 3 februari 2017 17:48

Hm, weer wat geleerd. Danku!

ViperXL @wildhagen • 3 februari 2017 18:25

Dat is niet waar, het disabled zich niet automatisch maar dit moet je aangeven in Action Center (of de anti-virus vraagt dit tijdens setup in omslachtige manier). De normale Windows Defender is niet super maar al eens naar de Forefront variant gekeken voor zakelijk gebruik? Daarnaast als men een script/macro in een bestand uitvoert dan is er vaak sowieso geen houden meer aan.

SSDtje

@wildhagen • 3 februari 2017 17:23

Ik was er ook al lang van op de hoogte, dat dit al langer gebeurd, maar het was voor mijzelf de eerste keer dat ik het meemaakte, en ben hoe dan ook blij dat ik er vanaf ben.
Ook al staat er nooit wat belangrijks op mijn laptop, maar toch.
Ik schrok er toch even van.

Zer0 @SSDtje • 3 februari 2017 21:38

en ben hoe dan ook blij dat ik er vanaf ben.

Als je er daadwerkelijk vanaf bent. Je D-schijf was misschien geencrypt, maar dat betekent niet dat er niet ergens anders op je pc nog wat rond dwaalt.

SSDtje

@Zer0 • 3 februari 2017 22:29

Het overkwam me op een al wat oudere laptop, er stond/staat niks belangrijks op.
Ik gebruik em alleen voor het afspelen van muziek, en soms wat browsen.
Thuis gebruik ik alleen mijn desktop.
Het overkwam me bij een goeie vriend thuis, dus gelukkig niet op mijn eigen thuis verbinding.

drakiesoft @SSDtje • 3 februari 2017 17:21

Cryptomalware. Waarschijnlijk malafide bestanden gedownload?

SSDtje

@drakiesoft • 3 februari 2017 17:28

"Waarschijnlijk malafide bestanden gedownload?"
Niet dat ik weet, maar zeg nooit nooit natuurlijk.
Ik doe niet aan torrents, en klik nooit op, voor mijzelf ogende wearde/vage reclames.
Sterker nog, ik klik nooit op reclames eigenlijk.
Dus ik zou het je niet kunnen zeggen waar het aan gelegen heeft

PDZ @SSDtje • 3 februari 2017 18:01

Vaag mailtje van de Rabobank o.i.d. geopend misschien?

SSDtje

@PDZ • 3 februari 2017 18:12

Ik heb inmiddels een reactie geplaatst op je vraag, alleen met me'n dome kop niet op reageren geklikt bij je, je kunt hem hier verder naar boven dus vinden

Mijn fout.

Jack Flushell

@SSDtje • 5 februari 2017 03:55

Hoezo een min -1, is wat vragen verbonden tegenwoordig ofzo

Het is extreem off-topic. Je begint zomaar midden in een thread over een lek in SMB bij Win10 over een probleem van jouw computer dat ook nog eens niets te maken heeft met het onderwerp.

mysterieworld 3 februari 2017 18:41

ik heb er zelf geen last van, SMB + SMB 3.0 + SMB direct +Net BIOS en file sharing + alle overbodige protocols . Staan forceer uitgeschakeld via de register Zelfs mijn computer naam is niet meer herkenbaar op het netwerk.

Via autorun kun je vrijwel alle opstart services drivers/services uitschakelen.

[Reactie gewijzigd door mysterieworld op 22 juli 2024 18:56]

EraYaN @mysterieworld • 4 februari 2017 01:21

Dan mis jij gewoon functionaliteit, voor velen geen optie. Vooral SMB Direct kan echt hele goede performance realiseren voor storage, zelfs meer dan SATA.

SSDtje

3 februari 2017 18:03

Nope, ook geen vaage mailtjes geopend.
Als ik een mailtje niet vertrouw, dan gaat i zoals het hoort, direct de prullenbak ik.

ViperXL @SSDtje • 3 februari 2017 18:27

Naast via email kan het tegenwoordig ook via Flash of Java binnenkomen, en nee je hoeft niet op reclame te klikken hiervoor.

SSDtje

@ViperXL • 3 februari 2017 18:34

Top, duidelijk.
Het zal dan wel via een van deze wegen binnen gekomen zijn.
Thx

RoffaboyS 4 februari 2017 00:02

De blue screen of death is er dus nog

Zer0 3 februari 2017 16:36

Naast het risico op vastlopende en onbruikbare computers brengt de kwetsbaarheid een veiligheidsrisico met zich mee; aanvallers kunnen met beheerdersrechten een willekeurige code uitvoeren in de Windows-kernel.

It is not clear at this point whether this vulnerability may be exploitable beyond a denial-of-service attack.
By causing a Windows system to connect to a malicious SMB share, a remote attacker may be able to cause a denial of service or potentially execute arbitrary code with Windows kernel privileges.

Er is mogelijk sprake van het uitvoeren van code, maar dat is nog helemaal niet zeker.