Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft verhelpt ernstige, door Google gevonden kwetsbaarheid in Defender

Door , 106 reacties, submitter: repeP

Google heeft een ernstige kwetsbaarheid aangetroffen in de engine voor de beveiligingsproducten in Windows, zoals Defender. Via het lek is op afstand code uit te voeren op systemen. Microsoft heeft een update uitgebracht voor de Malware Protection Engine.

Volgens Microsoft verhelpt de update kwetsbaarheid cve-2017-0290 in de Malware Protection Engine waarmee een aanvaller willekeurig code uit kon voeren met LocalSystem-accountrechten, waarmee een systeem volledig over kan worden genomen. Het lek is aangetroffen door Google Project Zero, dat beveiligingsexperts inzet om zero-day-kwetsbaarheden te vinden.

Tavis Ormandy van het project meldt dat kwetsbaarheden in de engine, de MsMpEng, onder de ernstigste kwetsbaarheden vallen die mogelijk zijn in Windows, vanwege de verhoogde rechten, de toegankelijkheid en de alomtegenwoordigheid van de service. De engine is de basis voor Defender, Security Essentials en Endpoint Protection. Het gaat om versies van de engine vanaf 1.1.10701.0 en later, waarmee het probleem speelt voor Windows 7, 8, 8.1, 10, Windows Server 2012 en Windows Server 2016.

MsMpEng draait zonder sandboxing en is op afstand te benaderen zonder authenticatie via verschillende Windows-services zoals Exchange en IIS. Om precies te zijn gaat het bij de kwetsbaarheid om een validatiefout van een component van mpengine, dat op zijn beurt het centrale onderdeel van de MsMpEng is. Dat onderdeel, met de naam Nscript, is een JavaScript-interpreter die Microsoft standaard bij elke Windows-versie gebruikt voor het evalueren van verdachte code.

Ormandy meldde afgelopen weekend al via Twitter dat hij samen met Natalie Silvanovich van Project Zero een 'crazy bad' lek in Windows had aangetroffen. Zonder al teveel op de details in te gaan liet hij al weten dat aanvallen werken bij standaard geïnstalleerde Windows-systemen die niet op hetzelfde lokale netwerk hoeven te zitten. Bovendien zijn aanvallen met worm-malware uit voeren, gaf hij aan. Na publicatie van de details gaf hij Microsoft complimenten voor de snelle reactie.

Windows-gebruikers zouden in principe niets hoeven te doen voor de update, maar Microsoft raadt aan te verifiëren dat de Microsoft Malware Protection Engine is bijgewerkt naar versie 1.1.13704.0 of later. Als dat niet het geval is moeten gebruikers de update alsnog handmatig doorvoeren.

Olaf van Miltenburg

NieuwscoŲrdinator

9 mei 2017 10:48

106 reacties

Submitter: repeP

Linkedin Google+

Reacties (106)

Wijzig sortering
Het lek betreft dan ook Windows 8, 8.1, 10, Windows Server 2012 en Windows Server 2016.
Volgens de Security Advisory op TechNet is dit verhaal ook van toepassing op Windows 7.
Windows 2008 is nagenoeg een kloon van Windows 7. Mijn Windows 2008 R2 servers draaien na de update (MS Security Essentials > pijltje naast help > about)

Antimalware Client Version: 4.10.209.0
Engine Version: 1.1.13704.0
Antivirus definition: 1.243.69.0
Antispyware definition: 1.243.69.0
Network Inspection System Engine Version: 2.1.12706.0
Network Inspection System Definition Version: 116.88.0.0

Ik neem dus aan dat Windows Server 2008 ook kwetsbaar was.
Windows-gebruikers zouden in principe niets hoeven te doen voor de update, maar Microsoft raadt aan te verifiŽren dat de Microsoft Malware Protection Engine is bijgewerkt naar versie 1.1.10701.0 of later.
Versie 1.1.10701.0 is antiek, de versie waar het om gaat is 1.1.13704.0.
Volgens die CVE is het inderdaad versies lager dan 1.1.13704.0 die affected zijn. Beetje slordig om dit verkeerd te vermelden in het artikel aangezien mensen nu kunnen denken dat ze veilig zijn terwijl ze nog hartstikke vulnerable zijn :(. Goed gespot!
Wat bedoel je precies? Zoals ik de tekst lees moet je een hogere versie hebben dan 1.1.10701.0 om niet kwetsbaar te zijn.
References
Identification
Last version of the Microsoft Malware Protection Engine affected by this vulnerability
Version 1.1.13701.0
First version of the Microsoft Malware Protection Engine with this vulnerability addressed
Version 1.1.13704.0

Hm, als ik dit zo lees dan zou die versie dus kwetsbaar zijn?
Onder de tabel staat weer:
*If your version of the Microsoft Malware Protection Engine is equal to or greater than this version, then you are not affected by this vulnerability and do not need to take any further action. For more information on how to verify the engine version number that your software is currently using, see the section, "Verifying Update Installation", in Microsoft Knowledge Base Article 2510781.
waar ik uit begrijp dat versie 1.1.13704.0 juist niet kwetsbaar is.
First version of the Microsoft Malware Protection Engine with this vulnerability addressed
Version 1.1.13704.0

Even vrij vertaald naar NL: Eerste versie van de Engine Microsoft Malware Protection met dit beveiligingslek
versie 1.1.13704.0

Doet vermoeden dat deze versie wel kwetsbaar is, ik vermoed echter dat deze niet kwetsbaar is gezien de CVE.
Nee, addressed betekent in dit geval aangestipt, geregeld, opgelost.
http://www.cve.mitre.org/...me.cgi?name=CVE-2017-0290 (link uit het nieuwsbericht), geeft ook het volgende aan:
NScript in mpengine in Microsoft Malware Protection Engine with Engine Version before 1.1.13704.0, as used in Windows Defender and other products, allows remote attackers to execute arbitrary code or cause a denial of service (type confusion and application crash) via crafted JavaScript code within any file scanned by this engine.
Nee, Version 1.1.13701.0 is de laatste met lek, Version 1.1.13704.0 de eerste met verholpen lek.
nee, die laatste die je noemt is de eerste versie waar het probleem aangepakt ("addressed") is

-edit-
antwoord was al gegeven, niet goed gelezen

[Reactie gewijzigd door mjz2cool op 9 mei 2017 14:18]

Zie https://technet.microsoft.com/en-us/library/security/4022344.
Je moet dus hoger hebben dan versie 1.1.13704.0.

Tweakers beschrijft in de laatste alinea een compleet ander probleem uit 2014.
Hoger of gelijk!
Het idee dat een enorm concern als Google met al haar resources dit lek vind. Dat betekend in mijn ogen (als leek) dat dit lek erg lastig te vinden was en daarom niet zomaar door elke wllekeurige hacker gevonden en misbruikt zou kunnen zijn.

Als een doorsnee amateur hacker dit lek zou vinden ... ja, dan wordt ik bang.

Dit bericht stelt mij alleen maar gerust. :)
Wie zegt alleen dat er niet mensen waren die deze exploit al misbruikte? :)
Alle onderzoekers die duizenden honeypots en andere methodes gebruiken om aanvallers op het internet te spotten die deze vunerability nog niet in het wild gezien hadden.
Dat wil niet zeggen dat het niet al misbruikt is. Het kan ook heel gericht ingezet zijn, waarmee de kans dat je een honeypot tegenkomt erg klein is.
"Tavis Ormandy van het project meldt dat kwetsbaarheden in de engine"

Het was dus 1 man die toevallig voor google werkt, met de hoeveelheid hackers(whitehat of niet) in de wereld is de kans dat het al gevonden was(en niet gemeld) of dat in de nabije toekomst door iemand anders was gevonden helemaal niet zo klein.
Niet helemaal correct. Tavis heeft hierbij samengewerkt met Natalie Silvanovich, ook van Project Zero. Wellicht hebben andere collega's van Project Zero ook geholpen, maar dat kan ik zover niet zien.

[Reactie gewijzigd door CykoByte op 9 mei 2017 18:07]

Alle eenzame hackers wereldwijd vormen samen toch een groep die aanzienlijke groter is dan de mensen die er bij Google mee bezig zijn. De samenwerking is er natuurlijk niet zoals die er bij Google is maar de opbrengsten van een dergelijke exploit zijn voor velen groot genoeg om er zeer serieus naar op zoek te gaan.

Daarnaast kunnen hackers ook enorme computing resources tot hun beschikking hebben door gebruik te maken van botnets.

Wat mij gerust stelt is dat Google de laatste tijd actief op zoek is naar kwetsbaarheden bij anderen dan alleen hun eigen systemen. Vooral Tavis Ormandy eigenlijk.. Eindelijk one of the good guys met een aanzienlijk gewicht die ook actief mee-'hackt'.

[Reactie gewijzigd door boyd91 op 9 mei 2017 13:35]

> De samenwerking is er natuurlijk niet zoals die er bij Google is

Niet? Citation needed; hackers verenigen op het internet, starten soms beveiligingsbedrijven die danwel exploits verkopen aan de "goeien", danwel de "kwaaien", danwel beide, plus het grijze gebied dwz de NSA en co. Er zit veel geld in exploits.
Als je leest wat het lek is dan moet je je toch wel zorgen maken: er wordt externe JavaScript uitgevoerd in een niet gesandboxed proces op local-system niveau. Deze samenvatting is al goed voor 15 red-flags en alarmbellen. Dat dit door het security team van MS als ontwerp toegelaten is, is niet kwalijk, maar misdadig slecht qua ontwerp. Aangezien Windows closed-source is is het lastig dit soort zaken te vinden, maar als zo'n drol van een ontwerpfout er een paar jaar in kan zitten dan maak ik (en met mij anderen) grote zorgen over het volgende Windows lek wat gevonden wordt.
Closed- of open-source maakt in de praktijk weinig uit voor de kwaliteit van de code. Zie ook hoe men er pas achter kwam hoe brak OpenSSL eigenlijk in elkaar zit zodra er beveiligingsissues werden gevonden en het in de spotlight stond.
Er waren, nog voor heartbleed, al voldoende signalen dat OpenSSL niet helemaal ok was (understatement). Er waren/zijn alternatieven (oa. PolarSSL van FoxIT) die wel veilig waren. Alleen tsja, iedereen doet OpenSSL en de kwaliteit who cares. Dus opensource is geen garantie voor veilig maar wel voor in staat zijn het te controleren. Closed source: geen van beide.
Het idee dat een enorm concern als Google met al haar resources dit lek vind. Dat betekend in mijn ogen (als leek) dat dit lek erg lastig te vinden was en daarom niet zomaar door elke wllekeurige hacker gevonden en misbruikt zou kunnen zijn.
Je moet het anders zien. Met 'hacken' zelf valt niet zoveel geld te verdienen, tenzij je een hack actief kunt misbruiken of doorverkopen. Google heeft gewoon de basisvoorzieningen gecreŽerd waarmee het mogelijk wordt om een vast team van hackers fulltime op zoek te laten gaan. Maar als Fox-IT het kapitaal had, dan had het net zo goed Fox-IT kunnen zijn die dit gevonden had.
Meerdere mensen werken er en eentje heeft het gevonden. Het is een groot team met veel experts erin.

En een amateur vindt dit niet dus, moet je blij zijn dat iemand dit vind en er oplossing voor is gekomen.
Betekent waarsch ook dat de NSA en kompanen er van af weet
Welke versie je draait, kun je zien door het volgende te doen:

Open Windows Defender > "Instellingen" > scroll naar beneden totdat je "engineversie" ziet staan. Bij mij is dit versie "1.1.13704.0".

Voor Windows 10 Creators Update: Settings -> Update & Security -> Windows Defender -> Version info: Engine version 1.1.13704.0

[Reactie gewijzigd door AnonymousWP op 9 mei 2017 11:26]

Mijn windows zit toch anders in elkaar. In windows 10 CU is Defender vervangen door het Windows Defenders Security Center en daar zie ik de informatie niet terug.

W10 Creators Update: Settings -> Update & Security -> Windows Defender -> Version info: Engine version 1.1.13704.0
Je kan overigens ook defender openen dan op help klikken en about. Daar staan alle versienummers genoemd.
Aha, kan kloppen. Ik draai de Creators Update nog niet :). Bedankt voor de aanvulling.
Betaald Microsoft ook aan Google hiervoor?
Ik denk het niet. Ik weet niet of dit onderdeel is van het bug-bounty programma, maar Tavis Ormandy is gewoon in dienst bij Google en wordt dus door Google betaalt. Maar goed, dat is je vraag ook niet :p. Wordt nergens duidelijk.

[Reactie gewijzigd door AnonymousWP op 9 mei 2017 11:06]

Ik snap dat die in dienst is van Google, maar hij moet ook te eten krijgen en dus salaris krijgen.
Ja, dat krijgt hij (Tavis) toch ook? Van Google..
Ja, maar dat hij dit vind voor Microsoft vraag ik mij toch af of google onkostenvergoeding krijgt omdat zij zijn salaris betalen. Zij hebben geen voordeel bij een fix van Windows.
Jawel, want Chrome kan gebruikt worden om deze bug uit te buiten, dus Google is ook gebaat bij een fix van Microsoft.

En Tavis' baan is het uitzoeken van vulnerabilities, niet gelimiteerd tot Google's code. Hij heeft bijvoorbeeld onlangs ook een paar zeer kritieke fouten in Lastpass gevonden (die ook direct werden opgelost, want de regel is: "Als Tavis tweet, luister je")
Er hoeft niet altijd aan verdiend te worden. Google en Microsoft harken genoeg binnen om elkaar het licht in de ogen te gunnen.
Zowel Google als Microsoft hebben ook goodwill projecten lopen die geen rendement hoeven te brengen.
Daarbij...Wat is het alternatief? Dat ie het niet aan MS vertelt??

[Reactie gewijzigd door brammieman op 9 mei 2017 14:03]

Iedereen die bij Google werkt, kan daar gratis ontbijten, lunchen, dineren en meer in het bedrijfsrestaurant.
Windows-gebruikers zouden in principe niets hoeven te doen voor de update, maar Microsoft raadt aan te verifiŽren dat de Microsoft Malware Protection Engine is bijgewerkt naar versie 1.1.10701.0 of later.
Versie 1.1.10701.0 is uitgekomen op 17 juni 2014? Klopt dit wel, of kijk ik verkeerd?
https://blogs.technet.mic...customers-on-17-jun-2014/
6 mei gevonden/gemeld
8 mei gepatched.

Defender updates kunnen vanwege de noodzaak om te reageren op nieuwe malwaredreigingen onafhankelijk en buiten de patchdagen snel worden gereleased.
Voor mensen die Norton AV hebben (die Security Essentials/Windows Defender 'overneemt' zodat je niet erbij kunt komen): ik heb net met Norton gechat en de Live Update patcht dit lek automatisch.
MsMpEng draait zonder sandboxing en is op afstand te benaderen zonder authenticatie via verschillende Windows-services zoals Exchange en IIS. ...met de naam Nscript, is een JavaScript-interpreter die Microsoft standaard bij elke Windows-versie gebruikt voor het evalueren van verdachte code.
Dus MS draait met SYSTEM rechten zonder sandbox een JavaScript-interpreter in Windows en heeft dat in een paar dagen opgelost? Ze hebben waarschijnlijk alleen deze toevallig ontdekte fout verholpen, maar zolang die JS interpreter niet in een sandbox draait, zullen er nog wel veel meer lekken ontstaan... Ik zou Defender nog even uitschakelen.

[Reactie gewijzigd door Donenzone op 9 mei 2017 14:50]

Tja, wanneer beginnen mensen nu eens door te krijgen dat dit soort security/antivirus scanners meer kwaad doet dan goed. Het is niet de eerste keer dat er een enorm security probleem gevonden is in een AV pakket, en aangezien die allemaal met hele hoge privileges draaien (soms zelfs als kernel module) en alle content die je machine binnenkomt verwerkt is het ontzettend gevaarlijk om dat soort software te draaien.

Als je geen apps installeert vanaf dubieuze bronnen of vergelijkbare rare dingen uithaalt met je systeem ben je veel beter af zonder dit soort tools.
Er wordt ook meuk afgeleverd via browser exploits/in ads (zie nu.nl fuckup)

Wat is daar dan je boodschap? Geen browsers meer gebruiken, alleen maar op het internet met cURL? Zolang je aan het internet verbonden bent, hoef je niet per se handmatig op malware.exe te klikken om aangevallen te worden.

[Reactie gewijzigd door ItsNotRudy op 9 mei 2017 11:42]

Draait jouw browser met SYSTEM rechten ?
Voor ransomware zijn gebruikersrechten al voldoende om je vakantiefoto's e.d. te gegijzelen.
Dus omdat je user-data al gecompromitteerd kan worden via je browser is het ook een goed idee om je hele systeem bloot te stellen ?

Een exploit op dit niveau kan heel veel meer kwaad dan een exploit die alleen bij jouw user-account kan. Een rootkit installeren, om maar iets te noemen.
Voor de doorsnee-gebruiker is wat er binnen het userprofiel te halen valt, al genoeg. Op een standaard-desktop zit alles van waarde in mijn user profile. Ik heb liever dat iemand mijn Windows-installatie om zeep helpt, dan een file encrypter op mijn user profile loslaat, of browserprofielen, documenten en wachtwoorden tracht te farmen.
Dat is nu net het punt, via dit soort exploits kan je ALLES. Iemand kan meekijken met alles wat je doet, b.v. online bankieren, en jij hoeft niets door te hebben.
Het hele argument is dus dat je daar met de rechten van de gebruiker al ver mee kunt komen. Jij beargumenteerde dat je SYSTEM moet hebben, terwijl dat voor veel acties geen fuck uitmaakt. Ik kan een geheel browser-profiel uit de Chrome-map trekken en transplanteren naar een andere PC. Opgeslagen sessies/wachtwoorden/geschiedenis en de hele bende gaat gewoon mee. Op veel PCs is de enige gebruiker al een admin.

[Reactie gewijzigd door ItsNotRudy op 9 mei 2017 13:17]

Ik snap niet wat je nu probeert duidelijk te maken. Omdat je met gebruikersrechten al veel kan is het niet erg om de deur dan meteen maar wagenwijd open te zetten ?

Overigens is het bij het probleem waar dit nieuwsitem over gaat zo dat de gebruiker hier NIETS voor hoeft te doen. Bij de exploits waar jij het over hebt moet de gebruiker eerst naar een dubieuze site of op een vaag mailtje klikken. Deze exploit is te misbruiken zonder enige gebruikers interactie. Je hoeft niets te openen, niets aan te klikken, en er zijn enorm veel manier om hier misbruik van te maken. Dit is een VEEL serieuzer probleem dan waar jij het over hebt.
Ik snap niet wat je nu probeert duidelijk te maken.
Om dat balletje maar even terug te kaatsen; Wat probeer jij te zeggen wanneer je een vet hippe oneliner dropt?
Draait jouw browser met SYSTEM rechten ?
Mijn opvolgende argumenten gingen over het feit dat je feitelijk met grote woorden slingert, maar niets zegt. Je hebt geen SYSTEM-account nodig om je hele computer onder de duim te houden, en dat menig thuis-PC al ingelogt is met een Admin-account, die al genoeg toegang heeft om de boel te verzieken.
Bij de exploits waar jij het over hebt moet de gebruiker eerst naar een dubieuze site of op een vaag mailtje klikken. Deze exploit is te misbruiken zonder enige gebruikers interactie.
"Dubieuze sites"

http://www.nu.nl/internet...are-via-advertenties.html

Alright sure. O.a. Marktplaats, Nu.nl, RTL. Superdubieus en helemaal niet populaire sites.
Wachtwoorden farmen gaat natuurlijk een stuk makkelijker als je volledige OS al gecompromitteerd is.
Nee, maar ik wil erop wijzen dat je vast houdt aan een verouderde manier van denken over de veiligheid van het gebruikersrechtensysteem.

Met root en system kan je idd leukere dingen doen, maar kwaadwillend programatuur draaiend in userland heeft al genoeg rechten om kwaad te doen.
Als je geen apps installeert vanaf dubieuze bronnen of vergelijkbare rare dingen uithaalt met je systeem ben je veel beter af zonder dit soort tools.
Ja, dan wel. En ik ga ervan uit dat ik dat ook niet doe.

Maar ik heb al phishingmails langs zien komen waar ik zelf haast in zou trappen, en als ik me ooit daadwerkelijk heb laten misleiden heb ik daar geen weet van...

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*