'Shadowbrokers-dump bevat verschillende Windows-zero-days'

Beveiligingsonderzoekers melden dat de meest recente Shadowbrokers-dump verschillende onbekende kwetsbaarheden in Windows-systemen bevat. Daarbij gaat het vooralsnog om oudere versies, maar lopen alsnog veel systemen risico.

Zo laat Matthew Hickey van beveiligingsbedrijf Hacker House aan Ars Technica weten dat 'dit veruit de meest krachtige verzameling van exploits is die tot nu toe is vrijgegeven'. Verschillende exploits blijken volgens hem gebruik te maken van zero-daykwetsbaarheden in Windows. Hickey heeft er tot nu toe een aantal geanalyseerd. De exploit Eternalblue maakt het bijvoorbeeld mogelijk om op afstand code uit te voeren op Windows Server 2008 R2. Andere software richt zich op lekken in Windows-versies tot aan Windows 8.

Andere onderzoekers melden soortgelijke bevindingen, onder andere op hun eigen blog en aan Motherboard. De site schrijft dat Microsoft in een reactie heeft laten weten dat het 'de publicatie onderzoekt en de nodige stappen zal nemen om zijn klanten te beschermen'. Totdat er een uitgebreide analyse heeft plaatsgevonden van de publicatie zijn de omvang en de gevolgen ervan nog niet te overzien en blijft onduidelijk om hoeveel zero days het daadwerkelijk gaat. De onderzoekers waarschuwen dat door de beschikbaarheid van de tools veel systemen kwetsbaar zijn totdat de nodige patches uitgebracht worden.

De Shadowbrokers hebben vrijdag een nieuwe verzameling documenten online geplaatst. Naast de Windows-exploits bevat de dump informatie over spionageactiviteiten van de NSA en CIA, onder andere in banknetwerken.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 14-04-2017 21:04 45

14-04-2017 • 21:04

45

Lees meer

Shadowbrokers vragen 20.000 euro voor exploitabonnement
Shadowbrokers vragen 20.000 euro voor exploitabonnement Nieuws van 30 mei 2017
Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days
Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days Nieuws van 18 mei 2017
Shadowbrokers kondigen abonnement op exploits aan
Shadowbrokers kondigen abonnement op exploits aan Nieuws van 16 mei 2017
Microsoft dicht drie zero-daylekken die actief misbruikt werden
Microsoft dicht drie zero-daylekken die actief misbruikt werden Nieuws van 10 mei 2017
'Aantal met NSA-implant geïnfecteerde systemen stijgt na Shadowbrokers-dump'
'Aantal met NSA-implant geïnfecteerde systemen stijgt na Shadowbrokers-dump' Nieuws van 21 april 2017
Microsoft: Windows-zero-days in Shadowbrokers-dump zijn al gerepareerd
Microsoft: Windows-zero-days in Shadowbrokers-dump zijn al gerepareerd Nieuws van 15 april 2017
Shadowbrokers-release toont aan dat CIA Swift-betalingsnetwerk infiltreerde
Shadowbrokers-release toont aan dat CIA Swift-betalingsnetwerk infiltreerde Nieuws van 14 april 2017
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Windows Security

Reacties (45)

-Moderatie-faq
45
43
25
0
0
5
Wijzig sortering

Sorteer op:

Weergave:
Tribits 14 april 2017 21:18
Doet bij mij een beetje de vraag oproepen of je dit echt als zero days kan betitelen. Kennelijk zijn ze in nieuwere versies niet meer aanwezig. Zou het resultaat kunnen zijn van rewrites of redesign van de nieuwere versies van Windows. Zou ook kunnen dat Microsoft (en mogelijk ook andere partijen) er al van op de hoogte waren, maar Microsoft om de een of andere reden besloten heeft de lekken niet te dichten in de oudere systemen. In dat laatste geval lijkt de term zero day mij onterecht.
terror538 @Tribits14 april 2017 21:22
het gaat om OS versies die nog in de support cycle zitten, dat zijn dus gigantisch veel systemen binnen het bedrijfsleven en (semi-)overheid
Tribits @terror53814 april 2017 21:34
Ja, dat ontken ik niet ook al zou de impact een stuk groter geweest zijn als ook recente systemen er vatbaar voor waren.

Als ik echter naar de Wikipedia definitie van een zero day kijk dan is het toch wel essentieel dat de leverancier op het moment van uitkomen er geen weet van had en dus geen tijd (zero day) heeft gehad om het op te lossen voordat de exploit in het wild gebruikt wordt.

Dat zou in dit geval dus alleen zo zijn als de lekken in de software min of meer bij toeval gedicht zijn. Aan de andere kant is het ook onwaarschijnlijk dat Microsoft er voor gekozen heeft bepaalde producten die nog in de support cycle zitten niet te patchen.

[Reactie gewijzigd door Tribits op 23 juli 2024 04:30]

Gomez12 @Tribits14 april 2017 22:09
Aan de andere kant is het ook onwaarschijnlijk dat Microsoft er voor gekozen heeft bepaalde producten die nog in de support cycle zitten niet te patchen.
Nope, dat is juist hartstikke waarschijnlijk. Ook MS heeft geen onbeperkte dev-tijd.
Oftewel patches maken gaat gewoon op volgorde en in die volgorde schuift elke bug die bekend is geworden naar voren en daardoor indirect de theoretische bugs die veel tijd kosten om te fixen schuiven dan naar achteren en naar achteren en naar achteren.

Ik denk dat als je het echt aan een MS-medewerker gaat vragen (die genoeg overzicht heeft) dat die zal zeggen dat de lijst theoretische bugs bijna oneindig is.
Puur vanwege het feit dat als er een bug op onderdeel a is geconstateerd dat programma/onderdeel bic,d,e,f,g,h,i,j eigenlijk nagekeken moeten worden want die gebruiken iets soortgelijks.
Alleen tja, op dat moment komt er een nieuwe melding binnen over een bug die wel in het wild misbruikt wordt...
Tribits @Gomez1214 april 2017 22:16
Ja ok dat klopt wel, alleen dacht ik dat normaal gesproken kwetsbaarheden die opgelost worden ook gelijk in alle systemen opgelost worden. Het zou natuurlijk kunnen dat die kwetsbaarheden nooit in de nieuwere systemen bestaan hebben, maar dat zou dan wel een belangrijke reden zijn om ook systemen die nog in de life cycle zitten te upgraden als de architectuur kennelijk van zichzelf een stuk veiliger is.

Dat eenzelfde patch op verschillende versies van het operating system ook verschillende prioriteiten zou krijgen zou nieuws zijn voor mij, hoewel ik het hele patch proces ook niet in detail ken.
Gomez12 @Tribits14 april 2017 22:30
alleen dacht ik dat normaal gesproken kwetsbaarheden die opgelost worden ook gelijk in alle systemen opgelost worden.
Het wordt in alle 100% gelijke code systemen opgelost.
Alleen als de code 100% gelijk bleef hadden we nu nog steeds windows 1.0 :)
Oftewel de code verandert en dat gebeurt niet direct op library niveau, maar de meeste bugs zitten ook niet enkel op library niveau, maar zijn combinaties van libraries etc.

Laat ik als heel simpel en duidelijk voorbeeld eens het driver model pakken, dat is in windows 7 grotendeels herschreven en in windows 10 weer. Zou je die security patches overgooien naar oudere versies dan zouden alle drivers voor die oudere windows-versies ook herschreven moeten worden.
Daar kan je dus niet dezelfde fix gebruiken, je kan waarschijnlijk wel een andere fix verzinnen alleen tja als dat probleem niet in het wild is, waarom dan die extra tijd erin steken.
maar dat zou dan wel een belangrijke reden zijn om ook systemen die nog in de life cycle zitten te upgraden als de architectuur kennelijk van zichzelf een stuk veiliger is.
Wat jij voorstelt is commercieel totaal niet aantrekkelijk, laat ze maar upgraden naar de nieuwste versie.
Dat eenzelfde patch op verschillende versies van het operating system ook verschillende prioriteiten zou krijgen zou nieuws zijn voor mij, hoewel ik het hele patch proces ook niet in detail ken.
Het is over het algemeen niet eenzelfde patch (en al is het het wel, alsnog zal je extreem veel tijd moeten steken in het testen of het niet ergens iets sloopt)
Tribits @Gomez1214 april 2017 23:03
[...]

Het wordt in alle 100% gelijke code systemen opgelost.
Ik zie in ieder geval ook zeer regelmatig exploits die in verschillende OS versies gelijk op worden gelost.
Daar kan je dus niet dezelfde fix gebruiken, je kan waarschijnlijk wel een andere fix verzinnen alleen tja als dat probleem niet in het wild is, waarom dan die extra tijd erin steken.
Omdat je dat contractueel verplicht bent? Om je reputatie te beschermen? Omdat je weet dat je het vroeger of later toch zal moeten doen?

Overigens geeft dat wel aan waarom het zinvol is onderscheid te maken tussen een zero day en een exploit die bewust niet gedicht wordt. In dat laatste geval is er al een redelijk deel van het patch proces doorlopen en zal de zero day waarschijnlijk sneller gedicht zijn.
Wat jij voorstelt is commercieel totaal niet aantrekkelijk, laat ze maar upgraden naar de nieuwste versie.
Zoals in een andere reactie reeds aangegeven: er zijn een aantal maatregelen die in eerste instantie optioneel of experimenteel waren en later standaard in zijn gebouwd of aan zijn gezet. Dat had doorgaans te maken met zorgen over compatibiliteit als dat in oudere versies ook standaard opgenomen of aangezet zou worden.

[Reactie gewijzigd door Tribits op 23 juli 2024 04:30]

robvanwijk
@Gomez1214 april 2017 23:11
Kleine kanttekening:
als dat probleem niet in het wild is
Voor de goede orde, dat argument gaat hier niet op: de volledig werkende tools zijn publiekelijk beschikbaar.
janbaarda @Tribits15 april 2017 04:21
De discussie wordt door tweakers meteen naar de techniek verplaatst. Dit is de aard van't beestje ...

Belangrijker m.i. is dat een overheid (een democratie !) deze onetische praktijken toelaat. Dit kan en mag niet getolereerd worden. De schuldigen dienen gestrafd te worden of voor een internationaal gerechtshof gebracht.
wizzkizz @janbaarda15 april 2017 10:20
Onethisch is een mening en geen strafrechtelijk verwijtbaar feit. Veel plezier met juridisch vervolgen.
Pinkys Brain @janbaarda15 april 2017 10:38
Voorzover ik kan zien houden de meeste security researchers exploits achter om te verkopen aan "good guys". Het is niet alsof dit een verrassing is.
WhatsappHack
@Tribits14 april 2017 21:42
Lijkt me logisch. Een zero day in Windows 7 is alsnog een zero day in Windows 7, of Windows 10 nou dezelfde zwakte heeft of niet. :)
Tribits @WhatsappHack14 april 2017 21:48
De term zero day omschrijft een vrij specifieke situatie. Als de leverancier op de hoogte is van een lek en er om welke reden dan ook voor kiest het niet te patchen is het geen zero day op het moment dat die in het wild gebruikt wordt. Ik zeg niet dat daar sprake van is, maar tot we weten waarom de lekken niet in latere versies voorkomen lijkt de term zero day mij wat voorbarig.
Verwijderd @Tribits14 april 2017 22:05
Omdat zo ver ik weet de zero days SMB exploits zijn en nog wat andere RCE exploits( Remote Code Execution ) met een heel framework om het uit te voeren..
Windows10 heeft verschillende mitigations voor SMB.
Het blijft een zero day, exploit werkt out of the box niet op die nieuwere versies, maar misschien met wat modificaties kan dat wel.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:30]

Tribits @Verwijderd14 april 2017 22:09
Mitigations, patches dus. Dan zijn het kwetsbaarheden waar Microsoft gewoon van op de hoogte was en is het dus geen zero day.
Verwijderd @Tribits14 april 2017 22:15
nee, mitigation's zijn geen patches maar technieken om het vinden van deze vulnerabilities en het uitvoeren van exploits de das om te doen.
Denk hier aan ASLR,Stack protection,Heap spraying protection,CFI,SMEP/SMAP (hardware), W^X, en zo zijn er nog heel wat technieken wat eigenlijk onder de motorkap zit verstopt.
Het patchen is een bug fixen in software.

Hier een pdf over wat er in Windows10 is bijgekomen.
https://www.blackhat.com/...tigation-Improvements.pdf

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:30]

Tribits @Verwijderd14 april 2017 22:57
Ja, ok. Dan is er inderdaad wel sprake van een echte zero day en is het tevens wel te verklaren waarom die verbeteringen nooit in Windows 2008R2 terecht zijn gekomen. Voor zover ik weet was het risico dat er dingen zouden 'breken' gewoon te groot.

Is in theorie dan wel een pleidooi om ook systemen te updaten die nog in de reguliere lifecycle zitten. Nu is dat iets wat Microsoft inderdaad ook wel aanraadt, maar kennelijk was het mij ook even ontschoten. Rest hooguit nog de vraag in hoeverre Windows 2008R2 beschermd zou zijn tegen dergelijke aanvallen met de juiste optionele maatregelen/instellingen.
ShadowAS1 @Tribits14 april 2017 21:22
Ligt eraan hoe je hebt bekijkt.
Ik zegt niet dat t goed is, maar er zijn nog steeds partijen die 2008/2003 in productie hebben. Dus in zekere zin, ja.
CARLiCiOUS @Tribits14 april 2017 22:49
Dat de exploits niet werken op nieuwere versies betekent niet dat de vulnerabilities niet meer aanwezig zijn. Vaak maken exploits gebruik van bepaalde eigenschappen die meestal uniek per OS-versie, en soms zelfs taal, zijn, zoals geheugenadressen (relatief tussen symbolen), de ASLR implementatie en de daaraan gekoppelde info leaks, syscall nummers (indien deze direct worden gebruikt) enz enz. (Memory corruption) exploits worden meestal ontwikkeld voor een aantal populaire combinaties van software, bijvoorbeeld (zomaar iets randoms) Office 2010 SP1 EN, icm Windows 7 SP1 EN.

Natuurlijk is het zo dat de exploit niet meer werkt zodra er een nieuwe versie wordt gereleased, maar, zo lang de vulnerability er nog in zit, is het heel waarschijnlijk prima te doen om de exploit compatibel te krijgen voor de nieuwe versie. Deze dump lijkt van een aantal jaartjes terug te zijn, dus veel exploits zullen niet werken op de laatste versies. De vulnerability die ze uitbuiten, daarentegen, zijn in veel gevallen nog zero day en dus van heel grote waarde voor sommige mensen/instanties.

[Reactie gewijzigd door CARLiCiOUS op 23 juli 2024 04:30]

Donenzone @Tribits14 april 2017 22:16
Het lijkt erop dat ten minste een van de exploits ook nog werkt in Windows 10...
https://twitter.com/DEYCrypt/status/852974162138337280

edit: waarschijnlijk gelukkig toch niet

[Reactie gewijzigd door Donenzone op 23 juli 2024 04:30]

Joep Lunaar @Tribits15 april 2017 19:22
Met de publicatie is een "exploit" per definitie geen "zero-day" meer, maar gewoon een kwetsbaarheid wwarvoor nog geen "patch" is uitgebracht.

Dat de "exploits" nieuwere versies van MS Windows niet zouden raken lijkt me overigens onjuist. De openbaar gemaakte code betreft een al wat oudere (versie van) ShadowBrokers. Daarmee is beslist niet gezegd dat de betroffen kwetsbaarheden niet in de (nieuwere) versies van MS Windows zitten die sindsdien zijn uitgebracht. Gezien het feit dat de afgelopen jaren menig CVE al oudere code betrof die ook nog in W8.1 of W10 aanwezig bleek, moet de kans dat deze nieuwere versies vrij van de kwetsbaarheden zijn laag worden geacht.

p.s.
Of zou Microsoft achter de dump van SB zitten en daarmee beogen gebruikers te bewegen naar de nieuwere versies over te stappen. Nee, dat is dom complotdenken.
chimnino 15 april 2017 02:23
Altijd n beetje in dubio met dit soort releases.... Tuurlijk moeten gaten aan het licht komen, maar nu weet iedereen en zn moeder het zonder dat er een oplossing op de rit staat.

[Reactie gewijzigd door chimnino op 23 juli 2024 04:30]

Verwijderd @chimnino15 april 2017 11:11
Patches komen wel, maar waar ik me meer zorgen om maak is dat er nog honderden bugs in Windows zitten die remote code execution mogelijk maken. Microsoft patched alleen maar als een bug op grote schaal misbruikt wordt.
Verwijderd 14 april 2017 21:37
Zoals ik ook al in het andere nieuws item plaatste als reactie;

in 2011 wist men dus feitelijk al van het lek wat in 2014 wordt "ontdekt".
Meer
#ShadowBrokers ESKIMOROLL (Eskimoroll-1.1.1.exe) is MS14-068 exploit with MD5 "signature"
https://github.com/mister...e/master/windows/exploits
PE timestamp: 20110311
bron
Verwijderd 14 april 2017 21:56
Dit is wel andere koek dan de vorige leak.
https://twitter.com/hacke...status/852958717746315264
Maar we gaan zien of ook andere versies kwetsbaar zijn.
ongekend41 14 april 2017 22:11
"Hacker Fantastic" is de software aan het analyseren en post resultaten op twitter (@hackerfantastic). Het gaat om een Framework (Fuzzbunch) a la Metasploit en "doublepulsar" vergelijkbaar met meterpreter.
Video met een van de 0-days in werking: https://twitter.com/hacke...status/852958717746315264
engessa 15 april 2017 10:43
Dit is echt een serieus probleem en laat duidelijk zien hoe veiligheidsdiensten met onze veiligheid om gaan. In januari heeft Shadow Brokers geprobeerd om al deze exploits te verkopen en hebben ze geadverteerd met een lijst van codenamen waarmee voor de NSA duidelijk kon zijn wat zij in handen hadden. De NSA heeft hier helemaal niets mee gedaan en is gewoon blijven zitten op de informatie. Zij hadden er toen voor kunnen kiezen om fabrikanten te waarschuwen en ze in kunnen lichten over de zero days die hier bij waren betrokken.

Gisteren zijn de exploits allemaal gedumpt en blijkt dat de schade potentieel enorm is. Fabrikanten en softwareleveranciers zitten nu in full panic mode om uit vissen wat er aan de hand is en hoe ze dit kunnen fixen. Er gaan cijfers rond over hoeveel systemen nu vatbaar zijn en voor bijvoorbeeld 'ETERNAL' en '' FUZZBUNCH' zouden er nu op dit moment 3,6 miljoen systemen per stuk open staan voor misbruik.

De manier waarop de NSA heeft gehandeld laat duidelijk zien dat veiligheidsdiensten er helemaal niet voor onze veiligheid zijn. Ook moet er nu heel snel actie ondernomen worden tegen de manier waarop veiligheidsdiensten (ook in Nederland) moet zero days om mogen gaan. Een lek voor iemand is een lek voor iedereen en moet zo snel mogelijk gedicht worden. Als zelfs de NSA zijn data niet binnenshuis kan houden dan heeft niemand daar 'recht' op en moet alles zo snel mogelijk gefixt worden.
Verwijderd @engessa15 april 2017 11:13
Veiligheidsdiensten zijn er ook om de politieke structuur van andere landen te infiltreren en daar informatie uit te distilleren wat weer gebruikt kan worden door de politieke top van hun land.
Durandal @engessa16 april 2017 20:49
Veiligheidsdiensten zijn er inderdaad niet voor onze veligheid (daar is de politie voor) maar voor de veiligheid van de staat. In de ideale wereld is dat hetzelfde maar in werkelijkheid heb ik dat land nog niet gezien.
alienfruit 15 april 2017 10:50
Ik vraag mij af wat voor exploits ze inmiddels hebben voor nieuwere OS versies. Gezien deze exploits allemaal redelijk oud zijn. Zouden deze nou door hun gekocht bij specialistische bedrijven of hebben ze deze zelf gevonden?
pythagorasABC 14 april 2017 23:11
Windows 10 is ook kwetsbaar voor eternalblue, dus dat alleen oude versies gevaar lopen klopt niet.

https://twitter.com/GossiTheDog/status/852976657606606849
ongekend41 @pythagorasABC14 april 2017 23:36
Nee, zoals al eerder in de reacties op dit artikel werd aangegeven (b)lijkt dit om een foutje in het testen te gaan (verkeerde host als target / redirection(VM). W10 lijkt nog "veilig", voor nu.

[Reactie gewijzigd door ongekend41 op 23 juli 2024 04:30]

pythagorasABC @ongekend4114 april 2017 23:44
Heb je een linkje daarvan? Er werd specifiek gezegd dat het om W10 ging, ook al stond er een andere versie in de output van de tool.
ongekend41 @pythagorasABC14 april 2017 23:49
o.a. deze tweet https://twitter.com/hacke...status/852980091558735875
pythagorasABC @ongekend4114 april 2017 23:58
Thanks! Lijkt me duidelijk dat het niet werkt voor W10 idd.
Verwijderd @pythagorasABC15 april 2017 11:01
Windows 10 bevat gewoon 90% van de code van Windows XP, dus natuurlijk zijn er nog legio exploits die gewoon werken op Windows 10, 11 en 12.
Loller1
15 april 2017 00:18
Tot zover het argument dat Microsofts claims dat Windows 7 niet meer veilig was "marketingpraat" was.
carpin 15 april 2017 02:16
Twitter
Hacker Fantastic‏ @hackerfantastic 6m6 minutes ago

If you are just tuning in, TLDR; Windows NT, 2000, 2003, XP, Vista, 7, 2008, 8 and 2012 are vulnerable to RCE 0day public exploits/malware.


Andy | ハッカー‏ @ZephrFish 11s11 seconds ago
Replying to @hackerfantastic

you can add windows 10 to that too and 2016 server

[Reactie gewijzigd door carpin op 23 juli 2024 04:30]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq