Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

ESET ontdekt zeroday in Windows 7 die tegen overheidsinstelling werd gebruikt

ESET heeft een zeroday ontdekt die werd gebruikt voor gerichte aanvallen in Oost-Europa. De kwetsbaarheid werkt alleen op Windows 7 en Windows Server 2008. Het is niet bekend waar de aanval precies op werd gericht.

ESET ontdekte het lek vorige maand en bracht Microsoft daarvan op de hoogte. Er is inmiddels een patch uitgebracht. De kwetsbaarheid is geregistreerd als CVE-2019-1132. en uitgebreid beschreven door de beveiligingsfirma.

Volgens ESET werd het lek actief uitgebuit tegen een overheidsinstelling in Oost-Europa, maar het is niet bekend om welke overheid het precies gaat. Wel wijst het beveiligingsbedrijf de Buhtrap-groep aan, een hackergroepering die sinds 2014 actief is en aanvankelijk vooral Russische bedrijven aanviel. Sinds een paar jaar richt de groep zich echter niet alleen op financiële doelen, maar ook op spionage. ESET zegt dat de huidige malwareaanval onder meer wachtwoorden probeerde te stelen uit mailprogramma's en browsers.

Het lek was te misbruiken op oudere versies van Windows 7 en op Windows Server 2008 en 2008 R2. Wel kan het lek alleen uitgebuit worden als de aanvaller al toegang tot het systeem heeft. Specifieker zijn de systemen die kwetsbaar zijn Windows 7 32-bit Service Pack 1 en 64-bit Service Pack 1, Windows Server 2008 32-bit, 64-bit en Itanium Service Pack 2, en Windows Server 2008 R2 64-bit en Itanium Service Pack 1.

De exploit maakt misbruik van een kwetsbaarheid in win32k.sys. Een aanvaller kan die uitbuiten door pop-upvensters aan te maken en die misbruiken om het kernelgeheugen te dumpen. De kwetsbaarheid was voornamelijk bedoeld om de gebruikersrechten te vergroten.

Het is niet het enige lek dat Microsoft deze week heeft gerepareerd. Tegelijkertijd met deze kwetsbaarheid heeft het bedrijf ook een patch uitgebracht voor CVE-2019-0880, een exploit waarmee ook een local privilege escalation kan worden uitgevoerd. Die kwetsbaarheid zit in splwow64.exe.

Door Tijs Hofmans

Redacteur privacy & security

11-07-2019 • 12:00

52 Linkedin Google+

Reacties (52)

Wijzig sortering
Ik zou bijna zeggen dat MS de stekker er maar geforceerd uit moet trekken. Het leidt zo tot imagoschade. Maarja, dat gaat natuurlijk niet.

MS blijft het zeggen dat men er van af moet stappen. En als men alsnog kritische legacy software moeten draaien, kan dat denk ik ook onder Linux met wine of mono lijkt mij.

Het is gewoon te makkelijk. Manager x ziet cijfer y, dat kleiner is dan z. Dus blijft de Windows 7 bak maar draaien. Die nalatigheid mag in mijn (waarschijnlijk onpopulaire) mening wel geëxploiteerd worden...
Ik zou bijna zeggen dat MS de stekker er maar geforceerd uit moet trekken. Het leidt zo tot imagoschade. Maarja, dat gaat natuurlijk niet.

MS blijft het zeggen dat men er van af moet stappen. En als men alsnog kritische legacy software moeten draaien, kan dat denk ik ook onder Linux met wine of mono lijkt mij.

Het is gewoon te makkelijk. Manager x ziet cijfer y, dat kleiner is dan z. Dus blijft de Windows 7 bak maar draaien. Die nalatigheid mag in mijn (waarschijnlijk onpopulaire) mening wel geëxploiteerd worden...
De reden dat men overal (niet alleen bij de overheid) oude software blijft gebruiken is heel simpel:

De daadwerkelijke kosten van software onderhoud zijn nooit meegenomen bij het uitbesteden van software ontwikkeling en onderhoud. Alles moet zo goedkoop mogelijk. Ik heb bij bedrijven gewerkt waar het geld tegen de muren omhoog klotste en nog steeds wilden ze geen fatsoenlijk budget vrijmaken voor ICT. Gewoon, omdat managers een bonus krijgen als ze kosten besparen.

Dan blijf je dus aanmodderen tegen hoge kosten voor legacy software licenties, met alle risico's van dien en vervolgens moet je alsnog op een bepaald moment overstag.

De wondere wereld van voorspelbaar irrationeel handelen van groepen mensen.
Het ligt wel iets genuanceerder.
Het is vaak niet simpelweg even upgraden. Het hele applicatie- en soms infra-/security landschap wordt door zo'n upgrade geraakt en dit vereist sowieso een test traject en heel vaak aanpassingen in applicaties van andere vendoren. Dat maakt een upgrade een langduriger en kostbaarder traject.
Het ligt wel iets genuanceerder.
Het is vaak niet simpelweg even upgraden. Het hele applicatie- en soms infra-/security landschap wordt door zo'n upgrade geraakt en dit vereist sowieso een test traject en heel vaak aanpassingen in applicaties van andere vendoren. Dat maakt een upgrade een langduriger en kostbaarder traject.
Ja, maar dat is dus mijn punt.

De kosten van zo'n traject moet je meenemen op het moment dat je bepaalt "hey, laten we dit leuke stukje software bouwen. Hoe duur is dat?". Het houd niet op bij de productie kosten van een stuk software natuurlijk. Net als dat de kosten van het (levens lang) hebben van een auto niet ophouden bij de aanschafprijs van 1 of meerdere auto's.

Software bij de overheid draait niet 1 of 2 jaar zoals software voor consumenten. De levensduur voor overheidssoftware (en software voor grote bedrijven) is 20 tot 50 jaar (mijn eigen grove schatting, natte vinger). Dit is van te voren bekent. Er kan dus ook van te voren ingeschat worden wat een stuk software gemiddeld per jaar gaat kosten. Inclusief onderhoud, inclusief aanpassingen, inclusief her-trainen van personeel, inclusief herschrijven en inclusief updates.

Dit wordt echter, voor zover ik weet, niet gedaan. Alles is korte termijn planning. De horizon gaat niet verder dan de huidige regeringsperiode en als het voor een hoge pief allemaal te lastig wordt, dan gaat hij weg en zoekt hij een ander leuk baantje, tot dat weer te lastig wordt. enz.

Er wordt een stuk software geschreven / aangeschaft. Dat draait tot er ineens moeilijkheden komen en dan wordt men pas wakker en gaat men nadenken over "ohja, Windows 7 bestaat niet voor atlijd". Om maar wat te noemen. En dan is er ineens geen geld of mankracht om een update te schrijven.

Volledig voorspelbaar. Volledig onnodig.

En als software inclusief alles, per jaar, te duur blijkt te zijn. Dan koop je die software niet. En dan maak je niet je volledige bedrijf/overheid daarvan afhankelijk. Tot het wel goedkoop genoeg kan. Simpel.

Maar deze basis logica blijkt volledig te ontbreken bij overheden en grote bedrijven.

[Reactie gewijzigd door GeoBeo op 11 juli 2019 13:42]

Onderhoud op langere termijn etc is wel degelijk onderdeel van de business case. Zo dom zijn ze bij de overheid en grotere instellingen ook niet.

Je haalt twee principes door elkaar, die los van elkaar kloppen. Maar de combinatie is dat niet.

Bij overheid en grotere instellingen gaat het vooral om de complexiteit die gepaard gaat met het bredere veld/landschap. Die is naast zeer moeilijk stuurbaar door de bedrijfsomvang ook erg onvoorspelbaar aangezien je simpelweg niet kunt voorspellen hoe regelgeving en beleid er over 5 jaar uitzien. Vooral bij banken en overheid is dit een niet te licht in te schatten onderdeel.
Onderhoud op langere termijn etc is wel degelijk onderdeel van de business case. Zo dom zijn ze bij de overheid en grotere instellingen ook niet.

Je haalt twee principes door elkaar, die los van elkaar kloppen. Maar de combinatie is dat niet.

Bij overheid en grotere instellingen gaat het vooral om de complexiteit die gepaard gaat met het bredere veld/landschap. Die is naast zeer moeilijk stuurbaar door de bedrijfsomvang ook erg onvoorspelbaar aangezien je simpelweg niet kunt voorspellen hoe regelgeving en beleid er over 5 jaar uitzien. Vooral bij banken en overheid is dit een niet te licht in te schatten onderdeel.
Dit praat het niet goed. Als het allemaal zo moeilijk stuurbaar is en zo onvoorspelbaar is, dan doe je de geraamde prijs flink omhoog om risico van "niet kunnen betalen" te vermijden. Als dan blijkt dat het allemaal veel te duur is en niet kan, dan is dat ook een antwoord.

Maar dat antwoord mag blijkbaar niet. En doormodderen is beter.

Tot het een keer echt helemaal mis gaat denk ik dan. En elke keer weer blijkt het veel duurder dan geraamd.

Wat gaat het de betreffende overheden uit het artikel nu kosten aan gelekte informatie, door het hardnekkig blijven gebruiken van Windows 7? Antwoord: meer dan wat een upgrade zou kosten, want die upgrade gaan ze binnenkort sowieso moeten doen. En zeg nou niet dat het niet voorspelbaar was dat er informatie zou lekken op deze manier. Als je verouderde software met (hopelijk) extended support gebruikt (Windows 7) dan is de rest van je infrastructuur waarschijnlijk ook niet de nieuwste. En dan zijn data-lekken en hacks volledig voorspelbaar en mee te nemen als kosten risico.

Wat kost upgraden? heel veel.

Wat koste niet upgraden en data van burgers uitgelekt + staatsgeheimen uitgelekt? nog veel meer.

[Reactie gewijzigd door GeoBeo op 11 juli 2019 14:04]

Allemaal potentiële risico's. Mooi hoor. En als je wat ervaring zou hebben met risicomanagement dat weet je dat je niet alle potentiële risico's bij voorbaat daadwerkelijk mitigeert. Daarmee zou elk project al bij voorbaat onbetaalbaar worden (lees: een negatieve business case hebben) en dus niet uitgevoerd worden. Dus worden risico's geaccepteerd.

Het doel van ICT is namelijk niet alleen om de mooiste en veiligste oplossingen neer te zetten. Het moet ook nog aan andere voorwaarden voldoen binnen een bedrijf. Zo werkt dat ook bij bedrijven, de overheid en bij ons thuis ook. Doen zij en wij dat niet, dan worden producten erg duur, gaan belastingen omhoog of heb je geen geld om boodschappen te doen.

Het ligt dus genuanceerder.
Allemaal potentiële risico's. Mooi hoor. En als je wat ervaring zou hebben met risicomanagement dat weet je dat je niet alle potentiële risico's bij voorbaat daadwerkelijk mitigeert. Daarmee zou elk project al bij voorbaat onbetaalbaar worden (lees: een negatieve business case hebben) en dus niet uitgevoerd worden. Dus worden risico's geaccepteerd.
(Bijna) alle overheids ICT projecten falen en we lezen aan de lopende band verhalen over dat er weer eens privacy gevoelige (of zelfs staatsgevoelige) data is uitgelekt.

Hoe is de business case achteraf (en naar mijn mening ook vooraf) niet negatief te noemen voor bijna al die projecten?

Zomaar een willekeurig voorbeeld: de OV-chipkaart. Ik denk dat je het met me eens bent dat dit achteraf een negatieve business case was (3 miljard ipv de geraamde 0,5 miljard en jaren later nog steeds geen poortjes op alle stations + afschaffing ervan alweer in zicht). Hoe was dat geen negatieve business case toen ze eraan begonnen? Hoe is dat project kosten positief te noemen voor burgers? De prijs van treinkaartjes is veel harder gestegen dan inflatie EN er is los daarvan belastinggeld verspild aan een systeem dat weinig tot niets toevoegt.

Risicomanagement is betekenisloos als flink bijsturen of annuleren van een kansloos project bij voorbaat geen optie is.

Case in point: als je als grote instelling anno 2019 nog Windows 7 of lager draait, dan heb je per definitie geen (goed) risicomanagement gedaan. Zie artikel.
Het doel van ICT is namelijk niet alleen om de mooiste en veiligste oplossingen neer te zetten. Het moet ook nog aan andere voorwaarden voldoen binnen een bedrijf. Zo werkt dat ook bij bedrijven, de overheid en bij ons thuis ook. Doen zij en wij dat niet, dan worden producten erg duur, gaan belastingen omhoog of heb je geen geld om boodschappen te doen.

Het ligt dus genuanceerder.
Dat snap ik allemaal wel. Maar dat betekend niet dat het bouwen van een stuk software (of andere technologische oplossing) altijd een goed idee is. Zeker als je de upgrades e.d. niet gaat kunnen betalen.

Producten worden duurder en belastingen gaan omhoog. Dat klopt. Zonder ICT krijg je dat. Maar met ICT die niet op orde is krijg je dat ook. Mogelijk nog erger dan als je helemaal niets zou hebben gedaan.
Dat is een heel goed punt. Maar natuurlijk niet de schuld van MS. We zien denk ik met zijn allen dat het uiteindelijk om de centen gaat en niet een goede applicatie in dit geval. Ik denk dat MS heel graag de stekker uit alle niet courante Windows versies zou willen trekken.

Er zijn zelfs tekenen dat Windows niet meer dan een GUI voor een Linux distrubitie gaat worden. Laat een ander bedrijf maar de kopzorgen hebben van backwards compatibility.

[Reactie gewijzigd door Mieske666 op 11 juli 2019 12:41]

"Die nalatigheid mag in mijn (waarschijnlijk onpopulaire) mening wel geëxploiteerd worden..."

Op zich ben ik het niet met je oneens, maar dan alleen als er geen misbruik plaatsvindt. Dus geen gegevens stelen en zo (hooguit misschien een paar documenten om te bewijzen dat er een lek is).
Of dit "nieuws" wordt door Microsoft via ESET de wereld in gebracht om ervoor te zorgen dat het aantal Windows 7 gebruikers sneller afneemt.... ;)
En als men alsnog kritische legacy software moeten draaien, kan dat denk ik ook onder Linux met wine of mono lijkt mij.
Ok. Maar je weet dat legacy software pas na jaren legacy software is, hè?

Ik geef het je te doen: Software dat jaaaaren op een server draait naar een andere server met Wine of Mono migreren en dan ook nog verwachten dat het werkt.
Die nalatigheid mag in mijn (waarschijnlijk onpopulaire) mening wel geëxploiteerd worden...
Ok. Maar je begrijpt dat de misbruik van de nalatigheid bij het ene bedrijf ook tot overlast kan zorgen bij anderen die helemaal niets met het nalatige bedrijf te maken hebben?
Deze kwetsbaarheid vereist nog steeds dat er een, speciaal daarvoor gemaakt, programma geopend word op een pc waar ingelogd is. Veel it beheerders blokkeren het openen van executables waardoor deze aanval niet werkt.
Wel wijst het beveiligingsbedrijf de Buhtrap-groep aan, een hackergroepering die sinds 2014 actief is en aanvankelijk vooral Russische bedrijven aanviel. Sinds een paar jaar richt de groep zich echter niet alleen op financiële doelen, maar ook op spionage. ESET zegt dat de huidige malwareaanval onder meer wachtwoorden probeerde te stelen uit mailprogramma's en browsers.
Ten eerste moet je genoeg IT-beheerders hebben, ten tweede moet je de systemen dusdanig dichtgetimmerd hebben dat ze niets anders kunnen doen dan waarvoor ze bedoeld zijn.

Alleen daar zie ik het al misgaan.


Je loopt tegen het probleem aan dat afgelegen gemeentes niet altijd genoeg apparatuur is dat ook genoeg beschermd is, BYOD,
daarnaast wordt ook daar steeds meer in the cloud over het internet gewerkt om in databases te komen.

Een ketting is zo sterk als de zwakste schakel en dat zijn er helaas genoeg.
Het probleem met alles dicht timmeren (Dit ligt denk ik aan mij) Dat heel moeilijk wordt om iets nieuws op te zetten en de volledige controle hebben over software die je wilt gebruiken.

Zelfs in een test omgeving was er teveel moeite om mijn product te lanceren wat er toe leidt dat ik niet veel kon doen. De test omgeving is er niks voor niks om dit soort dingen na te kijken. En zelfs dan nog was er een menselijke fout die mij teveel toegang gaf tot iets.
Een ketting is zo sterk als de zwakste schakel en dat zijn er helaas genoeg.
Daar komt ook nog bij dat, zeker als er ICT kennis ontbreekt, de ICT budgetten vaak ingekort worden of al veel te klein zijn. Maar als men dan toch een partij inhuurt om hun ICT te onderhouden, en dit bedrijf doet hun werk goed, dan gaan ze zich afvragen waar ze die partij nou precies voor betalen.

Verlies / verlies situatie
Veel it beheerders blokkeren het openen van executables waardoor deze aanval niet werkt.
Maar blokkeren zij bijvoorbeeld ook macro's in Office documenten? Zo niet, dan is dat ook een manier om binnen te komen.
Zelfs zonder macro's zijn er manieren bij oude office producten om code uit te voeren 🤪. De CVE lijst van Office is heel lang en wordt vaak over het hoofd gezien bij beheer als er updates worden gedaan.
Tenminste, dat denken ze. Vervolgens staan ze bijvoorbeeld wel alle door Microsoft gesigneerde executables toe waarmee je ook nog prima code kan uitvoeren:

https://lolbas-project.github.io/
Gelukkig zitten de meeste overheidsinstellingen nog op XP :P
Uit het persbericht over deze ontdekking:
Windows XP and Windows Server 2003 are also affected, but these versions are not supported by Microsoft.
Dus dat gaat helaas niet meer werken, ook al was je opmerking voornamelijk als grap bedoeld. ;)

Bron: https://www.eset.com/int/...a-highly-targeted-attack/
Hoezo? MS moet zijn shit gewoon op orde hebben. Dit is geen nieuw lek want het bestaat al een tijdje namelijk. Dat MS gebruikers, van een nog steeds gesupport OS, opzettelijk grote risico's laat lopen door laks om te gaan met de veiligheid zegt meer over de associale houding van MS dan over de gebruikers. Bij Windows 7 zijn wij nog gebruikers, Windows 10 'gebruikers' zijn het product en hebben sowieso niet veel meer te willen. En dan nog ruim 200 euro moeten betalen voor een product dat niets beter doet dan Windows 7 en waar je als betalende klant ook nog het product van bent. Ik weet het niet hoor maar ergens klopt er in het verhaal van MS iets niet. Waarom zou ik moeten betalen voor iets waarvan ik zelf het product ben, althans mijn gegevens? Google geeft het nog tenminste 'gratis' weg waarbij je weet dat je betaald met je data. Bij MS betaal je in feite MS om geld met jouw data te verdienen. Slechte business case voor de gebruiker maar goed voor MS en voor het betaalde pro MS trollenleger hier.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Groot-Brittanie

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True