Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google waarschuwt voor kwetsbaarheid in Windows 7 die actief wordt misbruikt

Google heeft een kwetsbaarheid in de win32k.sys-kernel ontdekt die actief misbruikt wordt in de 32-bits-versie van Windows 7. Kwaadwillenden gebruiken de kwetsbaarheid in combinatie met een inmiddels opgelost beveiligingsprobleem in Chrome.

Met de door Google ontdekte kwetsbaarheid in de Windows-kernel kunnen kwaadwillenden hun rechten verhogen en op die manier uit de sandbox van Chrome ontsnappen, in combinatie met een kwetsbaarheid in die browser. Volgens Google kan de kwetsbaarheid vermoedelijk alleen in de 32-bit-versie van Windows 7 misbruikt worden. Nieuwere Windows-versies hebben beveiligingsmaatregelen die dat tegenhouden.

Google heeft de kwetsbaarheid gemeld aan Microsoft en de maker van Windows werkt aan een oplossing. Omdat de kwetsbaarheid al actief gebruikt wordt, heeft Google het bestaan ervan bekendgemaakt voordat er een patch beschikbaar is.

Toen Google eerder deze week informatie gaf over een kritieke kwetsbaarheid in Chrome, zei de zoekgigant al dat het een keten van zerodays had aangetroffen. Google heeft die kwetsbaarheid in Chrome opgelost met een update voor de browser. De kwetsbaarheid in de Windows-kernel kan volgens Google nog gebruikt worden in combinatie met andere kwetsbaarheden in browsers.

Door Julian Huijbregts

Nieuwsredacteur

08-03-2019 • 13:54

88 Linkedin Google+

Reacties (88)

Wijzig sortering
Waarom kan iets in een sandbox directe systemcalls uitvoeren?

En weer voordat Microsoft de bende gefixed heeft. Weer de bende openbaren. Actief misbruikt, binnen Chrome. Ik zie nul informatie of deze exploit ook elders misbruikt wordt. Dus slecht excuus van Google om "het maar te disclosen". De CVE aanmelding is van begin januari en we zijn net 2 maanden verder?

Blijkbaar kost het Microsoft nogal wat moeite om deze exploit te fixen, allicht omdat de mitigatie methodes niet in deze Windows zitten en dat kan nogal eens een enorme puzzel zijn om dat wel werkend te krijgen.

Ben toch echt benieuwd wat het nut is om dit nu zo keihard te disclosen en Google die zich weer verschuild achter hun regeltjes? Waar waren ze met hun regeltjes ten tijde van Spectre dan? Toen Google meer dan een half jaar hun mond hield. Google heeft zelf ook al een aantal keer hun eigen regeltjes gebroken en pas na de 90dagen hun eigen security exploits lopen openbaren.
Waarom kan iets in een sandbox directe systemcalls uitvoeren?
Dat is mogelijk op Windows 7, maar niet op Windows 10. :)

Windows 8 en 10 bevatten een exploit mitigation die het mogelijk maakt om Win32k syscalls te blokkeren in processen. Chrome maakt gebruik van die mitigation, waardoor kernel exploits die kwetsbaarheden in win32k.sys misbruiken niet meer gebruikt kunnen worden om de Chrome-sandbox te escapen.

Meer info over Chrome's Win32k lockdown mitigation kan hier gevonden worden: https://docs.google.com/d...zWCaUuyr0Zd2TKjNBCiPO_G4/
Windows 7 kan die mitigation bescherming ook krijgen via EMET. EMET features zijn met 8 en 10 in Windows zelf opgenomen. Geen idee of het in dit geval helpt, maar EMET heeft in het verleden een boel serieuze exploits op Win7 tegen weten te houden. i.c.m. met EMET is IE11 b.v. meer dan 2 jaar ongehackt gebleven.

Allicht is die exploit niet eens zo gevaarlijk als men denkt. Als je nu nog Windows 7 gebruikt, waarom niet i.c.m. EMET?

Interessant leesvoer, thanks.

EDIT: EMET is EOL >.> Dat snap ik dan weer niet. Waarom wordt dit niet even een jaar of 2 langer gesupport tot Windows 7 ook EOL is. Ik had Windows 7 echt niet zonder EMET draaien.

[Reactie gewijzigd door batjes op 9 maart 2019 10:22]

Windows 7 kan die mitigation bescherming ook krijgen via EMET.
Niet waar, je kan de User Guide van EMET 5.52 (de laatste versie van EMET voor EOL) hier downloaden: https://www.microsoft.com...oad/details.aspx?id=54265
EMET heeft geen mitigation die win32k lockdown toevoegd aan Windows 7.
Geen idee of het in dit geval helpt, maar EMET heeft in het verleden een boel serieuze exploits op Win7 tegen weten te houden. i.c.m. met EMET is IE11 b.v. meer dan 2 jaar ongehackt gebleven.
EMET is eenvoudig te bypassen en bevat (op Null page allocation) na geen mitigations om kernelexploits op Windows 7 te voorkomen.
De exploit kan ook via andere wegen dan Chrome gebruikt worden. Aangezien het actief misbruikt wordt geld de 90 dagen grace periode niet (heeft geen zin he: de bad guys gebruiken het al, dus mag je de massa niet informeren). Dus de reden voor een snelle disclosure (ipv. de gebruikelijke 90 dagen) staat ook in het artikel en geld voor zowel MS als Google zelf. En de policy zegt ook dat in overleg met project Zero (bijvoorbeeld: we hebben een patch maar moeten nog wat aftesten het kost nog X dagen) uitstel mogelijk is. Blijkbaar vond MS dat niet nodig.
Spectre is in overleg met de hele wereld die er toe doet onder de pet gehouden: het was duidelijk dat er aan gewerkt werd en dat het even zou duren.

[Reactie gewijzigd door latka op 8 maart 2019 17:28]

Kan, maar daar heeft Google geen kijk op. Microsoft een stuk beter (dankzij telemetry). En dan nog, de fix wordt niet sneller uitgerold of ontwikkeld omdat Google de bende openbaard. Microsoft heeft al eens aangegeven dat ze zich echt niet laten opjagen door Google.

Dit is namelijk niet de eerste keer, Microsoft heeft in het verleden aan Google een uitstel van 2 weken gevraagd i.v.m. testen en patchrondes. Google zei: Nee, want ze konden niet zo maar van die 90 dagen afwijken. Sterker nog, Google claimde in eerste instantie dat Microsoft geen contact gezocht had voor uitstel. Tot Microsoft correspondentie vrijgaf, toen vielen ze terug op dat ze niet van de 90 dagen konden afwijken.

Dus waarom zou Microsoft er weer moeite in stoppen als ze toch al weten een nee op rekest te krijgen. MS heeft geen zin dat drama/schouw spel mee te spelen.

Het ging me er verder om dat er een patroon zichtbaar begint te worden in Google's strijd voor security met Project Zero. Google gebruikt dit project duidelijk niet -alleen- om de wereld een beetje veiliger te maken. Want als het geen directe concurrentie is, of Google zelf... Dan zijn die 90 dagen niet relevant. Is het wel concurrentie van Google. Dan kan er ineens niet van die 90 dagen afgeweken worden.
Sandbox escape?

Het is juist goed dat we weten dat we vatbaar zijn, dan kun je maatregelen treffen. Google was ten tijde van spectre niet de enige researcher die daarop was uitgekomen. Wellicht heeft dat ook nog invloed gehad.

Research zoals project zero dat doet. Fantastisch gewoon, wij worden daar echt beter van.

Prachtige writeups op https://googleprojectzero.blogspot.com/
Blijkbaar kon in bepaalde gevallen vanuit de sandbox al syscalls gedaan worden. En ik was benieuwd waarom. Niet zo zeer de sandbox escape zelf, want schijnbaar kon men die sandbox al uit komen.

Zou kunnen, Google was wel hoofd personage in het vinden van. Ik snap het stilhouden zelf wel, bij sommige situaties kun je beter je muil houden zolang het in het wild toch nog niet misbruikt wordt. Maar wat maakt spectre zo speciaal? Dit kan voor zo veel exploits gelden. Niet alleen hardware exploits zijn soms super moeilijk om op te lossen. Sommige software exploits los je ook niet 1,2,3 fatsoenlijk op.

Project Zero is leuk, alleen zo jammer dat Google dit politiek misbruikt. En dat kost ze in mijn ogen bijna alle kudo punten die ze verdienen.
Actief misbruikt betekent dat het geen nut meer heeft om het niet bekend te maken, omdat het onder de criminelen al bekend is. Dat is namelijk hetzelfde als niet waarschuwen voor actieve criminelen die huizen binnendringen omdat (bij wijze van spreken) de gekraakte sloten nog niet vervangen zijn.
Google heeft de kwetsbaarheid gemeld aan Microsoft en de maker van Windows werkt aan een oplossing. Omdat de kwetsbaarheid al actief gebruikt wordt, heeft Google het bestaan ervan bekendgemaakt voordat er een patch beschikbaar is.
En grappig genoeg werd de kwetsbaarheid in Chrome pas bekend gemaakt NA de patch.
In-line met de 7 days policy voor 0 days die actief ge-exploit worden. Niets mis mee dus.
Nee, niet helemaal. Want de eerste melding is op 9 januari 2019 gedaan.
Nee, niet helemaal. Want de eerste melding is op 9 januari 2019 gedaan.
Heb je een bron van de eerste melding van een zero day die toen gemeld is en nu pas een patch kreeg?
Aan het publiek misschien, ik mag toch aannemen dat Google dit reeds voordien had gemeld aan MS.
Dit lijkt me een PR response om het Chrome debacle naar de achtergrond te dringen.
Dit "PR response" is op hetzelfde moment naar buiten gebracht als de Chrome bug. Zie ook de blog van Google, de eerste link in het artikel.
Maar wel pas NADAT de patch was uitgebracht, maar gek genoeg willen ze niet wachten op de concurrent. Gek he?
Nope:

On Wednesday, February 27th, we reported two 0-day vulnerabilities — previously publicly-unknown vulnerabilities — one affecting Google Chrome and another in Microsoft Windows that were being exploited together.
...
Pursuant to Google’s vulnerability disclosure policy, when we discovered the vulnerability we reported it to Microsoft. Today, also in compliance with our policy, we are publicly disclosing its existence, because it is a serious vulnerability in Windows that we know was being actively exploited in targeted attacks.
En jij gelooft in toeval?
1. Google vindt kwetsbaarheid
2. Google meldt kwetsbaarheid bij Microsoft
3. Google fixt kwetsbaarheid in Chrome
4. Google openbaart de kwetsbaarheid voor MS een patch kan uitbrengen.
Tussen stap 3 en 4 zit een paar dagen.
Dus wel wachten op hun eigen patch maar niet op die van de concurrent. Toeval?
Als je dat gelooft ben je heeeel naïef en geloof je vast ook dat de 'bugs' in software van Google die altijd in het nadeel zijn van de privacy van de gebruikers ook echt bugs zijn.

[Reactie gewijzigd door Vexxon op 8 maart 2019 15:58]

Hooguit tussen stap 1 en 2. De rest is transparant en MS is trager dan Google met fixes.
Haha niet te vergelijken. Windows is veel complexer dan Chrome.
Dus omdat het moeilijk is mag je je klanten risico laten lopen? Rare gedachte. Een hotfix (met wellicht compatibiliteits issues) is beter dan wat ze nu doen: een bekende 0-day die actief gebruikt word niet oplossen. Dat noemen ze overal, behalve in de IT, onverantwoordelijk.
Ik heb op meerdere sites meldingen gelezen om Chrome te updaten. (Ja er zijn mensen die autoupdate uit zetten.)
Het lijkt mij dus niet zo onlogisch om op deze manier de patch versneld uit te rollen aangezien het lek actief gebruikt werd.
Ik ken de technische details niet, maar als de 2 bugs samen gebruikt werden is de bug in Win7 misschien minder erg als Chrome up tot date is.
Het is in combinatie met andere browsers ook te misbruiken
Wot? Dit lek werkt dus ook zonder Chrome. Je moet alleen eerst uit de browser breken en dat is waarom Google het zag: een lek wat in Chrome gebruikt wordt. Ja het het is een beetje een overdreven kop qua blaming. Maar dat is journalisme van tegenwoordig.
Dan nog leid het de aandacht af. De timing is "toevallig".
Ik vraag me wel eens af of sandboxing met een performance overhead komt. Kijken of iets wel of niet mag bijvoorbeeld, of het bijhouden van verschillende userspaces.

Natuurlijk moet je het nog steeds doen in een browser, als ook in vrijwel elke pc, maar toch.
Tuurlijk komt er performance overhead bij kijken bij sandboxing, dat is het nadeel dat men voor lief neemt. Is hetzelfde als een antivirus/malware draaien, ook dat levert (soms behoorlijke) performance hits op.
Kortom niks aan de hand.

Van van de mensen die windows 7 nog gebruiken verreweg de meeste de 64 bit versie.
En van het minimale deel dat de 32 bit nog gebruikt gebruikt maar een klein deel chrome die niet automatisch update.

Angst zaaiende titel terwijl er niks aan de hand is.
Volgens de steam hardware survey gebruikt nog een kwart van zijn gebruikers windows 7. Windows 7 is wat dat betreft zeker nog bij de tijd.

[Reactie gewijzigd door ikverhaar op 8 maart 2019 14:01]

Alsof elke Windows 7 gebruiker Steam heeft :P. Kan je beter hier kijken: http://gs.statcounter.com...windows/desktop/worldwide en dan nog moet je je realiseren dat het alleen 32-bit machines zijn die kwetsbaar zijn.
Ja ruime 30% dus nog en ga er maar vanuit dat het 32bit met Windows 7 meer voorkomt dan 64bits.
Even aan de hand van ons klanten bestand 66% is Windows 7 32bits.
Veelal zijn dit dan systemen die geleverd zijn met origineel nog Windows Vista en / of gedowngrade vanaf *blech* Windows 8(.1)
Zakelijk is het anders, van elke Windows 7 PC is ongeveer 1/4 x86 en 3/4 x64.
Dat verschilt per zaak dus weer.
Ik bedoelde eigenlijk, de zakelijke markt all-up.
Verbaasd mij echt erg. Bij alle bedrijven waar ik gekomen ben draaien ze allang Windows 10 64-bit (zelfs 1803). Zijn wel grote bedrijven though. Blijkbaar draaien ze bij Broadcom nog wel Windows 7 (zag ik net bij een externe consultant :P), yikes.
Zijn voornamelijk bouwkundige bedrijven die CAD software hebben die nog geen update van is aangeschaft.
Of andere specifieke programma`s die nog niet compatibel zijn met Windows 10.

Even als toevoeging het totaal van ons klanten bestand is 40% Windows 10. 60% Windows 7 (66% Windows 7 is 32bits )
eerder 1,37% vatbaar dus. volgens google betreft het enkel de 32bit versie
Die hardware survey is niet héél indicatief. Het is meer een soort van Maurice de Hond-peiling: het geeft een idee, maar niet alles is daarmee gezegd...
Precies meeste gamers upgraden hun pc veel sneller en daarbij gaan ze altijd voor een 64 bit versie.
maar een normaal gebruiker?
Het gaat mij ook niet om de exacte getallen. Het feit dat een significant aandeel van de gamers* nog op dit OS zit, geeft wel aan dat dit OS nog lang geen verleden tijd is, zoals Vista dat wel is.

*ervan uitgaande dat Steam representatief is voor alle gamers.
Inderdaad. Ik zou die hardware survey graag zien voor alleen de westerse wereld. Al die vage Aziatische gamecafes vertroebelen de cijfers nogal
Ja windows 7 gebruikers, maar dat is wel een mix van 32bit en 64bit. Dus hoeveel daarvan gebruiken nog de 32bits versie van windows 7.
Ja oud, maar wordt nog wel ondersteund tot 14-1-2020.
https://support.microsoft...ll-end-on-january-14-2020
En nog VEEL gebruikt, talloze grote bedrijven en instellingen werken nog aan de transitie naar Windows 10 en gebruiken momenteel nog Windows 7.
Ik weet uit ervaring dat een bepaalde divisie van het ministerie van Economische Zaken pas 1-2 jaar geleden is overgestapt van Windows xp naar Windows 7.
Waarom 1-2 jaar geleden van XP naar 7 en niet gelijk naar 10? Dat was logischer geweest en goedkoper ook nog, want nu moeten ze binnen korte tijd wéér upgraden.
Omdat er voor een upgrade een onderzoekstraject van een paar jaar aan voorafgaat. Waarschijnlijk was het Windows 7 migratie traject al begonnen voordat de eerste service pack van Windows 10 uit was, en was Windows 10 daardoor geen optie.
Omdat dit soort trajecten door de vele eilanden 'politiek' binnen de verschillende ministeries en overheids organisatie zo heel erg langzaam gaat, omdat iedereen zijn eigen zegje er over wil doen en er niet één orgaan is die bepaald hoe het gedaan gaat worden of één richting bepaald.
En omdat er nog veel legacy, niet web-based, client software in gebruik is, en ze nog nooit van Citrix hebben gehoord, of de applicatie managers van die legacy applicaties hun applicatie zo belangrijk vinden en hun managers hebben weten te overtuigen dat-ie echt niet via Citrix werkt, of omdat ...
Geen idee, ik werk daar niet dus ik weet de achtergrond niet.
Ik heb enkel contact met die divisie.
... want nu moeten ze binnen korte tijd wéér upgraden.
Dat was precies de achterliggende gedachte van de consultant die het adviseerde.
Omdat 10 niet mag ivm Telemetry. Pas versie 1803 is toegestaan binnen de overheid. Is een rapport over beschikbaar.
Ja, maar dat bedoel ik ook: dan hadden ze toch gewoon even kunnen doorfietsen met XP en nu de overstap naar 10 maken? Natuurlijk kost het geld om te betalen voor die verlengde ondersteuning van XP, maar dat lijkt me nog altijd goedkoper dan twee upgradetrajecten op touw te zetten i.p.v. één + wat kosten voor verlengde ondersteuning.
Wanneer zouden ze dan gaan upgraden naar windows10? Als microsoft de stekker uit windows getrokken heeft en linux distro vendor geworden is? :+
Ach, alles loopt daar traag.
Heb weleens inhoudelijke vragen waar 1 van hun specialisten naar moet kijken.
Als ik mazzel heb krijg ik hetzelfde jaar nog antwoord....

[Reactie gewijzigd door Bas170 op 8 maart 2019 16:17]

Bij ons is de ervaring van MS niet zo slecht. Meestal reageren ze binnen enkele dagen, soms een week, heel af en toe 2 of langer. Maar dat zijn vaak de lastige problemen waar ze zelf ook op andere afdelingen moeten wachten. Microsoft is wat dat betreft een enorm bureaucratisch bedrijf (ondanks dat ze dat de afgelopen 10 jaar voor een groot deel hebben weten weg te schaven, het is nog steeds net een overheid)

Bij andere partijen is de doorlooptijd standaard al 2 weken.

Gemiddeld lijken ze het niet zo slecht te doen.
Mijn opmerking ging over die divisie, niet over Microsoft ;)
Maar vaak wel de 64bit versie, die waarschijnlijk ok is.
Het zal je verbazen hoeveel bedrijven en instellingen nog 32-bitcomputers gebruiken.
Met procs van voor 2005? :?
Nee. Redelijk moderne hardware (niet de nieuwste), Windows 7 en rammelende drivers. Hoe nieuwer de hardware, hoe meer problemen.
ja, we moeten die speciaal bestellen en meer betalen... maar als de belangrijkste toepassing in de instelling enkel nog op Windows 7 32bit werkt, heb je niet al te veel keuze...
Dan heb 'je' de zaken niet op orde (beetje kort door de bocht weet ik), maar over het algemeen heeft de automatisering een te lage prioriteit bij bedrijven met andere core business, maar wel afhankelijk zijn van die automatisering. je zal actiever achter jouw leverancier aan moeten.

[Reactie gewijzigd door _Dune_ op 8 maart 2019 16:09]

Ik ben de IT'er, niet het management ;-) (en het is overheid...)
Ik heb even een kleine nuance aangebracht, ik doelde met 'heb je', niet jou specifiek, maar meer de organisatie als geheel. Jij als ITer zal graag willen, dan snap ik als ITer (gedetacheerd bij de overheid) heel goed. Alleen ben je afhankelijk als 'ondersteunende afdeling', afhankelijk van welke prioriteit de organisatie er aan geeft.

Het is soms, of liever gezegd, vaak moeilijke de noodzaak aan te tonen. Je krijgt al vaak de reactie 'maar het werkt toch'... ja... nu... maar... en maak dat maar duidelijk. :/

[Reactie gewijzigd door _Dune_ op 8 maart 2019 16:13]

Ook na 2005 is er nog voldoende 32-bithardware gemaakt.
Tja, in essentie is elke Intel of AMD CPU die van de band rolt nog steeds een volwaardige 32 bit CPU en is er absoluut niets dat je tegenhoudt om er een 32 bit OS op te draaien. Ze ondersteunen pas 64 bit extensies als expliciet die modus van de CPU wordt ingeschakeld. In principe kun je zelfs een 16 bit OS draaien, want dat is gewoon een andere modus waar de CPU in kan worden gezet..
Het probleem is zoals eerder al is aangegeven dat de drivers voor de modernere hardware soms onmogelijk aan te komen zijn..
Maar die gebruiken waarschijnlijk geen Chrome.
Als je niet over kunt of wil op Windows 10, is de kans groot dat je software draait die Explorer nodig heeft.
Of op Azure draait als onderdeel van Windows Virtual Desktop, dan zijn de Extended Security Updates tot 2023 gratis (betaal je wel Azure Compute, Storage etc.).
Extended support tot 14/01/2020 dus je ziet ze nog vaak bij bedrijven, die het komende halfjaar een upgrade project hebben naar Windows 10.
Tegen betaling van Extended Security Updates (ESU) of gratis op Azure als onderdeel van Windows Virtual Desktop zelfs tot 2023.
Achja, dat is bij andere browsers echt niet anders. Ook Firefox is niet 100% veilig.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True