Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft patcht in augustus verschenen zero-day

Microsoft heeft in het kader van een nieuwe patch tuesday een lek gedicht dat eind augustus op Twitter verscheen en dat een aanvaller verhoogde rechten geeft op Windows-systemen. In totaal dichtte Microsoft 61 kwetsbaarheden, waarvan 17 'kritiek'.

Het nu gepatchte Windows-lek heeft de aanduiding CVE-2018-8440 en wordt volgens Microsoft actief aangevallen. Daarvoor waarschuwde beveiligingsbedrijf ESET vorige week. Volgens het bedrijf maakte een groep die het zelf aanduidt als PowerPool gebruik van de op GitHub verschenen exploitcode in een malwarecampagne. De code was wel door de groep aangepast. De verspreiding gebeurde door middel van een spamcampagne met kwaadaardige bijlagen.

Als de groep na een eerste infectie vaststelde dat een pc mogelijk gevoelige bestanden bevatte, installeerde de malware een backdoor die van de Windows-exploit gebruikmaakte om hogere rechten te verkrijgen. Het gaat dan ook om een privilege escalation-kwetsbaarheid die aanwezig is in de zogenaamde ALPC-interface van Windows.

Onder de andere gepatchte kritieke kwetsbaarheden is ook CVE-2018-8475, die het op afstand uitvoeren van code mogelijk maakt, onder meer op systemen met Windows-versies vanaf Windows 7. Microsoft meldt dat het lek te misbruiken is via een afbeelding, waardoor een aanvaller een doelwit alleen zover hoeft te krijgen een afbeelding te bekijken. Volgens beveiligingsbedrijf Talos was het voldoende om een kwaadaardige afbeelding op een webpagina te laden. Microsoft zegt dat het lek niet actief werd aangevallen.

Door Sander van Voorst

Nieuwsredacteur

12-09-2018 • 10:47

29 Linkedin Google+

Reacties (29)

Wijzig sortering
Dit update-pakket gedroeg zich eigenaardig. Meestal vereist een dergelijke update een reboot waarna de installatie wordt afgerond waarop een popup notificatie verschijnt dat er updates zijn ge´nstalleerd.

Maar deze keer bleek de cpu nog hard door te werken nß de notificatie. Het bleek om de trusted installer te gaan die nog flink veel tijd nodig had de installatie werkelijk af te ronden. Anders dan anders.
Dat TrustedInstaller na een update en reboot nog even draait is echt niet zo bijzonder, dat gebeurt bij best wel veel updates tbv post-install processen.

Alleen draait die meestal zˇ kort dat jij als gebruiker dat nooit ziet, omdat hij simpelweg al klaar is voordat je uberhaupt Taskmanager kan opstarten :)
Dat klopt, dat is ook wat ik beschrijf. Pas als ie helemaal klaar is na een reboot verschijnt de notificatie. Maar deze draaide door NA de notificatie, en dat is wel bijzonder.
Ik had telkens opnieuw opstarten om update af te ronden, vervolgens deed ik dat en de update was nog steeds niet ge´nstalleerd. Vervolgens om de uur 1 melding om weer opnieuw op te starten zonder enige resultaat, dit ging vervolgens 1 week door en nu is het eindelijk gefixt...
Jezus, van de CVE details op de MS Portal:
To exploit the vulnerability, an attacker would have to convince a user to download an image file.
Als je op een website komt wordt de afbeelding toch per definitie door je browser gedownload?
Is dit dan niet een beetje een downplay?

Of moet de afbeelding ook echt geopend worden met Windows Photo's of Photo viewer oid?
Als het goed is draait je browser in een sandbox. Dat betekend dat een bestand in de sandbox (een image in dit geval) niet zo maar buiten de sandbox dingen kan doen.
Veel erger nog vind ik hun CVSS score tabel...

een veel te brede kolom voor "Product" met veel witruimte en een afgebroken CVSS Vector String
Leuk die uiteindelijke score (en zeker nuttig voor een snelle scan/sortering), maar veel interessanter is hoe die score tot stand komt (local/remotely exploitable; met of zonder authentication vereist door de attacker etc...)
De string is echter maar kwart leesbaar en de hyperlink gaat niet naar een detailpagina waarin je alsnog de hele string kunt lezen, maar naar de NIST-pagina die de CVSS scoring uitlegt.
Yep, vanochtend net 17754.1 ge´nstalleerd.
Hoe kan ik nu zien of deze patch KB4475132 voor CVE-2018-8440 er in zit?
Ben even de weg kwijt in de vele gewijzigde UI's |:(

[Reactie gewijzigd door pe0mot op 12 september 2018 11:27]

Powershell:
get-hotfix | ? HotFixID -eq KB4475132
Of korter: Get-HotFix -Id KB4475132
De eerste geeft de cryptische melding dat er iets niet lokaal staat, de tweede optie geeft niets terug.
Ik heb versie 1809, maar zoeken op de Microsoft site geeft alleen patches tot en met 1803.
Oftewel, ik weet nog steeds niet of ik gepatcht ben.
Eind augustus verschenen, en direct de volgende patch-ronde mee? Netjes, zeker met alle interne kwaliteitscontrole, al is "na het tonen van een speciaal plaatje ineens admin rechten hebben" (zo als ik het begrijp) best wel een lek.
Sorry, maar dat is onzin op vele vlakken.
- Microsoft heeft (natuurlijk) wÚl een QA afdeling ;)
- insiders en consumenten "testen" wel degelijk, maar zijn geen QA/QC. Ze vervangen eerder (gedeeltelijk) IT afdelingen die patches testen
- er zijn juist een stuk minder problemen met patches dan vroeger

[Reactie gewijzigd door the_stickie op 12 september 2018 13:12]

De laatste 6 patchrondes nemen de problemen juist exponentieel toe. Machines die niet meer opstarten, VM's die geen netwerkconnectiviteit meer hebben, patches die in alle haast gerecalled worden, etc. Ik heb er maandelijks mee te maken :)
Als je er maandelijks mee te maken hebt, is het dan niet een idee om gebruik te maken van de mogelijkheid om patches x dagen uit te stellen?
Dat gebeurt nu ook :) Iets met een ezel en een steen ;)
Gebruik dat zelf ook, alleen dan zou ik deze patch wel alvast willen. Moet vast kunnen, moet alleen nog even uitzoeken hoe.
dit is misschien totaal off topic,
maar de site die je aan haalt is een van de slechtste it sites die ik ken, inclusief de nederlandse tak.
bijna alle artikelen zijn er op gebaseerd om een product af te kraken waarbij de argumentatie vaak dubieus is.
Neen, omdat het onzin is ;)
Wat wel klopt, en waar je naar refereert, is dat het testen van patches niet alleen meer bij Microsoft zelf gebeurt (ze werken zelf altijd met versies die voorlopen en hebben geautomatisserde testingfarms) maar ook heel open en transparant door vrijwilligers (insiders).
Dat heeft geen relatie tot het al dan niet bestaan van QC of QA.
Microsoft patcht een in augustus verschenen zero-day. De komma's die je nu opwerpt horen daar totaal niet, ook lees je ze niet met die "pauzes" erin.
Het gaat erom: Er is een zero-day bug verschenen (gevonden?) in augustus, en die patchen ze nu.
Tip: dit soort opmerkingen kun je beter plaatsen in het "geachte redactie" deel van GoT: https://gathering.tweakers.net/forum/list_messages/1676681.

[Reactie gewijzigd door jpiddink op 12 september 2018 11:03]

Het is September dus hoe kan er nou nog verwarring zijn.
Het zou ook kunnen dat ze pas in augustus 2019 gaan patchen... ;)
Ik vond het ook verwarrend.
Beter zou zijn:
Microsoft patcht een in augustus verschenen, zero-day
Microsoft patcht een recent verschenen zero-day


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True