Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hacker zet zero day voor Windows 10 online

Een anonieme hacker heeft een zero day voor Windows online gezet. Met de kwetsbaarheid kan een aanvaller admin-toegang krijgen tot Windows. De exploit is direct online gezet zonder Microsoft daarover in te lichten. Er is daarom nog geen patch beschikbaar.

De kwetsbaarheid werd op GitHub geplaatst. Het gaat om een local privilege escalation. Daarmee kan niet zomaar worden ingebroken op een systeem, maar een aanvaller kan wel de gebruikersrechten van een account tot admin-niveau verhogen.

De kwetsbaarheid zit in Windows Taakplanner. Een aanvaller kan misbruik maken van een fout in de manier waarop de Taakplanner discretionary access control list-permissies aan een bestand geeft. Door dat te doen kunnen de permissies van bestanden worden veranderd van gebruikersniveau naar dat van een admin. De hacker heeft een proof-of-concept gepubliceerd waarin het lek wordt uitgebuit. Dat proof-of-concept gaat alleen over 32bit-versies van Windows 10, maar de ontdekker zegt dat het met wat aanpassingen eenvoudig is om het lek ook op andere versies van het besturingssysteem te proberen.

Het lek werd ontdekt door een anonieme hacker met de naam SandboxEscaper. Het is niet de eerste keer dat zij een zero day voor Windows online heeft gezet. Vorig jaar publiceerde de hacker al vier andere lekken waarbij local privilege escalation wordt ingezet. De hacker heeft de kwetsbaarheid niet aan Microsoft gemeld, wat wel gebruikelijk is in dergelijke gevallen. De hacker blogt soms over de lekken. Daarin laat ze weten LPE's te willen verkopen aan 'niet-Westerse personen'. "Ik ben de samenleving niets schuldig, ik wil alleen rijk worden en iedereen in het westen mijn middelvinger laten zien", staat daar ook te lezen.

Microsoft heeft nog niet gereageerd op het nieuws. Het lek is twee dagen ná de laatste Patch Tuesday gepubliceerd. De volgende patchdag is gepland op 11 juni maar misschien komt Microsoft al eerder met een oplossing. Het Nationaal Cyber Security Centrum waarschuwt inmiddels ook voor het lek en voor het feit dat daarvoor nog geen oplossing beschikbaar is.

Door Tijs Hofmans

Redacteur privacy & security

23-05-2019 • 09:53

150 Linkedin Google+

Submitter: Coolhva

Reacties (150)

Wijzig sortering
Inmiddels heeft zij er nog twee online gezet.

Bron: https://thehackernews.com...ro-day-vulnerability.html

[Reactie gewijzigd door Skywalker27 op 23 mei 2019 11:08]

Though all three unpatched zero-day vulnerabilities SandboxEscaper released within last 24-hours are not critical
Het is maar wat je not critical noemt.... Eerder in de tekst staat
pon successful exploitation, an attacker can delete or edit any Windows file, including system executables, which otherwise only a privileged user can do.
Beetje afhankelijk of de zaken backwards ook in eerdere Windows versies voorkomen (wat ik totaal niet uitsluit als je kijkt in welke onderdelen van windows de exploits voorkomen) en combineer dat met de laatste BlueKeep exploit en je hebt een mooie ingang om je cryptoware aan de praat te krijgen.

[Reactie gewijzigd door SunnieNL op 23 mei 2019 11:59]

Ja dit krijgt nog wel een staartje op korte termijn. Wij wachten op nieuws van MS.
Klinkt als een nieuwe versie van een (hele oude) eerdere hack die via de taak scheduler werkte.

Ik zal es zoeken in het Tweakers.net archief...
We lezen gebruik taakplanner.
Ok, taakplanner con etc staan voir normale gebruikers in beheerde omgevingen dicht.
Alleen met beheerdersrechten is dat bij uitzondering toegestaan. De beheerder die beheerders rechten krijgt klinkt gewoon als iets triviaals.
Taakplanner staat standaard helemaal niet dicht. Als je een computer in het domein drukt veranderd er niets qua rechten en kan een gebruiker gewoon taken aanmaken...

Daarnaast maakt deze exploit misbruik van een fout in taakplanner. Dat wil niet zeggen dat het blokkeren van taakplanner deze exploit tegengaat.

Offtopic: Als je taakplanner wilt blokkeren voor normale gebruikers dan is dat snel ingesteld maar ga je erg ver in het beslissen van een gebruiker mag en niet mag. Niet echt een moderne beheer filosofie naar mijn mening..

[Reactie gewijzigd door dycell op 23 mei 2019 22:37]

Ga naar een beheerde bedrijfsmatige desktopomgeving.
Ik ben er daar nog nooit één tegengekomen mar de taakplanner voor gebruikers open gezet is.
De gevallen waar dat wel gebeurde was de noodoplossing met een aparte beheerder op de eigen afdeling voor het falen van een ICT service. Wat niet geleverd wordt als dienst wordt anders opgelost.

Ooit maakten de beheerders zich druk dat het gebruik van html en internet met de enge links op elek manier voorkomen zou moeten worden. Helaas de praktijkervaring.

Met modern beheer heb je de verplichting als beheerder gebruikers niet meer rechten te gevens dan strikt noodzakelijk. Daar hoort een taakplanners en wat andere zaken niet bij..
zij*

[Reactie gewijzigd door efari op 23 mei 2019 11:10]

Hoe weet je dat zij een hij was? Misschien is het andersom.
Wat me tegenvalt in de reacties hier is dat er geoordeeld wordt over de persoon.

Als ik de blog even doorspit zie ik iemand die gekwetst is/wordt. Ergens kan ik me wel vinden in haar opmerkingen : judge yourself not other people - so true.
Ik denk dat dit een heel getalenteerd persoon is die niet begrepen wordt omdat ze andere denk/zienswijzen heeft op de wereld dan wat als "gemiddeld" beschouwd wordt, maar dat is mijn mening, geen oordel ;)

Verder staat in het artikel dat het niet gebruikelijk is om een zero day exploit zo te exposen, blijkbaar heeft ze genoeg van het schijnheilige wereldje en kent ze het maar al te goed. Waarom wordt het als niet gebruikelijk gezien? We moeten allemaal maar de regels volgen is dat het?
Het lijkt er op dat dit echt alleen voor 32 bits systemen geld. Gelukkig zijn deze in de minderheid en draait het overgrote deel 64 bit. Natuurlijk nog steeds vervelend maar over het algemeen zit je als particulier met recente hardware wel safe.

Bron: https://github.com/SandboxEscaper/polarbearrepo/issues/2
you wish:
Will Dormann, een analist van het Amerikaanse CERT Coordination Center, bevestigt dat de exploit werkt op de meest recente versies van Windows 10, waarvan zowel 32- als 64-bit versies kwetsbaar zijn. Daarnaast kunnen Windows Server 2016 en 2019 worden aangevallen.
https://dutchitchannel.nl...ws-en-windows-server.html
Is het niet interessanter voor die hacker om Microsoft in te lichten en zo geld er voor te krijgen?
Zelf als hij er geen geld voor krijgt is dit raar. Want waarom zou je dit doen? Je kan m verkopen, je kan Microsoft inlichten met een tijd om te fixen. Maar waarom zou je hem gewoon zo online zetten? Ik snap het niet.
Zelf als hij er geen geld voor krijgt is dit raar. Want waarom zou je dit doen? Je kan m verkopen, je kan Microsoft inlichten met een tijd om te fixen. Maar waarom zou je hem gewoon zo online zetten? Ik snap het niet.
Misschien als reclame stunt. Hij kan daarmee laten zien dat hij in het nieuws is geweest en daadwerkelijk exploits weet te bouwen.

Makkelijker voor de verkoop van de volgende exploit...
Precies, dit is geweldige marketing.
Heeft vast nog een aantal 0day LPE's of RCE's liggen om te verkopen, lekker cashen wordt dat!
Of, nog iets darker, een stunt van MS zelf om mensen naar 64bit te krijgen. ;)
Some people just want to see the world burn.
Or want worldwide attention...
Mogelijk dat deze hacker het lek al een tijd geleden verkocht heeft.
Eerste waar ik aan dacht inderdaad.
Geld is waarschijnlijk al lang binnen en de hack is mogelijk al in gebruik voor zo ver wij het weten.
Een slimme persoon zal vast een stap voor zijn als $$$ de motiverende factor is.

Dit is nu een mooi stukje PR zo als eerder aangegeven.
Er staat zij

Dat terzijde, zoals eerder gezegd kan dit een reclame zijn voor welke skills diegene beweert te hebben, criminelen lezen ook vast wel technieuws (of hebben mensen die dat kunnen) dus op deze manier kun je dit zien als "hey ik verkoop lekken" reclame.

Al moet ik zeggen dat de manier clumsy en onprofessioneel overkomt, maar dat is mijn mening ook die "middel vinger" naar het westen tonen valt mij op, kom over alsof diegene zelf geen westerling is en hiermee denkt iets te kunnen bereiken.
Niet iedereen heeft zin om bedrijven handje boven het hoofd te houden.
Het is nog maar de vraag of je überhaupt geld krijgt bij het melden van kwetsbaarheden.
Ten slotte kan het ook maanden duren voordat er beweging in zit.
Het kan zijn dat deze hacker in een land woont waar Microsoft geen bug bounty uit betaald.
Of dat het bug bounty bedrag een lachtertje is in vergelijking tot de kosten die ze moeten maken om het zelf fatsoenlijk af te testen/verifieren.
Je kan verschillende redenen hebben:

Sacherijnig, omdat het zo lang duurt voordat Microsoft exploits patched.
Je kan genoeg geld hebben en het niet schelen dat je dit goed kan verkopen of bounty van MS incasseren.
Iedereen weer triggeren dat het systeem niet 100% proof is.
Publiciteit als hacker
Of gewoon egostrelen. "Look at me, I found an exploit! Now watch the big corporations squirm because of what I did."
Lijkt me nog het meest waarschijnlijke. Iemand die "ik ben transgender" in z'n profiel plempt... riekt naar iemand die graag in de schijnwerpers staat.

Dat gezegd, goed dat dit bekend is. Ik kan wel enige geintjes bedenken die je uit kan halen door bepaalde systeembestanden aan te passen.
Misschien een hacktivist? Call me naive...
meer een opportunist. Hij heeft duidelijk niks op met het westen/Microsoft en ziet een mogelijkheid om geld te verdienen. Niks ideaalistisch aan
Dat het niet strookt met ons pov op idealisme wil nog niet zeggen dat hij dat niet is,, misschien lopen zijn draadjes net wat anders,, like ik ben er ook voorstander om de mensheid met 99,7%uit te dunnen grenzen af te schaffen en over te gaan naar een globaal systeem gerund door een ai zonder dat nutteloze emphatische gezemer,, wil nog niet zeggen dat het mij wenselijk lijkt dat nu direct in te voeren en uit te voeren maar in mijn idealistische wereld...
Ik snap je punt. Maar ik bedoel als je idealistisch achter je standpunt staat ga je er geen geld voor vragen (zoals gesuggereerd werd in dit draadje, het artikel zegt daar idd niks over)
Waarom niet? Je kan toch ook geld verdienen met jouw idealen? Als ze Westerse corporations wilt f*cken, en ze er in het Oosten geld voor willen leggen.. Twee vliegen in 1 klap.
Zij*

Nuja....voormalig hij.... :+
Klopt, maar hoe kan de hacker dan 'het westen zijn middelvinger laten zien'?
Maar dan geef je dus geen middelvinger aan "Het westen"
Als deze persoon puur voor geld gaat niet. Er zijn genoeg (overheid)-'instanties' die hier veel meer geld voor neertellen dan dat Microsoft zal doen.
Nou sorry, maar als ik de text zo lees (het westen kan een middelvinger krijgen etc) dan zou ik die jongen nog geen halve cent geven met zo’n trieste instelling. Niks mis mee dat mensen geld willen verdienen, maar de instelling van deze persoon vind ik niet veel anders dan van die Microsoft Tech Scammers. Rijk worden at all costs. Zo iemand geen aandacht schenken. Zo iemand gun ik niet rijk te worden!
Ja maar jij bent geen isis die graag als ze konden het westen wél de middelvinger geeft. (om maar een voorbeeld te noemen, niet iedereen heeft morele principes)
Deze exploit werkt niet op insider builds want gepatcht. Dus is waarschijnlijk ook geen MS disclosure geld meer waard.

[Reactie gewijzigd door SidewalkSuper op 23 mei 2019 10:48]

Ik krijg de indruk dat betreffende hacker nogal aan privacy hecht en verwacht zo dat Microsoft niet in ongemerkte one-dollar-bills uitbetaald.
Dit is niet de eerste keer dat ze zoiets doet. Het is een geniale hacker, maar zoals dat met geniale mensen nog al wel gebeurt zijn er "kosten" aan.

Als ik me niet vergis is ze transseksueel en heeft ze daar ook heel wat emotionele/mentale problemen mee (gehad).
Een kinderachtige hacker die schreeuwt om aandacht, vooral geen aandacht aan besteden en de kwetsbaarheid patchen.
Geen aandacht aangeven terwijl het wel een zero-day exploit is.
Als organisatie zou je toch graag willen weten tot hoe ver zo een exploit reikt.

Geen aandacht geven is wel het slechtste wat je kan doen.
Ik geloof dat je mij verkeerd begrijpt, ik heb het toch echt over het patchen van de exploit, echter moet je een hacker als dit geen platform geven, ik zeg dus niet dat je de hack zelf geen aandacht moet geven.
Excuses. Ik zie het.

Eeuhm alsnog het patchen en daarmee het testen is niet in 1 nacht.dag te doen.
Vandaar dat het meestal 90 dagen is voordat een exploit bekend gemaakt wordt nadat het gemeld is.

Het feit dat MS niet op de hoogte is gesteld en dat de exploit direct op Github is gegooid, maakt het extra gevaarlijk.
We zullen moeten afwachten wanneer er een patch komt en welke status MS deze exploit geeft.
beste remedie: updaten vanaf usb in the meanwhile, zonder je pc aan het internet te hangen. die (w)lan verbinding is an sich al een risico, al timmer je nog zoveel dicht, die havkerdmuizen knagen er wel doorheen.
just a fact: de usb methode is ook niet het veiligste tbh.

[Reactie gewijzigd door inaba_nl op 24 mei 2019 22:36]

Zijn laatste blog... lijkt mij eerder dat hij wellicht beter af is om een keer te praten met een psycholoog.
I can't really remember the last time I was happy.
I guess it was probably during one of my hikes.

Some days I wish I could fade out of this world, be somewhere else.

I wonder what it's like to be surrounded by friends every day. The kind that doesn't turn their back when you hit rock bottom.

I'm still glad for the few people that I got to talk with online these past few years. I haven't had friends irl for a long time now.

I hope the Arctic will make me happy. That's where polar bears are supposed to be. I hope I won't feel like this anymore. I hope it will all be gone.
Zijn of haar?
En als anoniem is hoe weten we dat.

Zie ook artikel.
Zijn als je naar de biologie kijkt.
Haar als je naar gevoelens luistert.
Profiel.
ow, ik had geen idee van het profiel.
Excuus.
Maar in dat geval dus haar.
Zomaar online zetten is zeker niet de meest aangewezen oplossing, maar als je een middenvinger wil opsteken geniet het nog altijd mijn voorkeur boven geheim houden en aan de hoogste bieder(s) verkopen...
kan best zijn dat ie dat jaren geleden al deed, enzijn cash al binnen heeft, en nu de zero day niet goed loopt em maar publiekelijk geeft gemaakt, zonder de 90 dagen van tevoren inlichten (welke overeenkomt met een middelvinger naar het westen (in dit geval MS)
Geen idee of dat zo is, ik ken de persoon in kwestie niet.
Misschien interessant gegeven. Als je goed kijkt naar de demo video in de sandboxescape repo, zie je, dat MSN op de Internet Explorer pagina ingesteld staat op België en het weer in Genk.
Het is volgens mij niet lastig te achterhalen wie deze persoon is. Zie ook de foto's bij onderstaande links:
https://www.facebook.com/...earcher/2049349891795541/
SandboxEscaper - 0day Bug Hunter

Great, Awesome!

I'm a retired Vulnerability Researcher.
I make a living writing travel blogs now.
Besides that I'm also transgender. 👍👍

Disclosures
-CVE-2018-8440: Windows Task Scheduler LPE
-CVE-2018-8314: Windows filepicker sandbox escape
-CVE-2018-8339: Windows Installer LPE
-CVE-2018-0868: Windows Installer LPE
-CVE-2018-4872: Adobe reader sandbox escape
-CVE-2017-8633: Windows Error Reporting LPE
-CVE-2017-0226: IE11 EPM sandbox escape
-CVE-2017-8503: Edge sandbox escape
-CVE-2017-3080: Flash broker sandbox escape
-CVE-2016-7292: Windows installer LPE
-CVE-2016-0194: IE11 EPM sandbox escape
-CVE-2016-3292: IE11 EPM sandbox escape
-CVE-2015-1739: IE11 EPM sandbox escape
-CVE-2015-1743: IE11 EPM sandbox escape

upcoming

-win10 LPE
Reddit account met wat commentaar op posts: https://www.reddit.com/user/SandboxEscaper


Wat weten we:
- Transgender (identificeert als een zij)
- In de afgelopen ~2 jaar transitie gemaakt.
- 28 (of inmiddels) 29 jaar.
- Heeft vitiligo.
- Sport: schermen.
- Waarschijnlijk EU based (lange wandelvakantie in UK gedaan).

Nog even een NB (mbt op de mismodders):
Het is mij niet te doen om iemand bekend te maken of de identiteit te achterhalen, alleen om aan te geven dat diegene zelf niet per se onbekend probeert te blijven.

[Reactie gewijzigd door SidewalkSuper op 23 mei 2019 11:19]

Ik weet eigenlijk wel bijna zeker dat het een Nederlander of een Vlaming is.
In de Demo (https://youtu.be/vgDt4CrmoRI?t=7) zie je dat de MSN webpagina automatisch redirect naar 'NL-BE'.

De YT link is een mirror van wat er in de repo staat, hier: https://github.com/Sandbo...er/sandboxescape/demo.mp4
(meer mensen zagen dit al)

[Reactie gewijzigd door D0phoofd op 23 mei 2019 10:56]

Nooit gehoord van een VPN? Gezien het aansluiting op de zeebekabeling is het logisch dat je de beste verbinding krijgt via het benelux regio als je van buiten de EU verbinding maakt en het heksen jacht in de EU wil laten plaats vinden.

Kijk maar naar ons nieuws voorziening alle hackers zijn individuen tenzij ze Russisch of Chinees zijn. Dan is het altijd staat gesponsord. Iemands aandacht misleiden is gewoon te makkelijk tegenwoordig.
Location spoofing is niet zo heel moeilijk (het werd bijvoorbeeld ook als cheat gebruikt in Pokemon Go...) en anders heb je nog VPN of proxies waarmee je opeens vanuit een andere locatie komt. Dus nee, de URL zegt of bevestigd helemaal niets. Los van dat maakt het ook niet uit wie en waar dit lek gevonden heeft, toch?

[Reactie gewijzigd door CH4OS op 23 mei 2019 12:28]

Location spoofing is inderdaad niet zo heel moeilijk. Maar je bent nog steeds relatief makkelijk te achterhalen waar je zit. En zelf met VPN ben je niet 100% anoniem. Je maakt het alleen wat moeilijker. En als er echt iets aan de hand is hebben je ze zo gevonden.
Een VPN kan prima gebruikt worden met als het doel is om de werkelijke locatie te verbergen tijdens het opnemen van een filmpje. Het gaat er immers om dat de daadwerkelijke locatie niet in het filmpje terug te halen is. De rest heeft er immers niet mee te maken, uit verband trekken hoeft dus ook niet, naar mijn idee. ;)

[Reactie gewijzigd door CH4OS op 23 mei 2019 15:21]

Voor we met de heksenjacht beginnen, is het bekend maken van exploits uberhaupt illegaal?
Voor we met de heksenjacht beginnen, is het bekend maken van exploits uberhaupt illegaal?
Nope, maar netjes is het ook niet. Nu weet ik toevallig dat SandboxEscaper alle exploits eerst aanbied aan Microsoft en al verschijnende malen heeft aangegeven dat Microsoft niet reageert en ze daarom publiekelijk maakt.
Liever online dan maanden in de doofpot van responsible disclosures.
Information wants to be free.
Hij bedoelt dat een lek in de doofpot houden juist gevaarlijk is omdat je moeilijk kan weten of zo'n lek al door iemand anders gevonden en misbruikt is.
Lees eerst even wat er toen met de "boston bomber" is gebeurd door toedoen van een heksenjacht op Reddit https://www.reddit.com/r/...with_catching_the_boston/

Laat dergelijk zoekwerk nou maar aan de echte profs over voordat er weer iemand onschuldig neergeknald of gestalked wordt :)

[Reactie gewijzigd door Santoryu op 23 mei 2019 10:55]

Het is mij niet te doen om iemand bekend te maken of de identiteit te achterhalen, alleen om aan te geven dat diegene zelf niet per se onbekend probeert te blijven.
Hij/zij heeft ook een foto van zichzelf gepost, dus volgens mij kun je de puzzel vrij simpel oplossen. Echter weet ik niet waarom het zo nodig is om te weten wie het is, anders dan dat we als mens graag mysteries ontrafelen :)
En alle foto's die mensen op het internet posten zijn echt?
Zeker niet! Je kunt hele complete persoonlijkheden faken op het internet..
Is er een kans dat deze informatie vals is juist om de identiteit te beschermen?
Schermen doen de meeste van ons :P
ja want facebook accounts bevat alleen maar juiste info 8)7
Nog even een NB (mbt op de mismodders):
Het is mij niet te doen om iemand bekend te maken of de identiteit te achterhalen, alleen om aan te geven dat diegene zelf niet per se onbekend probeert te blijven.
Dan schrijf je dit:

"Ik denk niet dat deze persoon zichzelf anoniem probeert te houden omdat je toch wel wat informatie uit het filmpje kan halen."

We zouden beter onze meningen en acties gelijk proberen trekken. ;)
Als dat systeem zich bij Microsoft heeft aangemeld voor Windows Updates, dan heeft Microsoft ook een IP en mogelijk meer informatie. De willekeurig gegenereerde systeemnaam is redelijk uniek:
DESKTOP-7SKP609
Een hacker die geen VPN gebruikt is je beredenering?
Hoeveel VPN endpoints zijn er in Genk?

@j129828 Ik verwacht eerlijk gezegd 0...

[Reactie gewijzigd door Cergorach op 23 mei 2019 13:45]

Er hoeft er maar 1 te zijn, dan kun je vrijwel niet meer achterhalen wie er gebruik van maakt.
ze komt ook uit belgie zo te zien inderdaad, staat op reddit ook.

[Reactie gewijzigd door steppert op 23 mei 2019 15:39]

http://www.datazone.be/ zit tussen hasselt en genk in. Daar zullen er ongetwijfeld genoeg aanwezig zijn.
Klopt, deze hacker is ook een Belg afgaande op de post history van Reddit.
Mwoah, na even gekeken te hebben op het reddit profiel en Twitter zie je dat deze hacker mentaal niet helemaal 100% is.
Echt hele vreemde uitspraken die zij doet...
geografisch gezien wonen wij als nederlanders(en zuid nederlanders) niet eens in de westerse helft, (geografische nul graden lijn light iets ten westen van london en trekt bijv door frankrijk)

maar dat ben ik die aan punaise poetsen doet.
Dit is die man/vrouw die net in een transformatie zit. Vorig jaar wilde hij zij nog zelfmoord plegen volgens mij.

Ook dit komt erg suïcidaal over:
I can't really remember the last time I was happy.
I guess it was probably during one of my hikes.

Some days I wish I could fade out of this world, be somewhere else.

I wonder what it's like to be surrounded by friends every day. The kind that doesn't turn their back when you hit rock bottom.

I'm still glad for the few people that I got to talk with online these past few years. I haven't had friends irl for a long time now.

I hope the Arctic will make me happy. That's where polar bears are supposed to be. I hope I won't feel like this anymore. I hope it will all be gone.
Man dat is dark.

Maarja vrienden verdien je, die krijg je niet vanzelf. Daar moet je moeite voor doen. En blijven doen. Ja vrienden kunnen je ondersteunen als je door een slecht moment in je leven gaat. Maar je kan niet verwachten dat ze jouw problemen gaan oplossen dat moet je toch echt zelf doen.

Vervelend voor de hacker, jammer dat hij andere beschadigd door een zeroday vulnerability op het web te gooien.

Als hij het had gemeld via responsable disclosure had hij vast wel positievere aandacht gehad, daar is diegene misschien wel naar opzoek.
Maarja vrienden verdien je, die krijg je niet vanzelf. Daar moet je moeite voor doen. En blijven doen. Ja vrienden kunnen je ondersteunen als je door een slecht moment in je leven gaat. Maar je kan niet verwachten dat ze jouw problemen gaan oplossen dat moet je toch echt zelf doen.
Het heeft ook denk ik met de situatie te maken waar hij/zij in zit. Ik vraag mij af hoe ik zou reageren als een van mijn maten waar je altijd mee in de kroeg staat te lachen, ineens in een jurk aankomt. Ik denk dat er maar weinig mensen zijn die met zo'n situatie om kunnen gaan in hun omgeving. En dan gaat het contact vanzelf verwateren denk ik.
Als hij het had gemeld via responsable disclosure had hij vast wel positievere aandacht gehad, daar is diegene misschien wel naar opzoek.
Dat denk ik dus ook. Er wordt zelfs gesproken over nog meer LPE's en vorig jaar ook al een RCE exploit van deze hacker. Ik denk dat ze je bij bijvoorbeeld Microsoft direct een dikke baan aanbieden als je exploits van dit caliber zelf ontdekt en "weaponized" maakt. En dan ook op dit tempo.

Helaas is deze persoon het vertrouwen in de mensheid verloren, zoals je aan de blog wel kunt zien. Trieste zaak.
Dit is rechtstreeks van de maker:

"At least I'm not pretending to be anything different but myself. At least my life doesn't revolve around social status. At least I don't have to wear masks just to fit in, just so I can have a fancy job, a big house, be a respected member of the community. How fucking shallow must such a life be. I don't care if people hate me. I don't care if I'll never have a job. I don't care if I'll be alone all my life. At least I get to live an honest life without pretending."

Wow. Deze gast zit in een heftige periode.

Teleurgesteld door de samenleving. Dit soort mensen zullen klimaatverandering overleven. Jouw kinderen niet. Deze hacker zou juist gesteund moeten worden door de gemeenschap i.p.v. uitgestoten.

Edit: Angry Polar Bear bug

[Reactie gewijzigd door Harm_H op 23 mei 2019 12:19]

Yeah, om eerlijk te zijn denk ik dat heel veel mensen een betere kans maken om dit te overleven dan iemand die zo duidelijk worstelt met zelfhaat.

Lekker trappen tegen de wereld omdat je het zelf niet meer ziet zitten.
Wellicht een tikje offtopic, maar dit soort individuen ga je meer zien in deze tijd. Haat en intolerantie neemt overal toe - zowel van links (intolerantie tegen ieder met een afwijkende mening) als rechts (afkeer van alles dat niet bij de eigen kliek hoort). Dus ga je gasten krijgen die uitgekotst worden door de eigen kring en dan nergens meer terecht kunnen. En die gaan gekke dingen doen.

Ben blij dat het een ITer is die wat gaatjes in software zoekt, in plaats van een chemist die zwaktes in het drinkwatersysteem zoekt. Om maar een voorbeeldje te noemen. Maar gevalletjes zoals die tweede gaan we ongetwijfeld krijgen in de komende jaren. "Verwarde persoon" gaat er nog een categorie bij krijgen...
En aan de andere kant wel klagen dat hij geen vrienden heeft:
I wonder what it's like to be surrounded by friends every day. The kind that doesn't turn their back when you hit rock bottom.

I'm still glad for the few people that I got to talk with online these past few years. I haven't had friends irl for a long time now.
Duidelijk volledig van het pad. Maar wel met een goed stel hersens, met alle gevolgen van dien.

Zeer duidelijk toe aan psychische hulp, al is het de vraag of dat gaat helpen.
Wat ze nodig heeft, is iemand waar ze op kan vertrouwen. Of die er is..., hangt ook mede van haar zelf af. Als ze bijv. borderline neigingen heeft (weet ik niet, maar stel), is het voor die ander erg lastig om dat lang genoeg vol te houden zodat er ook een vertrouwensband kan ontstaan.

Tja typisch geval van: "Life's a bitch and then you marry one" of "Life's a bitch and you become one"

yup, pun intended :Y)
Uhm nee, zo iemand mag van mij gewoon lekker weg kwijnen in zijn zielig gedoe. Prima dat mensen depressief zijn, kan de beste overkomen. Maar pak daar niet de samenleving mee omdat jij het er niet mee eens bent. Dit is hetzelfde als zelfmoord plegen door voor de trein te springen. Je pakt er zo veel mensen mee die je niet eens kent. Triest.

Die jongen zou eens moeten bedenken waarom mensen zo zijn tegen hem, want zoals je al ziet is het gedrag wat hij vertoont nou niet echt iets waar mensen op zitten te wachten nee. Als ik dit soort shit uithaal en heel mijn zielige verhaal op internet knal zal ik ook niet veel vrienden overhouden.

Ik snap wat een depressie met je kan doen, maar het is en blijft geen reden om dan maar de boel te gaan liggen verstieren voor anderen. En wat wil ie hier nou mee bereiken? Van mij mag dit gewoon behandeld worden als criminele activiteit. Als je een inbreker gezien hebt en dit niet meldt dan ben je ook een soort van “schuldig”
Dus als je dat denkt en zeg zit je in een heftige periode?

Het zou voor de mensheid een stuk beter zijn als mensen zo zouden denken. Er zijn zoveel van die hypocrieten die iets doen om erbij te horen of wat dan ook. Deze persoon is eerlijk, en dat is schijnbaar heftig. |:(
Dit soort mensen zullen klimaatverandering overleven. Jouw kinderen niet.
8)7 8)7 :? :? 8)7 8)7 |:(
Absoluut niet. Dat hij professionele hulp nodig heeft is duidelijk, maar iemand steunen die exploits publiceert om "een middelvinger aan westerse fucktards" te geven (zijn woorden, niet de mijne!), is van den zotte. De economische schade kan hierdoor enorm zijn, evenals persoonlijke schade als zo'n exploit belangrijke documenten/foto's van persoonlijke pc's verwijdert, of daar toe leidt. Erg naïef om dit goed te praten in het oog van klimaatverandering, terwijl dit nergens wordt aangehaald door de exploitmaker zelf.

[Reactie gewijzigd door TechandMusic op 23 mei 2019 10:57]

Absoluut niet. Dat hij professionele hulp nodig heeft is duidelijk, maar iemand steunen die exploits publiceert om "een middelvinger aan westerse fucktards" te geven (zijn woorden, niet de mijne!), is van den zotte. De economische schade kan hierdoor enorm zijn, evenals persoonlijke schade als zo'n exploit belangrijke documenten/foto's van persoonlijke pc's verwijdert, of daar toe leidt. Erg naïef om dit goed te praten in het oog van klimaatverandering, terwijl dit nergens wordt aangehaald door de exploitmaker zelf.
De hulp gaat niet helpen....

Het is duidelijk wat hem dwars zit: Het feit dat hij is uitgekotst door de maatschappij.
Waarom kotst de maatschappij hem uit?
Omdat de maatschappij minder tolerant geworden is tegenover mensen die afwijken van de norm.
Waarom is de maatschappij minder tolerant geworden?
Omdat er een gebrek aan empathie is.
Dat is wat hij bedoelt met "De waarheid over dit leven kan alleen maar gevonden worden in de wildernis".....

"Fuck it! Laten we alles verkopen en de Tango gaan dansen." is al decennia lang geen nieuw verschijnsel. Zie bijvoorbeeld Ben Hockett in "The Big Short" of diverse andere muziekstukken.

De problemen die hij aanhaalt zijn echt en reëel en we moeten als maatschappij maar eens heel er goed in de spiegel kijken voordat we nog meer van dit soort mensen die "Net even iets te machtig worden omdat ze intelligent zijn" gaan uitkotsen. De "freaks" horen erbij en een "freak" die je gewoon goed betaalt op de juiste plaats in een organisatie, kan enorme bakken geld en/of welvaart opleveren. Let wel, ik heb het over goed, maar niet exorbitant, betalen: Dus kan een huis kopen op minder dan 1 uur afstand van zijn werk en daarnaast ieder jaar op vakantie en een gezin onderhouden.

Al met al leefden er in de jaren 30 van de vorige eeuw, vergelijkbare sentimenten en ook toen ging het mis. Ik zie dagelijks vergelijkbare statistieken en ik zie waar het heen gaat. Hij ziet het ook. En wat de getallen mij vertellen, maakt mij heel erg bang.

Hoe wilt u iemand hulp aan aanbieden als hij absoluut niet gek geworden is en de wereld er gewoon zo bij ligt zoals hij er nu bij ligt?

En aangezien wij vandaag naar de stembus mogen, is dit wellicht een mooie gedachte om bij die keuze te betrekken.
Het enige wat ik wil aanmerken is dat naar mijn mening (dunno hoe dat voor hem/haar is): er is wel emphatie alleen het is vaak zo extreem aangedikt, zo klef zo nep je word er soms gewoon niet goed van..
met een beetje minder komt men gauw een stuk beter voor de dag, minder fake.
Ja, omdat hij zichzelf met een ijsbeer vergelijkt, die blijer is in Antarctica. Z'n blog heet ook "Place where polar bears dwell". Volgens mij is dat toch echt een verwijzing naar z'n sociale isolatie, niet naar klimaatverandering. Dat wordt niet aangehaald in z'n blogs, en ik gok dat iemand die ongericht schade wil aanrichten om "het Westen aan te pakken", de negatieve effecten van klimaatverandering niet per se erg vindt, aangezien deze ook negatief gaan uitpakken voor de "Westerse mensen" waar hij haat voor heeft.
Gezien zijn/haar uitingen is het ook niet vreemd dat deze persoon graag op Antartica zit. Als je een hekel hebt aan alle anderen op de planeet is het wat lastig vriendjes te worden met anderen. Als je jezelf asociaal gedraagt, tsjah, dan is het ook niet erg vreemd als anderen je ook niet echt met open armen zullen ontvangen zeg maar.
Link naar de github pagina:

https://github.com/Sandbo...master/angrypolarbearbug2

Edit1: Het lijkt er op dat er zelfs uitleg bij staat... vindt dit wel erg verdrietig dat dit niet officieel is gemeld via microsoft

[Reactie gewijzigd door MiranoV op 23 mei 2019 10:04]

Ironische is dat github door Microsoft is overgenomen :+
Kunnen eventuele kosten van misbruik ook bij deze hacker verhaald worden? Wat een trieste verschijning dat je bedrijven niet eens de kans geeft fouten te herstellen.
Uiteindelijk is het toch een fout in de code van MS? Wellicht daar maar om kostenvergoeding gaan klagen? die vraag lijkt me net zo realistisch.
Enige verschil alleen dat MS niet de fout direct online plaatst met tekst en uitleg om door elke minkukel met een internetverbinding te kunnen lezen en toe te passen.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Consoles

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True