×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft dicht lekken in Outlook en dns-client

Door , 24 reacties

Microsoft heeft tijdens een nieuwe editie van patch tuesday meer dan 60 lekken in zijn producten gedicht. Daaronder is een bug in Outlook die de inhoud van mails kon prijsgeven en een lek in de Windows-dns-client die het uitvoeren van code mogelijk maakte.

De Outlook 2016-bug, met kenmerk CVE-2017-11776, is beschreven in een bericht van het Oostenrijkse beveiligingsbedrijf Sec Consult. Onderzoekers van het bedrijf schrijven dat de bug ervoor zorgt dat een e-mail die met S/MIME is versleuteld, zowel in versleutelde als in onversleutelde vorm werd verstuurd. Daardoor kan een aanvaller die de mail onderschept, de inhoud ervan waarnemen. Het probleem zou zich in ieder geval gedurende de afgelopen zes maanden hebben voorgedaan bij e-mails die werden verstuurd met plain text formatting. Standaard is dat html. Bij gebruik van Exchange gebeurt dat alleen tot de eerste hop, bij smtp blijft de e-mail gedurende het volledige traject onversleuteld, aldus het bedrijf.

Beveiligingsbedrijf Bishop Fox heeft een analyse gepubliceerd van het lek in dnsapi.dll met kenmerk CVE-2017-11779. Het lek is te misbruiken doordat een aanvaller in bijvoorbeeld een man-in-the-middle positie een kwaadaardig dns-antwoord verstuurt naar een client. Op die manier kan hij op afstand willekeurige code uitvoeren binnen de applicatie die dns gebruikt, bijvoorbeeld de browser. Het lek is aanwezig in Windows 8 en 10 en versies tussen Windows Server 2012 en 2016.

Een derde lek dat Microsoft heeft gedicht, bekend als CVE-2017-11826, betreft een zeroday in Office die volgens het Redmondse bedrijf actief wordt gebruikt door aanvallers. Doordat een aanvaller gebruikmaakt van een speciaal bestand kan hij, bijvoorbeeld door het te versturen via e-mail, op afstand code uitvoeren op het systeem van een slachtoffer. Als het slachtoffer beheerdersrechten bezit, kan de aanvaller het systeem in kwestie overnemen, waarschuwt Microsoft. Het lek heeft te maken met de manier waarop Office omgaat met geheugenobjecten. Het lek is onder meer aanwezig in Word 2016 en oudere versies. Het Chinese beveiligingsbedrijf Qihoo 360 publiceerde eind september een analyse van het lek.

Door Sander van Voorst

Nieuwsredacteur

11-10-2017 • 14:20

24 Linkedin Google+

Reacties (24)

Wijzig sortering
Toevoeging op het derde lek.

Hiervoor zijn een user met administrator rechten nodig.
If the current user is logged on with administrative user rights, an attacker could take control of the affected system.
Zucht, gewoon even die link openen Sander. Best belangrijke informatie als je exploits uitlegt.

EDIT: Voorbeeld mocht ook wel beter. "bijvoorbeeld door het te versturen via e-mail." is heel wat minder dreigend dan "An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights" Het eerste stukje is juist mooi en uitgebreid geschreven, misschien dat ik daarom zo val over de beetje gebrekkige afsluiting.

[Reactie gewijzigd door batjes op 11 oktober 2017 14:56]

Er zijn helaas hele volksstammen die altijd met beheerdersrechten werken en UAC maar hinderlijk vinden en dus uitschakelen.
Klopt, maar dat soort gebruikers ga je eigenlijk nergens tegen beschermen. Lekker laten gaat, leren het vanzelf wanneer het goed fout gaat.
In het geval van sommige (verouderde) programma's/games levert UAC ook daadwerkelijk problemen op met de compatibiliteit (waarbij openen als Administrator ook niet werkt). Standaard laat ik het bij mezelf en anderen aanstaan en probeer ik te voorkomen het uit te zetten, maar soms kan ik niet anders dan uitzetten.
Niet installeren in Program Files lost een hoop op. (Ok, niet alles)
Er zullen altijd uitzonderingen zijn. Buiten de program files of zelfs C schrijf houden voorkomt al een boel problemen.

Is dit geen oplossing? Je kunt applicaties als het ware whitelisten voor UAC.

[Reactie gewijzigd door batjes op 11 oktober 2017 17:16]

Ik moet wel met beheerdersrechten werken ander kan ik niks doen op mijn laptop (zoals velen) op desktop weet ik het niet zeker.
Ik zal het laatste stukje wat uitbreiden, thx batjes!

*edit: het versturen van de e-mail is geen voorbeeld van een actie maar een manier om het bestand bij het doelwit te krijgen.

[Reactie gewijzigd door duqu op 11 oktober 2017 14:59]

Geen probleem, hoe meer details in het bericht zelf, hoe beter.

Het lek werkt ook op normale user accounts wel, maar kan hier weinig over vinden wat dan de schade of impact kan zijn. Waarschijnlijk gewoon afhankelijk van de rechten die de account dan heeft. In het ergste geval dat je data gejat kan worden(waar jij op leek te doelen). Maar het dan kan geen controle over je systeem krijgen.

Ik had ook naar de 2 andere exploits gekeken, maar deze had je al erg goed verwoord :)
Is er een herstart vereist voor deze updates?
Hoogstwaarschijnlijk wel. Dit is namelijk onderdeel van een Cumulative Update (iig onder Windows 10), en die vereisen vrijwel altijd een herstart.

Merk ook op dat in die Cumulative Update nog veel meer gefixed wordt dan alleen deze genoemde bugs.
Is er een herstart vereist voor deze updates?

Niet voor die van Outlook, wel voro de andere aangezien - zoals wildhagen opmerkt - dit een onderdeel van de grote Windows 10 update is. Die voor Outlook is echter een losse en vereist geen systeem-herstart (mits Outlook afgesloten was tijdens het draaien).
Gelukkig is iedereen bij ons Local Admin :D

Geen grapje, iedereen is bij ons Local Admin.

[Reactie gewijzigd door Aschtra op 11 oktober 2017 16:03]

Mensen lachen er om, maar er zijn best nog wel een aantal bedrijven waar iedereen inderdaad Local Admin is. Bijvoorbeeld omdat ouderwetse software anders niet werkt (ja echt, ik spreek uit ervaring) maar helaas is het niet IT die hierover beslist, maar diegene die over de financieen gaat.

Tsja, het enige wat je kan doen is inderdaad hopen dat het een keer (bijna) goed mis gaat, zodat je kan zeggen “told you so” en hopen dat ze dan luisteren!
Ik heb er totaal geen probleem mee. Ook zijn er nooit problemen ontstaan bij ons omdat iemand Local Admin is.
Er ontstaan ook geen problemen omdat iemand local admin is, het is een probleem dat iemand local admin is. Als je anno 2017 nog meent dat eindgebruikers best wel local admin mogen zijn, hoor je niet thuis in de ICT. Klinkt rot, maar dat is ook de bedoeling
Ligt er maar net aan hoe je omgeving gebouwd is. Iedereen is hier vanaf het begin al local admin geweest en de omgeving is daarop aangepast. Onze security officer ziet het liever ook anders maar de omslag kreeg hij er niet doorheen bij het top management.

Ik heb geen zin om alleen maar software te gaan installeren / updaten strals voor alle gebruikers (makkelijkste voorbeeld) of software te gaan bijhouden in een programma met een library voor toegestane applicaties. Daar krijg je je week wel mee vol afhankelijk van de hoeveelheid applicaties en wat er allemaal niet getest moet worden voor een kleine update van een willekeurig pakket.

Ik heb een bedrijf gewerkt die zo werkte en dat werkt echt niet motiverend kan ik je zeggen. Zit je schijf vol maar kan je niet direct zien waar het aan ligt? Ik installeer wel even een programma als Treesize, heb je het zo zichtbaar. Oh wacht kan niet. Dus maar andere manieren zoeken (die véél meer tijd kosten)

Software toevoegen in het pakket met toegestane software? Kon daar ook niet zomaar. Dan ging je een heel proces in wat maanden duurde

[Reactie gewijzigd door Aschtra op 11 oktober 2017 22:50]

Ik zou m'n stelling kunnen herhalen, maar dat is zo gratuit
Ik heb ook lokaal admin rechten, maar krijg toch wel eerst een login scherm te zien voordat ik die actie kan uitvoeren. En sommige dingen zijn nog steeds niet toegestaan (o.a. virusscan stoppen, firewall uitzetten).
In dat geval moet je IT manager een nieuwe baan zoeken.

Geen grapje
Helaas komt dat nog maar al te vaak voor. En andere uitersten zoals bij de Belgische voetbal bond. Daar is alles heel erg dicht getimmerd. Enkel in de pauze kunnen werknemers 'internet' gebruiken en dat zijn dan de websites van sponsoren. :/ Nu is dat voor de normale werknemer mensen met iets hoger kunnen wel internet gebruiken maar alles is heel erg afgesloten.

Nu hoeft je voor normaal gebruik echt geen admin rechten te hebben en is het zeer twijfelachtig dat iedereen die machtiging heeft. Niet te doen, gewon een normaal user account en klaar :)
Er zijn niet zoveel pakketten die local admin rechten nodig hebben.
Tenzij er een hele goede reden is om iemand local admin te geven zou ik het er toch afhalen.
Zoveel mogelijk voor de gebruikers via group policies, software install tools werken als je op een domein zit.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*