×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft dicht lek in Windows Search dat op afstand uitvoeren van code toelaat

Door , 26 reacties, submitter: repeP

Microsoft heeft tijdens zijn maandelijkse patch tuesday bijna 50 nieuwe lekken gedicht in zijn producten, waarvan 25 kritieke kwetsbaarheden. Daaronder is een lek in Windows Search, dat een aanvaller toestaat om op afstand code uit te voeren op een kwetsbaar systeem.

MicrosoftMicrosoft meldt in de beschrijving van de kwetsbaarheid met kenmerk CVE-2017-8620, dat deze te maken heeft met de manier waarop Windows Search met geheugenobjecten omgaat. Een aanvaller met fysieke toegang tot een machine zou hiermee hogere rechten kunnen verkrijgen door middel van privilege escalation en zo het systeem kunnen overnemen.

In een bedrijfsscenario is het mogelijk om de kwetsbaarheid op afstand via SMB te misbruiken. Volgens Trend Micro maakt dit de kwetsbaarheid bijzonder geschikt voor gebruik in een worm. Microsoft zegt dat er geen tekenen zijn dat het lek actief door aanvallers wordt gebruikt en biedt een work-around voor degenen die niet direct kunnen patchen, door tijdelijk Windows Search uit te schakelen.

Onder de overige kritieke lekken is een andere opvallende kwetsbaarheid in Windows Hyper-V, waardoor een aanvaller op een gastsysteem code kan uitvoeren op het hostsysteem. Ook van deze kwetsbaarheid zijn geen meldingen bekend dat er actief gebruik van wordt gemaakt, aldus Microsoft. Beide kwetsbaarheden zijn aanwezig in Windows 10. Alle gedichte lekken en kwetsbaarheden zijn op de betreffende Microsoft-pagina te vinden.

Door Sander van Voorst

Nieuwsredacteur

09-08-2017 • 11:40

26 Linkedin Google+

Submitter: repeP

Reacties (26)

Wijzig sortering
Toch blijft het opvallend hoe ontzettend lek Microsoft's implementatie van SMB blijkt. Er blijven maar exploits voor aan het licht komen.
Lijkt mij niet zo vreemd. Het is een protocol, dus groot. Het is niet zo dat als er 1 lek in zit, en die wordt gedicht, dan dat het hele SMB-1 protocol meteen als veilig kan worden gekenmerkt. Zulke protocollen zijn op meerdere manieren te misbruiken. Bovendien zitten de meeste lekken in SMB-1, alhoewel het zo kan zijn dat er naar andere SMB versies nog niet zoveel onderzoek is gedaan, omdat SMB-1 veel in het nieuws is/was.

Zie ook hier voor de beschrijving van meerdere versies: https://en.wikipedia.org/wiki/Server_Message_Block#History

[Reactie gewijzigd door AnonymousWP op 9 augustus 2017 11:46]

In dit artikel ook een ontwikkelaar van Microsoft uit het SMB Team die zelf adviseert om te stoppen met SMB1.

Leuk en informatief artikel over hoe om te gaan met SMB 1.0 en dit uit te schakelen.

Stop using SMB1
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

Tip:
Deze schrijver houdt ook een site bij waarin je ziet welke applicaties en apparaten nog SMB1 nodig hebben


SMB1 - Producten overzicht
https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/

[Reactie gewijzigd door ro3lie op 9 augustus 2017 14:39]

Wat zijn dan de beweegredenen om vast te blijven houden aan SMB1? Lijkt mij dat je een dergelijk vergiet juist zo snel mogelijk obsoleet wil maken.
Verouderde NAS-systemen en servers, Windows-images bij bedrijven die voorheen SMBv1 gebruikten maar vergeten zijn het uit te schakelen toen het niet meer nodig werd.
niet alleen verouderde systemen. Ik heb SMB1 uitstaan op mijn Synology, maar kwam er handwerk achter (was even naar Kodi 17 aan het kijken) dat ik mijn dmv share vanaf Kodi niet benaderen. Na inschakelen SMB1 werkte het wel... :-( Dan dus maar geen Kodi...of NFS inschakelen.

[Reactie gewijzigd door JackSparrow op 9 augustus 2017 12:30]

Kodi 17 heeft v2 en v3 support.
Echter dat gaat niet altijd automatisch. Lees anders dit even! Deed voor mij de truc

Config aanpassen. Kodi reboot gegeven, PC (win10) ook een reboot. Daarna werkte het voor mij prima
Tsja, dat snap ik ook niet zo. Volgens mij was het iets met compatibiliteit met andere applicaties bij systemen waar ze bijvoorbeeld nog XP gebruiken. Er zijn natuurlijk ook nog bedrijven die te naïef zijn en denken "ach, nu geen zin in om al die zooi te patchen en alles bij te moeten werken. Komt wel een keertje." Dan loop je natuurlijk gevaar.
Vergeet niet de kritieke systemen (medische wereld / bankwezen) deze willen soms wel graag updaten maar de gemaakte software kan nog niet naar nieuwe versie. Dit kan zo weer zijn redenen hebben. Al ben ik wel met je eens dat er geen naiviteit moet ontstaan om te pogen asap te upgraden. Maar dit protocol is pas gevaarlijk als de verouderde machine ook met internet/netwerk verbonden is.
Off-topic: dacht echt dat er wat over m'n scherm liep ;)
Ik heb het automatisch afspelen van gif's uitstaan...
Ja, ms wilt ook dat SMB1 zo snel mogelijk uit gaat.
Echter, nas leveranciers b.v. en andere embedded windows/samba producten moeten wel even bijgewerkt worden en hier onstaan problemen..
b.v. je heb een nas, (merk is even onbelangrijk), en deze heeft beperkt opslag.
De "oudere" b.v. samba binaries, zijn b.v. 1-3-5 MB groot. de laaste versie 15Mb.
dat lijkt niet veel, maar daar hebben deze producten wel erg veel last van.
Ze kunnen niet updateen omdat er geen ruimte is in die systemen.

Met andere woorden, het gaat niet zo snel als we willen.

[Reactie gewijzigd door Thc_Nbl op 9 augustus 2017 12:04]

SMB1 word gebruikt door veel oude apparaten, denk aan scanners and printers. Deze zijn soms niet zomaar te vervangen omdat het veel geld kost. Laat ik maar niet beginnen over oud lab "equipment" dat hangt aan Windows 7 (of erger XP), maar dan alleen weer werkt op SMB1. Lab apparatuur is al helemaal niet zomaar te vervangen zonder een flinke zak met geld.

Long story short; it's all about the money.

[Reactie gewijzigd door JerX op 9 augustus 2017 15:36]

Even een heel domme vraag, maar kan dit ook een probleem zijn als je een printer direct via een USB-draad aan een computer hebt verbonden? Kan het dan nog zijn dat die printer niet wil printen als je SMB1 uit hebt staan op de computer?
Via USB zal het werken. Bedoelde eerder multifunctional printers, die dus veel scans maken en deze in shares zetten. Via USB aansluiten zal voor het bedrijfsleven geen oplossing zijn.
OK dus dan zou ik net thuis helemaal uit kunnen zetten.
Microsoft raadt gebruikers ook aan om SMB1 uit te schakelen en over te stappen op een nieuwere variant.
https://blogs.technet.mic...16/09/16/stop-using-smb1/
hoe veel ze ook fixen ze hebben er geen vertrouwen in dat het vieilig is.
opvallend is wel dan ook met windows server 2016 SMB1 standaard gewoon geinstalleerd is
Volgens dat artikel vanaf RS3 niet meer:
Update June 30, 2017 – You have probably seen me announce this on twitter and in other public venues: Windows 10 RS3 (Fall Creators Update) and Windows Server 2016 RS3 have SMB1 uninstalled by default under most circumstances.
Misschien moeten we blij zijn dat ze worden gedicht en erover gecommuniceerd word, Dit zorgt voor nieuwe creativiteit waarbij er nieuwe aanvalmethodieken en nieuwe scenarios / risico's in kaart worden gebracht.

Daarnaast moet niet vergeten worden door het breede publiek gebruik van Windows (adoptie in bedrijfsleven en huis-tuin-en-keukengebruik) leidt dit tot breed support in allerlei varianten met zo hun wensen. Het gevolg is door die smaken is risico op misbruik groter.
Wellicht offtopic.

Wordt het niet eens tijd voor Tweakers om hier een soort van aparte nieuwsberichten van te maken?
Bij het lezen van de titel denk ik: zo, fijn, één exploit opgelost. Klik ik het artikel aan, kom ik erachter dat er bijna 50 lekken zijn gedicht waarvan 25 kritiek. Vervolgens wordt er alleen dieper ingegaan op één exploit.

Ik vind niet dat dit thuishoort onder 'Downloads', maar om dit soort nieuws zo weg te zetten met slechts uitdieping op één van de lekken vind ik ook vreemd. Naar mijn mening moet er dus een nieuw soort artikelen komen waarin dit soort artikelen staan.
Als je meer gedetaileerde info wil, kan je bij Microsoft zelf kijken en/of je op hun nieuwsbrieven abonneren.
Wil je dan voor alle 25 kritieke lekken een apart bericht? Lijkt me niet heel interessant voor 99,9% van de bezoekers, en als je meer wilt weten over alle lekken die ze gedicht hebben heeft MS een eigen site met veel meer informatie dan hier in een artikel past. De meest opvallende bug er uit pakken lijkt me wel het meest logisch.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*