Amerikaans Cert waarschuwt voor op Twitter verschenen Windows-zero-day

Het Amerikaanse Cert heeft een waarschuwing gepubliceerd voor een local privilege escalation-kwetsbaarheid in Windows, waarmee een aanvaller hogere rechten kan verkrijgen. Er is momenteel geen patch of work-around.

In een reactie op een inmiddels verwijderde tweet, waarin de kwetsbaarheid werd genoemd, zegt Cert-onderzoeker Will Dormann dat hij het bestaan van het lek op een volledig gepatcht Windows 10 64bit-systeem heeft kunnen bevestigen. Door misbruik te maken van het lek zou een lokale aanvaller System-rechten op een kwetsbaar systeem kunnen krijgen, bijvoorbeeld door een slachtoffer een kwaadaardig bestand te laten downloaden en uitvoeren. In een door het Cert gepubliceerde waarschuwing is vermeld dat het lek zich in de ALPC-interface bevindt.

De verwijderde tweet was afkomstig van het Twitter-account SandboxEscaper. De inhoud van het bericht is vastgelegd door The Register. Daarin zegt degene achter het account 'niets meer om het leven te geven' en bovendien 'nooit meer iets aan Microsoft te willen melden'. Microsoft laat in een reactie aan de site weten dat het zo snel mogelijk een update zal uitbrengen en verwees naar zijn maandelijkse updatemoment op de tweede dinsdag van de maand. Daaruit is op te maken dat Microsoft de ernst van het lek niet zodanig hoog inschat dat er een ongeplande update voor nodig is.

Update, 29.8: Het Nederlandse NCSC heeft een advies met mogelijke mitigations gepubliceerd.

Reacties (70)

guanche 28 augustus 2018 08:51

De repo staat gewoon nog onder een account met dezelfde naam als zijn twitter handle op Github. Tevens valt op te maken uit zijn IE11 exploit (zijn 2e en enige andere repo) dat het misschien een Belg betreft (er van uitgaande dat hij niet de moeite heeft gedaan zijn locatie te verbergen

[Reactie gewijzigd door guanche op 26 juli 2024 17:19]

totaalgeenhard @guanche • 28 augustus 2018 14:40

Friday, August 24, 2018
Looking for a job. (for real)
My previous work: https://sandboxescaper.blogspot.com/p/disclosures_8.html

I'm self educated. I don't really have any degrees worth mentioning.
I'm also transgender. But my transition so far has been really difficult (social isolation, lack of support.. etc), my voice is still really manly and I don't really pass at all (which probably weirds people out.. so I would rather say it upfront so I don't need to have anxiety about it, I have alot of anxiety issues). I also have not been able to change my name yet, legally its still "Thomas".

I have mainly focused on logic bugs so far. So ideally I would prefer a place that is willing to mentor me, and doesn't just expect me to start breaking all the hard targets and sandboxes by myself.

I would also prefer an onsite job in the UK (I'm currently a citizen of Belgium and also living there).

Bron:
https://webcache.googleus...&cd=4&hl=en&ct=clnk&gl=uk

dehardstyler @guanche • 28 augustus 2018 09:01

Ja dat viel mij ook op aan het filmpje wat erbij zat. Mooi stom om dat niet gewoon op US/UK te hebben staan.

Maar wel een interessante exploit, heb het nog niet kunnen reproduceren omdat de baas daar niet zo gelukkig van wordt denk ik, maar vanavond zeker even kijken.

edit: Ik zie nou ook dat hij waarschijnlijk "Thomas" heet.

[Reactie gewijzigd door dehardstyler op 26 juli 2024 17:19]

barchettanl @dehardstyler • 28 augustus 2018 14:01

Friday, August 17, 2018

Today was a pretty bad day. I found out that another bug of mine didn't get credited (cve-2018-8314). It basically lets you escape sandboxes by feeding a funny path into a filepicker window. I never spent this much time on a bug.

Its difficult to deal with the fact that all that time spent is wasted because I got absolutely nothing for it.

Friday, August 24, 2018

I'm also transgender. [...] I also have not been able to change my name yet, legally its still "Thomas".

I would also prefer an onsite job in the UK (I'm currently a citizen of Belgium and also living there).

dehardstyler @barchettanl • 28 augustus 2018 14:13

Dank voor je bericht. Dit maakt een hoop duidelijk. Hij/zij zit in een ontzettend moeilijk pakket dus.

GekkePrutser @dehardstyler • 28 augustus 2018 12:43

Aan zijn twitterpost te zien is hij ernstig depressief dus hij geeft waarschijnlijk niet zo om het verbergen van zijn identiteit. Ik hoop dat het goed komt met hem.

En het is ook niet zo heel erg nodig om zijn identiteit te verbergen denk ik. Het is niet strafbaar om lekken wereldkundig te maken. Het wordt in de security community wel heel erg gewaardeerd als je dit niet op deze manier doet maar eerst de softwaremaker waarschuwt en de kans geeft een fix te publiceren (responsible disclosure), zeker als je een serieuze carriere op dit gebied op het oog hebt. Het is nogal uit den boze. Maar het is niet verboden om het zo te doen.

Ik ben wel benieuwd naar het verhaal erachter, het klinkt nogal alsof hij slechte ervaringen heeft met het Microsoft bug reporting proces.

mcDavid @GekkePrutser • 28 augustus 2018 12:59

Aan zijn twitterpost te zien is hij ernstig depressief

Eh, wat? Dat concludeer je aan de hand van één tweet? Lijkt me nogal kort door de bocht.

Verder ben ik het met je eens. Ben ook erg benieuwd naar de motivatie om niet via MS' responsible disclosure procedure te handelen.

dehardstyler @mcDavid • 28 augustus 2018 13:05

Eh, wat? Dat concludeer je aan de hand van één tweet? Lijkt me nogal kort door de bocht.

Hoe vat jij dit op dan:

Daarin zegt degene achter het account 'niets meer om het leven te geven'

edit: typo

[Reactie gewijzigd door dehardstyler op 26 juli 2024 17:19]

dehardstyler @GekkePrutser • 28 augustus 2018 12:56

Ik hoop dat het goed komt met hem.

Ja inderdaad!

Ik ben wel benieuwd naar het verhaal erachter, het klinkt nogal alsof hij slechte ervaringen heeft met het Microsoft bug reporting proces.

Ja daar lijkt het inderdaad wel op. Misschien wilde ze hem niet betalen voor zijn bug of zoiets. Dat is natuurlijk puur speculatie, maar mocht dat het geval zijn dan snap ik de actie ergens wel.

FicoF @dehardstyler • 28 augustus 2018 13:30

Waarom is dat stom? Waarom zou hij zijn identiteit moeten verbergen volgens jou?

dehardstyler @FicoF • 28 augustus 2018 13:52

Omdat dat les 1 is bij welke cursus dan ook. Altijd regio settings op iets wat de hele wereld gebruikt. In je code alleen Engels etc. etc. En niet je Windows user die "Thomas" heet en msn.com wat letterlijk Belgie aangeeft. Het is gewoon niet nodig en dus moet je het niet doen, zo simpel is het eigenlijk.

Polydeukes @dehardstyler • 28 augustus 2018 17:00

Met deze stelling insinueer je dat ik leraar ben. Wat niet zo is. Een screen name zegt niets over iemands identiteit, het kan een alias zijn. Net zoals een mailadres. Als ik nu mark.rutte@gmail.com aanmaak, maakt mij dat nog geen minister president.

dehardstyler @Polydeukes • 28 augustus 2018 17:42

Het kan een alias zijn, maar dat is het niet. Kijk anders even verder dan alleen het artikel hier op Tweakers, dan hoef je hier ook niet zo bijdehand te doen. Verder insinueer ik helemaal niks, ik zeg alleen dat als je een klein beetje capabel bent, je dit soort dingen uit de weg gaat. Meer niet. Het is les 1 penetration testing. Username is: user en locale is en_US. Maar blijf jij vooral lekker doen waar jezelf gelukkig van wordt!

Polydeukes @dehardstyler • 28 augustus 2018 18:05

Ik heb de meeste reacties gelezen, en dus ook dat hij zich Thomas noemt en zegt dat hij in België woont. Dat maakt 't nog niet waar.
Maar blijf vooral lekker alles geloven wat je online leest en mij bijdehand noemen, als je daar gelukkig van wordt.

dehardstyler @Polydeukes • 28 augustus 2018 18:33

Maar blijf vooral lekker alles geloven wat je online leest en mij bijdehand noemen, als je daar gelukkig van wordt.

Ja, dat geloof ik wel ja. Wat heb ik daar mee te verliezen dan, dat ik de verkeerde naam voor mij heb?

Nogmaals, het is gewoon slimmer om zoveel mogelijk op de rest te lijken. Het is niet voor niks dat bijvoorbeeld de TOR bundle ook een bepaalde resolutie aanraad (13xxXxxx weet het niet meer precies ), en als je dan naar full screen gaat krijg je een waarschuwing.

En nogmaals het is alleen een advies, zorg dat je opgaat in de massa.

DragonChaser @dehardstyler • 28 augustus 2018 15:40

Snap je punt ben ook zo, maar als hij daadwerkelijk deppresief is dan boeit het hem niks.
Tevens succes met "een" Thomas vinden in Belgie xD, moest er toch even om lachen

ensingg @dehardstyler • 28 augustus 2018 20:28

Ik kom bij een file poc-alpc.rar die ik niet kan downloaden.
Is dit de uitleg van de exploit?

Mic2000 28 augustus 2018 08:27

Voor mijn beeldvorming. Alle lekken die maandelijks gemeld worden... betekend dus eigenlijk als ik ze bij elkaar optel dat Windows 10 vanaf release aardig kwetsbaar is voor hackers? Ofwel Windows 10 al die tijd aardig wat kwetsbaarheden heeft die beetje bij beetje gevonden worden, klopt dit?

[Reactie gewijzigd door Mic2000 op 26 juli 2024 17:19]

jay123 @Mic2000 • 28 augustus 2018 08:44

Het grote verschil met IOS / Linux/ ... is ook dat Windows een zeer groot marktaandeel heeft. Daardoor is het voor hackers interessanter om hiervoor kwetsbaarheden te zoeken, ipv de andere systemen. Dit levert veel meer op, moesten ze een gat vinden in de software. Zoals iedereen al zei; geen enkele software is 100% veilig. De fouten zijn gewoon nog niet gevonden.

foaly @jay123 • 28 augustus 2018 10:06

Zowel voor iOS als Linux zijn vorig jaar meer exploits gevonden dan voor een willekeurige windows release:
https://www.cybrnow.com/10-most-vulnerable-os-of-2017/
Het lastige voor windows is dat ze zoveel besturingssystemen hebben dat het totaal aan windows exploits weer hoger uitvalt. Maar het is tegenwoordig vooral Android waarvoor heel veel exploits gevonden worden.

r0n625 @foaly • 29 augustus 2018 14:43

Linux is alleen de kernel, of heb je het over linux distributies?
Dan moeten ze ook stuk voor stuk genoemd worden en niet op één hoop geveegd worden.

bantoo @jay123 • 28 augustus 2018 09:05

Niet echt, de hoofdprijs gaat naar IOS exploits en daarna Android. Windows RCEs zijn al jaren niet meer de kroon. Het blijft natuurlijk wel relatief makkelijk om iets op Windows te vinden tegenover IOS.

PolarBear @jay123 • 28 augustus 2018 09:02

Linux is ook intressant hoor kijk naar de bugs die in OpenSSL zaten.

jaenster

@PolarBear • 28 augustus 2018 09:09

een bug in OpenSSL is niet hetzelfde als een bug in Linux. Al heb je in Linux snel te maken met OpenSSL, maakt dat nog niet dat er een bug in Linux zit als OpenSSL lek is

_{edit; typo (tis nog vroeg)}

[Reactie gewijzigd door jaenster op 26 juli 2024 17:19]

Primuszoon @jaenster • 28 augustus 2018 09:26

Linux is dan ook een kernel en daardoor heb je gelijk dat een bug in OpenSSL niet een bug in Linux is. Echter gebruikt de menigte vaak Linux als naam voor OS distributies gebaseerd op de Linux kernel. Als OpenSSL een deel van een OS distributie is, heeft die distributie een lek. Vanuit dat standpunt is PolarBear ook niet onjust.

servies @Primuszoon • 28 augustus 2018 10:22

En dan vergeet je maar even dat OpenSSL geen verplicht deel van een OS distributie is en ook door zee4r veel software op de Windows/Apple markt wordt gebruikt, dus PolarBear is wel onjuist: OpenSSL heeft niets met Linux te maken

r0n625 @Primuszoon • 28 augustus 2018 11:29

Waarmee we ook zeggen, dat Android een Linux-distributie is.
Dus ...... wordt Linux meer gebruikt dan Windows, wanneer we de servers meetellen

Polydeukes @Mic2000 • 28 augustus 2018 08:31

Ik ben geen expert, maar volgens mij heeft de meeste software kwetsbaarheden. Het wordt gewoon onbetaalbaar om iets te bouwen wat 100% waterdicht is, als dat überhaupt al mogelijk is. Het is daarom goed dat er "hackers", hobbyisten en pro's zijn die de kwetsbaarheden opzoeken en melden, zodat er zo snel mogelijk een fix voor kan worden gemaakt.

Aetje @Polydeukes • 28 augustus 2018 09:00

Het is wel mogelijk, of iig een stuk meer mogelijk dan nu, maar dan wordt het duurder om te coderen (je moet immers secuurder werken en je code nalopen op gevaarlijke constructies) en kan je performance minder worden (zie de Meltdown/Spectre issues).
En omdat bedrijven voor de korte termijns winst gaan is het nog altijd een paradijs voor hackers. Als je echt talent hebt ben je sneller rijk met een 0 day vulnerability dan slaafje spelen voor een softwareboer.

terror538 @Aetje • 28 augustus 2018 10:14

Het is net zo goed "mogelijk" als 150km in 1 keer over een balanceer koord te lopen zonder te vallen.

En dat per programma.

terracide @Aetje • 28 augustus 2018 09:12

Het is per definitie onmogelijk en het wordt ook nooit mogelijk. Het enige wat je koopt is tijd. Het is waar dat je tegenwoordig al rekening met beveiliging houdt tijdens de designfase voor alle ingangen en uitgangen van je software maar dat is nooit 100%.

Username3457829 @terracide • 28 augustus 2018 10:43

Vanuit het oogpunt van een leek:
Maar waarom dan? Waarom is het onmogelijk om software zonder fouten/lekken te programmeren? Ik neem aan dat het toch niet om typfouten gaat ofzo.

[Reactie gewijzigd door Username3457829 op 26 juli 2024 17:19]

latka @Username3457829 • 28 augustus 2018 15:58

De omvang maakt het onmogelijk: een if() statement aftesten betekent minimaal 2 testgevallen (if(true) en if(false)). Als hier nog een if() statement op volgt zijn het worst case 4 testgevallen (voor 2 if()statements). Algemeen: er zijn 2^x tests nodig waar bij x het aantal if statements is in je software. Met 128 if statements in je software en 1 test per seconde red je het al niet meer om alles te testen voor het einde van het universum.

Derkades @latka • 28 augustus 2018 18:26

En dan nog alle mogelijke gevallen van user input of inhoud van bestanden

latka @Derkades • 28 augustus 2018 22:40

Met genoeg if()s heb je die allemaal te pakken, maar dan blaast de logica nog verder op. Zie bijv. state-space explosion in combinatie met model-checking (een formele methode om software bugs aan te tonen: supergoed, maar niet bruikbaar door de hoeveelheid states behalve in special cases).

terracide @Username3457829 • 28 augustus 2018 11:40

omdat software afhankelijk is van zoveel meer dan zichzelf. Denk aan het systeem OS, runtimes, integratie met andere software etc. Daarnaast worden er elke dag nieuwe lekken, exploits en manieren om een aanval te doen ontdekt. Je kan je software zoveel mogelijk patchen maar 100% dichtmaken is onmogelijk. Dat wil niet zeggen dat er fouten in de software zitten, dat is iets heel anders.

curkey @Username3457829 • 28 augustus 2018 11:43

Omdat je alles in principe ook kunt misbruiken, niet alleen software.

Foutloze of niet exploiteerbare auto's bestaan ook niet, tenslotte. Iemand kan de remleiding doorknippen. Je kunt dan een lampje op je dashboard laten branden als de remdruk wegvalt, maar als een 'hacker' dan zorgt dat dat lampje het ook niet meer doet, et cetera.

Zo ook met software, er zijn 1 goede en praktisch oneindig veel manieren om software te gebruiken resp. misbruiken.

Verwijderd @Username3457829 • 28 augustus 2018 12:43

Omdat het nog altijd mensenwerk is. En mensen zijn (gelukkig) niet perfect. En typfouten kunnen wel degelijk voor problemen zorgen. Stel dat je een variabel VariabeleA en VariabeleS, en je typt per ongeluk VariabeleS waar je VariabeleA bedoelt, dan kan dat tot fouten leiden. Afhankelijk van de functie van die variabele kan dat een fout zijn die je niet eenvoudig vindt.

Derkades @Verwijderd • 28 augustus 2018 18:24

In bijna alle gevallen is het niet een typfout, maar eerder dat het programma aanneemt dat iets (vooral user input) is zoals het hoort. Een hacker geeft een bepaalde input (zoals bij deze) of veranderd iets op disk (de recente Fortnite installer problemen)

mjansen2016 @Username3457829 • 28 augustus 2018 13:12

Je kan geen beveiligingsmaatregelen treffen tegen een fout of lek dat nog niemand heeft geconstateerd.

Daarnaast draait je software, al was die waterdicht bovenop een OS, mogelijk een database connectie en hardware waar ook "fouten" in kunnen zitten, wat ervoor kan zorgen dat je perfect waterdichte software via de omgeving waarin het draait alsnog gegevens kan lekken.

mg794613 @Username3457829 • 28 augustus 2018 16:56

Omdat je dan geen programma meer af krijgt. En als dat wel lukt het voor geen meter meer performed.
De enige anologie voor leken om uit te leggen over de gemoeide complexiteit is 'het graan op het schaakbord probleem'

Verwijderd @Aetje • 28 augustus 2018 12:41

En omdat bedrijven voor de korte termijns winst gaan is het nog altijd een paradijs voor hackers.

Hoe verklaar je dan dat er ook regelmatig forse lekken worden gevonden in OSS? De community heeft toch geen winstoogmerk en kan dan toch zoveel tijd er in steken als nodig is om foutloze software te maken?

Derkades @Verwijderd • 28 augustus 2018 18:29

De code is openbaar dus het is makkelijker om fouten te vinden. Je hoeft niet dingen te gaan gokken, je ziet precies wat de software doet met de gegevens die je het geeft.

Dat er meer lekken worden gevonden wil niet zeggen dat er ook meer lekken in zitten. De kans is groot dat in veel closed-source software zoals Windows een veel groter aantal lekken zitten, die een stuk moeilijker te vinden zijn.

Wat uiteindelijk beter is verschillen de meningen over

MetalG @Polydeukes • 28 augustus 2018 08:53

Ik denk dat er meer awareness is, alles was vroeger ook zo lek als een zeer, net zoals er vroeger wellicht evenveel overvallen waren dan nu. Maar alles komt veel sneller en meer in de media.

Met die beveiligingslekken is dit ook zo vermoed ik. Iets veilig bestaat niet en zal volgens mij nooit bestaan.
Het is veilig tot het gekraakt is, en eens het gekraakt is, dan blijft het vaak nog heel lang ongepatched omdat er 1, geen patch voorhanden is, of twee niets veiliger kan op die moment.

totaalgeenhard @Polydeukes • 28 augustus 2018 14:51

Echo " ben geen expert, maar volgens mij heeft de meeste software kwetsbaarheden."

Hoeveel kwetsbaarheden kun jij in bovenstaande "software" vinden ?

Vroeger toen men in assembler / machinetaal programmeerde moest men wel rekening houden met alles wat nodig was voor functionaliteit anders werkte het niet.

Met programmeertalen die ver van hardware af staan weten meeste hedendaagse programmeurs totaal niet wat er onder de motorkap afspeelt. En aangezien men onder druk maar functionaliteit moet opleveren kijkt men niet eens naar veiligheid.

Kijk alleen maar naar alle grote apps en websites die allemaal vol zitten met fouten en alleen de grote fouten worden opgelost.

Polydeukes @totaalgeenhard • 28 augustus 2018 17:06

Hoeveel kwetsbaarheden kun jij in bovenstaande "software" vinden ?

Geen idee waar je het over hebt, maar dat zal mijn beperking als leek zijn.

totaalgeenhard @Polydeukes • 28 augustus 2018 17:45

Die regel is al opzichzelf staande software.

Samenvatting van mijn vorige reactie: Software kan fout vrij zijn echter staat tijd dat niet toe.

Je hebt ontwikkel methoden zoals Agile waarbij eind doel niet vast staat en men naar behoefte mutaties blijft maken, verbetering na ontdekking van ongewenste feature (zoals security lek) is een iteratie totdat er weer een functie bij moet komen of verbetering moet plaatsvinden.

DrClaw @Mic2000 • 28 augustus 2018 08:56

Als Windows 10 sinds de release niet veranderd zou zijn, dan heb je gelijk, dan zouden alle tot nu toe gevonden kwetsbaarheden te herleiden zijn tot die eerste release.

Echter, Windows 10 krijgt maandelijks nieuwe features en updates. Elk stuk code lost een aantal problemen op, en soms introduceren ze weer nieuwe kwetsbaarheden. Soms zijn dat kwetsbaarheden waar nog nooit iemand aan heeft gedacht, en soms zijn deze veroorzaakt doordat de nieuwe code niet goed samenwerkt met reeds maanden of zelfs jaren oude code, terwijl deze daarvoor wel goed had gewerkt.

En zoals de overigen ook al aangeven: elk stuk software heeft wel kwetsbaarheden. Zelfs Mac OS en linux. Het is interessant om eens te kijken naar hoe men bij deze OS'en omgaat met het vinden van bugs, het ontwikkelen van patches en het vrijgeven van de fixes. Het geeft aan hoe "open" men is omtrent kwetsbaarheden.

Verwijderd @DrClaw • 28 augustus 2018 10:17

Windows 10 Fall Creators Update introduceerde ook Windows Defender Advanced Threat Protection (ATP) waarmee misbruik van kwetsbaarheden gedetecteerd kunnen worden.

Li0nHeart @Mic2000 • 28 augustus 2018 08:31

Ja, maar er bestaat geen perfecte software / ontwikkelaar. Dus dit geldt voor elk stuk software.

dabronsg @Mic2000 • 28 augustus 2018 08:32

klopt. bij het patchen van het ene lek kan natuurlijk ook een nieuw lek ontstaan. En als je processor lek is...

Dit is er natuurlijk wel eentje van lokaal aanwezig zijn van de aanvaller. Het risico is daarmee wel iets kleiner dan bij remote toegang.

Chuk @Mic2000 • 28 augustus 2018 08:33

Al die tijd en in de toekomst nog. Een besturingsysteem zal nooit 100% bug/exploit-free zijn, het bevat zodanig veel functionaliteiten en mogelijkheden dat er altijd manieren zijn om door de beveiligingslagen heen te komen. No amount of patches will stop that completely.

clueless12 @Mic2000 • 28 augustus 2018 08:34

Yep. En het mooie van de updates is dat daar dus de bugs in verzameld zijn. Die patches worden dan weer uitgeplozen om exploits te maken... Heel belangrijk dus om de patches snel toe te passen...

Maar alle software bevat bugs. Je ziet ook dat het type bugs in golfbewegingen gaat. Nu zijn opeens de cpu optimalisaties 'hot' om te gebruiken voor exploits. De ene bug inspireert blijkbaar het vinden van vergelijkbare bugs... Maar dat is een beetje off-topic

Aardedraadje

@Mic2000 • 28 augustus 2018 08:35

Ja. Dat geldt voor elk systeem. Ook Linux, Mac, Android.. Kijk maar hoe vaak je veiligheidsupdates binnen krijgt.

majetta @Mic2000 • 28 augustus 2018 10:29

Alles is aardig kwetsbaar als je een hacker fysiek toegang en tijd geeft om het te exploiteren.

een hacker kan in die zin iedereen zijn van een bankmedewerker tot de tuinman die een USB stick in jou laptop stop met een keylogger om jou wachtwoorden te stelen.

themac1983 @Mic2000 • 28 augustus 2018 13:25

Vergeet niet dat veel van die lekken eigenlijk Intel lekken waren, niet Windows zelf.

Tokkes @Mic2000 • 28 augustus 2018 13:57

Je zit met een codebase van miljoenen regels, libraries her en der.
Linux KERNEL alleen al, bijvoorbeeld zit op 12-15 miljoen regels code, daar moet de rest van het OS nog bij.
Verschillende teams die aan verschillende componenten werken. Er zal vast wel fuzzing software en andere vulnerability testing op worden losgelaten vooraleer zoiets naar release-branch gepushed wordt, maar dat dekt niet de volledige lading natuurlijk.

Je kan je voorstellen dat daar wel wat werk bij komt kijken.

[Reactie gewijzigd door Tokkes op 26 juli 2024 17:19]

bbob @Mic2000 • 28 augustus 2018 09:07

Hoop voor jou dat je dan geen windows 10 gebruikt

joco 28 augustus 2018 09:32

moet je al eerst weer iets kunnen draaien op het systeem zelf? om daarna admin rechten te kunnen verkrijgen?

Dan is de vraag voor mij eerst hoe komen ze eerst op het systeem zelf? Kan dat via de browser? (dus via een random website). Want als je eerst echt iets moet "installeren" dan zie ik dit soort zaken niet als heel groot probleem.

anargeek @joco • 28 augustus 2018 10:54

Hoe komen ze eerst op het systeem zelf? Vaak door middel van phishing emails met attachments of door in te breken op het systeem. Een privilege escalation zoals deze is niet de eerste stap in een besmetting. Het begint bij een initiele besmetting waarbij code wordt uitgevoerd met minimale rechten (bijv. een bug in een ander stuk software), daarna wordt de privilege escalation uitgevoerd en voila, je hebt volledige controle over een machine.

Een voorbeeld: Vorig jaar was er een grote uitbraak van WannaCry ransomware. Deze gebruikt een exploit in SMB (bekend als DoublePulsar) om binnen te komen op een systeem zonder interactie met de gebruiker. Daarna wordt de ransomware gedraaid. Als je dezelfde exploit zou gebruiken om binnen te komen en daarna deze privilege escalation gebruikt om hogere rechten te krijgen, kan je veel meer met het systeem doen en nog veel kwaadaardigere virussen installeren. Ook zonder interactie met de gebruiker.

Tokkes @anargeek • 28 augustus 2018 13:59

Even bij vermelden dat de exploit die WannaCry mogelijk maakte al maanden ervoor door Microsoft was gepatched. De reden waarom zoveel mensen er door zijn getroffen? Uitgeschakelde Windows Updates...

Verwijderd @joco • 28 augustus 2018 09:58

"moet je al eerst weer iets kunnen draaien op het systeem zelf? om daarna admin rechten te kunnen verkrijgen?"
Ja, privilege escalation exploits zijn bedoeld om je rechten te verhogen naar die van root/SYSTEM.

"Dan is de vraag voor mij eerst hoe komen ze eerst op het systeem zelf? Kan dat via de browser? (dus via een random website). "
Als je het combineert met een andere kwetsbaarheid in de browser, dan zou dat kunnen.

"Want als je eerst echt iets moet "installeren" dan zie ik dit soort zaken niet als heel groot probleem."
Misschien zou het een probleem kunnen zijn op een gedeelde computer.

Karsten88 28 augustus 2018 13:41

Gelukkig is de implementatie open source, zo kan je voor nu ieder geval het lek tegenhouden:
icacls c:\windows\tasks /remove:g "Authenticated Users"
icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

Waarschuwing: dit blokkeert schrijfrechten van System op je taken en haalt authenticated users rechten weg op de tasks map. Mogelijk beinvloed dit de werking van geplande taken. (Bij een korte test bleek hier alles nog te werken)

wica 28 augustus 2018 14:19

Dit is vaag, de betreffende tweet leek idd verwijderd te zijn.
Maar in eens is die er weer...
https://twitter.com/Sandb...tatus/1034125195148255235

yinnemans 28 augustus 2018 09:11

Even vraag als redelijke leek op gebied van cyber security.... loop je nu als non- early adapter op het gebied van besturingssystemen een groter of juist kleiner risico op aanvallen van buitenaf.
M.a.w.: de halve wereld (gechargeerd) schakelt over op het nieuwste besturingssysteem en een kleine schare blijft hangen in de voorlaatste variant (zoals ik nog steeds op W7..)?

Of is per definitie: nieuwe besturingsoftware -> veiliger dan oude ?

Even los van het feit dat ik an sich helemaal geen interessante kandidaat ben om aangevallen te worden dan (valt hier niets te halen

)

anargeek @yinnemans • 28 augustus 2018 10:39

Dat valt niet te zeggen. Er zijn veel meer kwetsbaarheden gevonden in Windows 7 omdat het al jaren uit is, en daardoor een groot marktaandeel heeft, en daarom veel onderzoek naar gedaan is. Als je Windows 7 installeert zonder updates ben je kwetsbaar voor tientallen grove bugs.
Daar tegenover zet je een nieuw OS wat nog weinig onderzocht is en daardoor zijn er weinig bugs over bekend. Maar het nieuwe OS heeft wel nieuwe beveiligingsmaatregelen (zoals Win10 heeft).

Nu zijn we al een aantal jaar verder met Windows 10 natuurlijk, en wordt het steeds meer onderzocht op grove bugs. Maar Windows 10 is heel anders opgezet dan Windows 7, met security vaak als uitgangspunt. Win10 heeft echt heel geavanceerde manieren om beveiliging goed te regelen, van het virtualiseren van kernel-onderdelen tot volwaardige sandboxing in de vorm van Application Guard. Dit zijn zaken die niet in Windows7 zitten, ook niet na updates.

De enige manier om je computer goed beveiligd te houden is door alle updates te blijven installeren. Maar op een gegeven moment houden die updates natuurlijk op (Windows 7 EOL was in 2015, extended support in 2020) en dan zullen kritieke updates niet meer uitkomen. Dus het is wel zaak om op tijd de overstap te maken.

Zoals gezegd, het is dus niet zo simpel te zeggen. Maar als je nu nog steeds op Windows 7 zit wordt het wel tijd om de overstap te maken. Veel exploits voor Windows 7 (en daar zijn er veel meer van dan voor Win10) werken simpelweg niet op nieuwere versies, dus je bent sowieso veiliger als je nu overstapt.

En om een praktijkvoorbeeld te noemen: malware onderzoek wordt voornamelijk gedaan op Windows 7 machines omdat verreweg de meeste malware die momenteel in omloop is, gericht is op Windows 7.
En wanneer mijn collega-hackers een netwerk testen zie ik ze altijd een stuk blijer kijken als ze oudere systemen tegenkomen, omdat daar veel meer exploits voor bekend zijn.

Ik zou dus niet zozeer zeggen dat een nieuw OS _per definitie_ veiliger is dan een oud systeem met alle updates, maar na verloop van tijd is dat zeker wel zo

[Reactie gewijzigd door anargeek op 26 juli 2024 17:19]

Verwijderd 28 augustus 2018 09:18

Krijgt iemand de rar op github geopend? Dat lijkt hier niet te lukken

Verwijderd @Verwijderd • 28 augustus 2018 09:36

Geen enkel probleem om de RAR te openen. De kwetsbaarheid gaat er dus over dat je met de Windows taakplanner een programma met SYSTEM privileges kunt opstarten.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 17:19]

|sWORDs| @Verwijderd • 28 augustus 2018 17:24

Als het is wat ik denk dat het is dan bestaat deze al sinds Windows XP en is deze toen ook al eens gemeld bij Microsoft, reactie toen: won’t fix, as designed.

Op dit item kan niet meer gereageerd worden.

Amerikaans Cert waarschuwt voor op Twitter verschenen Windows-zero-day

Lees meer

Reacties (70)

Sorteer op:

Weergave: