Microsoft dicht lek in IE dat al misbruikt wordt mogelijk pas op 11 februari

Er is een kwetsbaarheid in Internet Explorer ontdekt waarmee criminelen onder omstandigheden op afstand code kunnen uitvoeren. Microsoft werkt aan een patch maar het zou nog weken kunnen duren voordat deze verschijnt. Het lek wordt al in de praktijk misbruikt.

Het veiligheidsprobleem zit in de manier waarop de scriptingengine van Internet Explorer met objecten in het geheugen omgaat: dit is te misbruiken om geheugencorruptie te veroorzaken en code op getroffen systemen uit te voeren met dezelfde rechten als een gebruiker. Aanvallers kunnen dit onder andere doen door gebruikers naar een speciaal vervaardigde website te lokken. Details over de bug, met aanduiding CVE-2020-0674, zijn nog niet bekendgemaakt.

Microsoft meldt bekend te zijn met een 'beperkt aantal gerichte aanvallen'. Het bedrijf publiceert stappen op zijn site om het risico op misbruik in te dammen. Microsoft werkt ook aan een patch, maar verwijst wat de release betreft naar zijn standaardbeleid om beveiligingsupdates op de tweede dinsdag van de maand uit te brengen. Dat zou betekenen dat de fix pas op 11 februari verschijnt. Het lek zit in Internet Explorer 9, 10 en 11 in verschillende Windows-versies, waaronder Windows 7, 8.1 en 10. Het Amerikaanse Homeland Security zag in de bekendmaking van het lek aanleiding om een waarschuwing te publiceren. Het US-CERT adviseert gebruikers om van Microsoft Edge of een alternatieve browser gebruik te maken.

Reacties (96)

Hoicks 20 januari 2020 09:46

Ik begrijp de Workaround niet. Ik ben even aan het testen wat de impact is als ik de workaround doorvoer die Microsoft schetsts. Ze halen daar de rechten weg van Everyone, maar Everyone heeft bij ons geen rechten op de jscript.dll bestanden. (De DOMAIN\gebruikers hebben wel read & execute rechten). Is het dan de bedoeling om die rechten in te perken zodat gebruikers de DLL's niet meer kunnen aanroepen?

Ofwel je zet met deze workaround heel javascript uit voor Internet Explorer?

[Reactie gewijzigd door Hoicks op 23 juli 2024 18:19]

nesva072 @Hoicks • 20 januari 2020 11:18

Everyone wordt aan de user groups toegevoegd, en krijgt vervolgens geen lees- en schrijfrechten, waardoor alle users en user groups geen lees- en schrijfrechten meer hebben. Hiermee wordt niet heel JavaScript voor Internet Explorer uitgezet, aangezien nieuwere versies van Internet Explorer hier jscript9.dll voor gebruiken. Alleen websites die in een van de Internet Explorer compatibility modes draaien gebruiken jscript.dll. Overigens kan het blokkeren van jscript.dll problemen geven met het gebruiken van een printer, en ook problemen veroorzaken met andere programma's dan Internet Explorer die van jscript.dll afhankelijk zijn.

Psycho_Mantis @Hoicks • 20 januari 2020 10:15

Dit vraag ik mij dus ook af. Hier kon ik ook al geen everyone rechten vinden op de jscript.dll.
Zeer onduidelijk...

robvh99 @Hoicks • 20 januari 2020 11:00

Klopt inderdaad, je maakt het onmogelijk voor iedereen om jscript te gebruiken
everyone:none vertaald zich uiteindelijk in deny all voor everyone
En aangezien deny altijd voor allow gaat ontzeg je effectief iedereen de toegang tot jscript.dll

Nefiorim 20 januari 2020 08:37

Dat is ook een manier om gebruikers naar Edge te laten migreren...

Milmoor

@Nefiorim • 20 januari 2020 08:40

Gebruikers die nu nog op IE zitten zullen dit met reden doen. Of een hele oude Windows (slechte reden), of omdat zij applicaties draaien die het onder Edge niet doen. Er zijn nou eenmaal oude plugins/applicaties die alleen onder IE werken. De leveranciers is failliet of niemand weet meer hoe alles aan elkaar geknoopt is. Ook niet goed, maar wel de realiteit. Sterfhuisconstructies houden het soms noodgedwongen heel lang vol.

bassekeNL @Milmoor • 20 januari 2020 08:48

Aan de andere kant: het houdt elkaar wel in stand. Ik werk zelf in de zorg, en wij moeten IE11 ondersteunen, "want dat wordt nog heel veel gebruikt". Door het te blijven ondersteunen hou je het gebruik ook in stand.

edit: typo

[Reactie gewijzigd door bassekeNL op 23 juli 2024 18:19]

MartijnHavinga @bassekeNL • 20 januari 2020 08:52

Wij hebben ook nog genoeg klanten die IE11 hebben, maar praktisch iedereen heeft daarnaast ook Chrome of Edge. We testen al geruime tijd niet meer op IE.

Arcastin @MartijnHavinga • 20 januari 2020 09:41

Wij moeten IE11 ook nog ondersteunen. Dat is de bedrijfsstandaard hier.
Ik werk (gedetacheerd) voor een high-tech bedrijf..

nobraininvolved @Arcastin • 20 januari 2020 09:56

apart zeg, want maar 2.3 % van de NL gebruikers gebruikt nog IE11.
Wij testen in principe alleen de browsers met meer dan 5% gebruikers actief of de top 3 browsers...IE valt al een lange tijd niet meer onder 1 van beiden.

https://gs.statcounter.co...ds/#monthly-201812-201912

zelfs edge is maar de vraag of je dat actief zou willen testen. Wij doen het wel, maar meer onder het mom van 'dan ondersteunen we er 3' dan dat hij daadwerkelijk aan de overige eisen voor t testen voldoet.

[Reactie gewijzigd door nobraininvolved op 23 juli 2024 18:19]

Nox @nobraininvolved • 20 januari 2020 11:04

Is die top3 per platform of...? Mobiel en desktop zijn enorm verschillend. Chrome desktop wordt in die gevallen allemaal op een hoop gegooid en ios browsers en edge worden op versienummer gescheiden.

Imho zou je ff, chrome, edge en safari moeten rekenen als meest gebruikte browsers. Dan vang je vrijwel alles af. Linux, windows en mac, met de meegeleverde browser én de 3rd party gratis browsers.

nobraininvolved @Nox • 20 januari 2020 11:42

voor mobiel hebben we een ander beleid. Daar worden meer versies ondersteund, maar voor desktop houden we in principe idd chome, safari en edge aan en af en toe bekijken we ook nog een beetje firefox (dus het is niet zo dat we buiten de top 3 helemaal niets bekijken), maar de nadruk ligt op de top 3. Zo hebben we IE dus een tijd geleden laten vallen en firefox is geen must have (dus gaan we geen groot effort op doen maar mochten we iets kleins tegenkomen wat makkelijk te fixen is, dan nemen we het ook ff mee).

RWasseneuseraar @nobraininvolved • 20 januari 2020 14:20

Vreemde logica. Firefox is een fors grotere browser in marktaandeel vergeleken met Edge.

nobraininvolved @RWasseneuseraar • 20 januari 2020 22:42

nee, dat scheelt maar heel weinig.
4.77 (firefox) vs 4.49 (edge). We zagen alleen firefox toch steeds een paar puntjes dalen en edge een paar puntjes stijgen, vandaar de keus.
Eens in de zoveel tijd houden we de browsers weer 's tegen 't licht, dus het kan zo zijn dat we binnenkort besluiten om toch edge te laten vallen en toch firefox weer mee te gaan nemen.

laptopleon @Nox • 20 januari 2020 11:17

Alhoewel er 'partially combined' bij staat, staat de knop 'All platforms' ingedrukt.

Als je alleen 'desktop' erbij pakt is het ook maar 4.1%.

CasPI7 @nobraininvolved • 20 januari 2020 10:40

Voor consumenten (software) is het minder erg als een programma niet werkt op IE want dan kunnen ze nog een andere browser gebruiken, maar voor bedrijven die software moeten gebruiken die alleen op IE werkt ligt het wat genuanceerder.

nobraininvolved @CasPI7 • 20 januari 2020 11:39

ja klopt, maar voor die gevallen zou ik toch eens de discussie starten over het hoelang ze nog denken gebruik van IE te maken.

batjes

Microsoft Internet Explorer
Browsers
Microsoft

@nobraininvolved • 20 januari 2020 21:45

Net zo lang tot er budget en tijd beschikbaar is om applicaties uit het jaar kruik eindelijk eens een keer te herschrijven. Wij werken bv met een paar duizend (web)apps, en ondanks dat redelijk veel apps niet meer zo browser afhankelijk zijn Hebben we toch nog een hele stapel apps die afhankelijk is van IE11, Firefox build X of Chrome build Y.

IE11 is qua beveiliging netjes up to date. Dat geldt voor het geforceerd gebruiken van bepaalde Firefox/Chrome builds weer niet. Het is in die zin erg begrijpelijk dat webapps in het bedrijfsleven liever aan IE vast blijven houden dan Firefox of Chrome. Hier zit toch echt een groot deel van de oorzaak van de IE support die nog vele jaren nodig gaat hebben voordat het uitsterft. De ESR builds van de andere browsers heeft een te korte levensduur voor het bedrijfsleven. 5 jaar dezelfde (web)app blijven gebruiken is echt helemaal niets.

nobraininvolved @batjes • 20 januari 2020 22:48

Ik snap 'm als je het over dat soort aantallen hebt.
Overigens zou ik nog liever met een oude versie van IE te maken hebben, dan met een oude versie van b.v. Chrome.
Dit omdat Chrome zelf een beleid heeft dat de browser maximaal 3 versies oud mag zijn, daarna krijg je problemen (ik heb al websites niet kunnen openen omdat 'mijn chrome te oud was' of webdriver niet meer kunnen gebruiken, enz enz. dat soort zaken, erg irritant).

Bij mij op het werk hebben we ook wel oudere (web)apps, maar die zijn puur voor intern gebruik en doen wat ze moeten doen.
Dan ligt daar natuurlijk de nadruk niet op (qua kosten en resources), temeer niet omdat die dusdanig in de keten liggen dat er een schil van veiligheid omheen gebouwd is (b.v. niet van buitenaf benaderbaar), dus dat scheelt dan ook weer een veiligheidsaspect waar je rekening mee zou moeten houden.

jochem4207 @nobraininvolved • 20 januari 2020 11:42

Binnen mijn werk zie je ook nog veel ie, maar zit achter een VPN, waardoor het niet bij NL op telt waarschijnlijk

nobraininvolved @jochem4207 • 20 januari 2020 11:45

je ziet IE nog vaak voor oudere bedrijfsapplicaties of oudere intranetten maar als je iets ontwikkelt wat je de buitenwereld in gaat sturen, dan is het feitelijk overbodig IE mee te nemen.

TimmiX @nobraininvolved • 20 januari 2020 13:00

Welke drie doel je op? Want in de praktijk ondersteunen wij (het bedrijf waar ik voor werk) veel meer browsers. Chrome (Windows, MacOS, iOS, Android), Firefox (Windows, Mac, iOS, Android), Edge (Windows), IE11 (Windows), Safari (MacOS en iOS).

Dat zijn bij elkaar 12 browsers, waarvan onderling de verschillen soms te verwaarlozen zijn, maar toch komen er soms bijzondere bugs naar boven in één van deze browsers. Dit zal dan toch moeten worden opgelost.

En dan negeren we nog Opera, vele mobiele browsers en Linux/Ubuntu in zijn geheel...

Ik vind het apart dat jullie zo weinig supporten eigenlijk. Wel fijn voor jullie als developers, maar als klant zal ik daar wel twee keer over nadenken.

[Reactie gewijzigd door TimmiX op 23 juli 2024 18:19]

nobraininvolved @TimmiX • 20 januari 2020 22:36

als je mobiel meetelt, supporten we veel meer hoor, ook verschillende versies van bv android, maar daar ben ik een stuk minder bij betrokken.
Voor desktop houden we het op de paar grotere. Chrome, Edge, Safari.

Kontsnorretje @nobraininvolved • 20 januari 2020 18:58

Die 2.3% is natuurlijk ook relatief. Als ik kijk op sommige sites die ik beheer, ligt het percentage soms dichterbij (of over) de 10%, en soms dichterbij de 1%.

Het grootste verschil bij de sites, is de doelgroep. Bij de ene klant wordt kleding verkocht, bij een andere computer hardware.

Bij de klant die computerhardware verkoopt, heb ik nog nooit een issue gehad specifiek voor IE gebruikers, bij de klant die kleding verkoopt, wel

hackerhater @Arcastin • 20 januari 2020 12:52

Bij de klant hier moeten we ook IE11 ondersteunen.
Reden: de gebruikers zijn overheid

JonKoops

@bassekeNL • 20 januari 2020 10:26

Ja, het is binnen organisaties vaak een ding om het in stand te houden zelfs al zijn er gewoon moderne browsers op het systeem geinstalleerd. Erg jammer want het is echt een ongelovelijke klus om moderne webapplicaties compatible te houden met die oude meuk.

gimbal @bassekeNL • 20 januari 2020 10:58

"want dat wordt nog heel veel gebruikt" - in de zorg. Want oude computers en waarschijnlijk hebben ze de zeer oude plugins zoals Java applets en ActiveX nog nodig.

Het wereldwijde gebruik van IE is toch echt heel laag, maar als ik naar de logging kijk dan zie ik in zorggerelateerde backend calls eigenlijk bijna geen Chrome, Safari of Firefox langskomen, heel veel IE11 en Edge.

cricque @Milmoor • 20 januari 2020 09:54

Als je een groot park aan pc's hebt (laat ons zeggen 5000+) dan ga je ook zomaar niet migreren naar iets anders. Ik heb voor instanties gewerkt waar ze pas een jaartje of 2 geleden naar windows 7 geupgrade zijn. Deze instanties verplichten je bjina om gebruik te maken van "oude dingen". Maar ze betalen je er wel rijkelijk voor.

Voor mijn eigen saas applicaties is het oftewel ga je mee met de tijd oftewel zoek je maar een andere leverancier. Zelfs tegen extra betaling ga ik mij niet in bochten wringen om "oude" rotzooi te onderhouden en te blijven ondersteunen. Loop ik hierdoor een paar klanten mis ... ja zeker. Maakt het mijn leven gemakkelijker: hell yes. Dan is de keuze snel gemaakt me dunkt.

jeroen79 @cricque • 20 januari 2020 11:04

Maar hoe moeilijk is het om Chrome of Firefox naar je PC's te pushen?

cricque @jeroen79 • 20 januari 2020 11:16

Moelijk is het niet ... Maar de tijd dat het kost , want je beslist dit in een zeer grote organisatie nooit zelf. Daar gaan dan ettelijke meetings/tests over. Dan is er nog de gebruikers zelf die je op de hoogte moet brengen etc. Dat is ook 1 van de redenen waarom dit in grote organisaties altijd maar uitegesteld wordt. Het zijn wijzigingen ...

nobraininvolved @cricque • 20 januari 2020 11:52

heel slecht excuus (de medewerkers).
oude meuk levert simpelweg ook de grootste beveiligingsissues op. 3/4 van de medewerkers hebben thuis ook geen oude meuk op de computer (want die update wss automatisch) en die zijn er ook zo aan gewend. Ja....'t levert de eerste opstartperiode wat meer werk op (behandelen van vragen), maar daarna wordt 't juist makkelijker, want nieuwer houdt meestal ook in dat het beter onderhoudbaar wordt (en een stuk veiliger).

cricque @nobraininvolved • 20 januari 2020 12:17

Note: dat is niet mijn excuus. Maar wat ze in grote instellingen gebruiken. Ik ben het helemaal met je eens. Ik doe er ook niet meer aan mee. Je moet meegaan

GoBieN-Be @nobraininvolved • 21 januari 2020 22:47

Bij een omgeving die ik beheer hebben we de gebruikers Firefox (ESR) gegeven en de boodschap zoveel mogelijk die browser te gebruiken. Maar toch blijven veel gebruikers vasthouden aan IE tot onze ergernis.
Mensen zijn gewoontedieren.

pepsiblik @Milmoor • 20 januari 2020 09:41

Dat je oude applicaties hebt die alleen in IE werken is natuurlijk geen excuus om voor andere zaken niet gewoon een moderne browser te gebruiken. We hebben naast nieuwe Edge (support vanaf Windows 7) ook nog Chome, Firefox, Safari, Brave, etc.

Anoniem: 1322 @pepsiblik • 20 januari 2020 15:46

Inderdaad, ik promoot zelf al jaren bij organisaties om geen IE meer te gebruiken maar meestal vanwege luiigheid schakelt men niet over (kost geld en moeite). Wie niet horen wil moet maar voelen en Microsoft doet er goed aan om gewoon te wachten op patch dinsdag.

curkey @Anoniem: 1322 • 20 januari 2020 16:56

Er zijn tools voor om dat te bespoedigen; dan kun je Edge bv als default browser afdwingen en de sites whitelisten die per se IE nodig hebben. Als mensen dan toch IE gebruiken voor een andere URL, dan forceert deze automatisch Edge.

R4gnax

Browsers

@curkey • 20 januari 2020 21:54

Er zijn tools voor om dat te bespoedigen; dan kun je Edge bv als default browser afdwingen en de sites whitelisten die per se IE nodig hebben. Als mensen dan toch IE gebruiken voor een andere URL, dan forceert deze automatisch Edge.

MS draait het met Chromium-Edge om: via AD policies afgestemde white-listed domeinen draaien een "IE-tab" welke een geisoleerd IE proces gebruikt voor de web content, maar verder alles binnen de Edge UI houdt.

Bedoeling is dat je als enterprise-beheerder de normale IE applicatie -- dwz de losstaande user-interface schil om de engine -- deinstalleert op alle workstations en voor enkel de broodnodige centraal vastgelegde uitzonderingen met die IE tabs gaat werken.

Veel veiliger dan een black-list.

[Reactie gewijzigd door R4gnax op 23 juli 2024 18:19]

Anoniem: 1322 @curkey • 21 januari 2020 00:35

Ik ben bekend met Enterprise modus van Google Chrome of Edge. Deze organisaties kiezen er bewust voor om IE te blijven gebruiken. Ze willen niets anders want het werkt met de applicaties die ze gebruiken. De rest interesseert ze niet. Tevens werkte op Windows 7 en Microsoft heeft het ook in Windows 10 gebouwd dus -> IE gebruiken we.

rko4u @Milmoor • 20 januari 2020 09:13

Een zijn ook een heleboel web applicaties die al lang niet meer werken op IE. Daardoor zal minimaal 80% (en waarschijnlijk nog veel meer) van de internetters via IE ook nog een andere browser gebruiken. Dus als je alleen IE gebruikt voor die paar (vermoedelijk interne) applicaties die nog niet zijn omgebouwd naar iets moderns, valt het risico best mee.

martwoutnl @Milmoor • 20 januari 2020 09:28

Ik heb IE nog op mijn computer staan maar die wordt alleen gebruikt voor het uploaden van een pensioenaangifte tot een maand terug. Alleen via IE kon ik op die website uploaden. Onder Firefox of Chrome ging het niet. Gelukkig kan het nu rechtstreeks via Exact.

Fero @Milmoor • 20 januari 2020 11:23

De nieuwe Chromium Edge heeft trouwens een IE mode, waardoor dat probleem opgelost zou moeten worden

https://www.microsoft.com/en-us/edge?icid=SMC-IA-4501095

Anoniem: 1322 @Fero • 20 januari 2020 15:50

De oude Edge had die modus ook al.. Zelfs Google Chrome heeft die 'enterprise' modus.
Punt is dat dit helemaal geen probleem oplost. Alle problemen blijven gewoon bestaan.

Het probleem zit niet in de browser maar de website die geen moderne browsers ondersteund.
IT binnen organisaties moet gewoon de ballen krijgen om te zeggen dat ze zulke domme dingen niet meer supporten. Gelukkig doen veel bedrijven dit al wel zoals banken of bijvoorbeeld een topdesk.

JohanNL @Milmoor • 20 januari 2020 11:36

Zelfs al zou je een oude Windows gebruiken (XP / Vista), dan alsnog heb je outdated versies, maar bruikbaarder en veiligere browsers zoals Chrome & Firefox tot je beschikking.
En dit geldt eigenlijk ook voor alle Windows versies daarvoor, IE is gewoon achterhaald

RWasseneuseraar @Milmoor • 20 januari 2020 14:22

Derde reden...of omdat het mensen zijn die bij wijze van "muscle memory" altijd teruggrijpen naar IE. Vaak oude mensen.

DrNickB @Nefiorim • 20 januari 2020 08:53

Helaas zit er nog geen andere browser standaard in bijvoorbeeld Windows Server 2019..
Edge zit er niet in vanwege het missen van het volledige metro/app gebeuren.
Je hebt dus bijna altijd al een browser nodig om een andere te installeren (als je usb even uitsluit).

walteij @DrNickB • 20 januari 2020 09:17

Waarom zou je een browser willen gebruiken op een Server OS?
Downloads doe je vanaf je werkstation, vervolgens zet je de download op een gemonitorde share (waar de AV en malware scans net wat strikter zijn ingesteld) en vanuit de server haal je de download van die share af.

Het grootste beveiligingsrisico is nog steeds een gebruiker die via een browser allerlei rommel binnen haalt. Dus laat je bij voorkeur die browser weg op een server.

Wouterie @walteij • 20 januari 2020 09:39

Ik snap niet wat een browser überhaupt in zo'n configuratie doet, maar Microsoft levert nog steeds geen Windows zonder browser. Als het erop zit is de kans dat het wordt gebruikt.

Trommelrem @Wouterie • 20 januari 2020 20:31

Sinds 4 februari 2008 wordt Windows gewoon geleverd zonder browser.

Wouterie @Trommelrem • 20 januari 2020 21:27

Het is onmogelijk om internet Explorer volledig te verwijderen uit Windows. Windows 7 E lijkt geen browser te hebben, maar internet explorer is alleen niet zichtbaar en niet eenvoudig te gebruiken. Uiteindelijk is het een feature die je aan en uit kunt schakelen, zelfs zonder internet.

Trommelrem @Wouterie • 20 januari 2020 22:35

Dat komt omdat ADAL afhankelijk is van IE11.
Maar sinds 4 februari 2008 wordt er ook gewoon een Windows geleverd waar IE simpelweg niet in zit.

R4gnax

Browsers

@Wouterie • 20 januari 2020 21:59

Microsoft levert nog steeds geen Windows zonder browser.

What is Server Core? - MS Docs

Wouterie @R4gnax • 21 januari 2020 09:07

Dat is Windows zonder 'windows'. Dos heeft ook geen internet explorer.

R4gnax

Browsers

@Wouterie • 21 januari 2020 20:16

Dat is Windows zonder 'windows'. Dos heeft ook geen internet explorer.

En ^^ dat ^^ is moving goalposts.

Server core is gewoon een lichtgewicht Windows Server speciaal bedoeld voor remote administration; containerization; en hosting. Precies wat je met een webfarm wilt.

MZONDERL @walteij • 20 januari 2020 09:41

Ik zie het nog wel op Citrix/RDS systemen, gebruikers komen dus op een Server OS, hierdoor gebruiken ze dus een browser ook op een Server OS.

Helaas heeft Microsoft (nog) niet Windows 10 Multi-User voor On-Premise vrijgegeven, alleen in de cloud diensten.

Rataplan_ @walteij • 20 januari 2020 10:03

Een van de diensten die wij leveren aan klanten zijn hosted RDS omgevingen. RDS, geen VDI (ivm kosten voor onze in de regel relatief kleine klanten). En ja, daar moet een browser op. We proberen zoveel mogelijk IE gewoon eraf te halen, maar helaas, in de banking en verzekeringen wereld is nog een hoop wat bv Silverlight (ook al jaren niet meer ondersteund) en dus IE nodig heeft. Maar ook ActiveX, ja het bestaat nog.

walteij @Rataplan_ • 20 januari 2020 10:12

De enige reden inderdaad om een browser op een Server OS te hebben is inderdaad RDS.
RDS servers zijn doorgaans ook iets beter afgeschermd met policies om misbruik te voorkomen. Een beetje organisatie zorgt er ook voor dat de RDS servers makkelijk opnieuw te herinstalleren zijn.
Ten eerste om de farm eenvoudig uit te breiden, ten tweede om een host die problemen oplevert snel op te schonen (naast andere maatregelen om herhaald misbruik te voorkomen).

wjn @DrNickB • 20 januari 2020 09:36

Had Tweakers ook wel mogen vermelden als saillant detail.

(Eerlijkheidshalve gezegd, staat standaard op de server alles dicht op IE, alleen sites die je bewust zelf toevoegt kun je bezoeken.)

BvdW1978 @DrNickB • 20 januari 2020 09:18

Een browser in een server.. standaard ook nog.. brrr..

Trommelrem @BvdW1978 • 20 januari 2020 20:30

Dat is nodig voor sommige ADAL applicaties. Helaas loopt ADAL nog vaak via IE11, ook al is IE11 verwijderd. Op een RDS omgeving kun je sinds een paar dagen Edge kwijt. Edge is ook beter via Intune te beheren dan IE11. IE11 is niet te beheren, en is eigenlijk alleen maar bedoeld voor enkele interne websites.

BvdW1978 @Trommelrem • 21 januari 2020 08:37

Mja.. facepalm is het woord van de dag wat mij betreft. Browsers horen niet op servers. En in het randgeval waarbij het toch nodig of zinvol is, zou die als optionele extra door de beheerder moeten kunnen worden toegevoegd en weer verwijderd. Ik ben blij dat er zoiets bestaat als Server Core, maar die kun je dan weer niet heel selectief uitbreiden met de GUI-componenten die je wel nodig vindt.

Trommelrem @BvdW1978 • 21 januari 2020 08:53

Mee eens. Microsoft is het ook met je eens. Daarom zit er in Windows sinds versie 2008 default geen browser of GUI meer. Beheer gaat via PowerShell. De GUI is inmiddels een optionele feature die je bij de installatie moet kiezen. ADAL registratie gaat dan ook via PowerShell tegenwoordig.

[Reactie gewijzigd door Trommelrem op 23 juli 2024 18:19]

JohanNL @DrNickB • 20 januari 2020 11:45

Ja maar standaard staat deze browser ook op de zowat hoogst mogelijke beveiliginginstellingen.
Hij is standaard niet ingesteld op dat je bestanden kunt downloaden en browsen op het internet zelf is al niet te doen.
Deze instellingen zou je ook kunnen toepassen op een gewone Windows versie en is ook aan te raden, want hoe stom het ook is, er zijn apps die IE gebruiken om webcontent te laden.
Dus ook al denk je " ik gebruik geen IE " is het aan te raden de instellingen oo het hoogst mogelijke te zetten.

adje123 @Nefiorim • 20 januari 2020 08:40

Als je als consument nog niet naar Edge bent dan doe je toch ook wel iets fout.

mkools24 @adje123 • 20 januari 2020 08:41

IE11 wordt vooral bedrijfsmatig nog veel gebruikt.

walteij @mkools24 • 20 januari 2020 08:51

Probeer de SCOM 2016 webinterface maar eens te openen in iets anders dan IE.
Zeker met de wat uitgebreidere dashboards ga je silverlight nodig hebben en dat werkt simpelweg alleen onder IE.

En zo zijn er nog heel wat andere applicaties die inderdaad alleen compatible zijn met IE11. O.a. door Silverlight, maar ook specifieke ActiveX componenten helaas...

mkools24 @walteij • 20 januari 2020 09:01

Inderdaad, het zou wel een goed idee zijn om enkel die sites die men nodig heeft ook toe te laten in IE en te zeggen gebruik voor de rest maar Chrome of Edge.

Maar dat is weer een hoop meer administratie natuurlijk, het bijhouden van een whitelist.

The Realone @mkools24 • 20 januari 2020 09:32

Dat valt mee. Wij zijn nu aan het testen met de IE Mode van de nieuwe Edge. We houden centraal een lijst bij met websites die in IE mode moeten draaien binnen Edge. Als een gebruiker daarheen gaat, IE, anders Edge Chromium. Als dit goed gaat hebben we binnenkort enkel nog Edge draaien en kunnen Firefox en Chrome eruit.

Gezien IE mode gewoon IE is op de achtergrond lost dit de vulnerabilities niet op, maar zolang we met legacy applicaties zitten die niet zonder IE kunnen (of erger nog, Silverlight) is dit de beste oplossing.

Psycho_Mantis @walteij • 20 januari 2020 09:04

Dus upgraden naar SCOM 2019. Zit een HTML5 dashboard in.
https://docs.microsoft.co...new-in-om?view=sc-om-2019

walteij @Psycho_Mantis • 20 januari 2020 09:11

@kozue
Ter info: SCOM 2016. Niet zomaar te vervangen door iets anders hoor.

@Psycho_Mantis
Graag, alleen zijn we nogal wat afhankelijkheden. MS heeft het liefst alle System Center componenten op dezelfde versie. Maar dan kom je dus 1 vrij groot probleem tegen, namelijk de incompatibiliteit van SCVMM met Server 2012 R2.
Server 2012 R2 is keurig nog ondersteund, maar SCVMM ondersteund die versie dus niet. Pas vanaf Server 2016 kun je Hyper-V nodes toevoegen aan SCVMM 2019.

Nu hebben we nogal wat Hyper-V nodes, en een aardg aantal daarvan is nog 2012. We zijn ook bezig met een LCM project naar 2016/2019, maar pas als dat voltooid is kunnen we de System Center suite gaan upgraden naar 2019.

En ja, we hebben al gekeken, er zijn al meerdere verzoeken gedaan (door verschillende bedrijven) aan Microsoft om SCVMM gewoon in lijn te houden met alle ondersteunde OSen. Helaas is daar nog geen gehoor aan gegeven,

[Reactie gewijzigd door walteij op 23 juli 2024 18:19]

BvdW1978 @walteij • 20 januari 2020 09:20

Mooi toch, al die geïntegreerde oplossingen. Ik hoor echt zo vaak van dit soort verknoopte olievlekken dat het gewoon niet leuk meer is.

walteij @BvdW1978 • 20 januari 2020 10:20

Om heel eerlijk te zijn is het voor de System Center Suite een hele goede manier om de versies gelijk aan elkaar te houden. Juist de gelijke versies zorgen voor een optimale integratie. Ook is het update/upgrade proces van de componenten onderling een stuk eenvoudiger als alles op dezelfde versie en Upgrade Pack zit.

Alleen is het erg vervelend dat 1 onderdeel van deze product groep het besluit heeft genomen om zich niet te houden aan de support lifecycle van Microsoft zelf.

Edit: Wat gekke kleine tikfoutjes

[Reactie gewijzigd door walteij op 23 juli 2024 18:19]

FreezeXJ @BvdW1978 • 20 januari 2020 10:07

Dan hoef je maar 1x het acceptatie- en goedkeuringstraject door, en dat scheelt managers veel tijd. Op papier scheelt het ook nog eens geld, schijnt...

Berimbau @walteij • 20 januari 2020 13:11

SCOM 2019 is het antwoord daarop, volledig HTML5, dus dat is geen issue. SCOM 2016 komt uit begin 2016. Andere tijden. Daarnaast is Silverlight tot oktober 2021 nog door Microsoft ondersteund.

walteij @Berimbau • 20 januari 2020 14:15

Zie mijn eerdere reactie....
walteij in 'nieuws: Microsoft dicht lek in IE dat al misbruikt wordt mogelijk...

kozue

Browsers

@walteij • 20 januari 2020 09:01

Ik weet niet wat SCOM is, maar een oplossing kan natuurlijk ook zijn om dat simpelweg niet meer te gebruiken en vervangen door iets anders. Er is in 2020 echt geen reden meer om alleen IE te ondersteunen. IE is al jaren praktisch end-of-life (MS wil er ook vanaf) en werkt daarnaast ook nog eens alleen op Windows. In ons IT team werkt niemand op Windows en kan dus ook geen IE gebruiken en dus ook die interface niet.

Spacecowboy

@kozue • 20 januari 2020 09:07

SCOM is de monitoring tool van MS zelf, vooral gebruikt binnen grote Windows omgevingen. Het is dus een beteje vreemd dat MS aan de ene kant je zo snel mogelijk naar edge wil, maar aan de andere kant nog wel prducten ondersteund die verplicht IE11 moeten hebben...

EraYaN @Spacecowboy • 20 januari 2020 09:42

Al heb ik wel het gevoel dat SCOM nou niet echt meer de methode is die Microsoft graag ziet, en ze liever hebben dat men het server dashboard gebruikt om je servers en services te monitoren.

ViperXL @EraYaN • 20 januari 2020 17:23

Windows Admin Center is the way to go alhoewel ik zelf gewoon System Center aan het opzetten ben bij een klant.

BvdW1978 @ViperXL • 21 januari 2020 08:41

Prometheus.. ben je in een keer helemaal los van de bizarre interne politiek van Microsoft waardoor je aan de buitenkant een slecht afgestemd productportfolio overhoudt en slechts kunt slikken of stikken.

Joever @kozue • 20 januari 2020 09:10

In een ideale wereld zou dat inderdaad de oplossing zijn. Helaas leven we niet in een ideale wereld.

Helaas zijn bedrijfsmatig nog genoeg legacy webapps die alleen functioneren op IE. Fabrikant failliet, nieuwe licentie kost klauwen met geld, productie machines draaien alleen op die versie van deze webapp en de machine is nog niet afgeschreven zijn enkele redenen waarom veel (productie)bedrijven nog steeds gebruik zullen moeten maken van IE.

wjn @kozue • 20 januari 2020 09:19

System Center Operations Manager, van, jawel, Microsoft.

rko4u @mkools24 • 20 januari 2020 09:15

Maar in principe zal dit grotendeels intern gebruikte software zijn. de meeste diensten zullen toch wel over zijn op modernere technieken

telenut 20 januari 2020 09:33

En elke dag opnieuw moet ik op het werk mijn default browser terug aanpassen omdat de policy hier IE is... (omwille van inderdaad toepassingen van de jaren 80 die nog jaren moeten meegaan)

FordDriver 20 januari 2020 11:05

Bij het uitvoeren van de workaround. Blijkt printen niet meer de werken.
Specifiek HP printers.

SuperDre 20 januari 2020 11:46

Tja, kan me best voorstellen dat ze niet stel op sprong hier een update voor hebben, dit soort patches kost toch behoorlijk wat tijd om te maken, zeker met testen dat er daarna niet alles omvalt.

JohanNL 20 januari 2020 11:49

Hoe stom het ook is, er zijn apps die IE gebruiken om webcontent te laden, denk bijvoorbeeld aan die Winrar advertenties.
Dus ook al denk je " ik gebruik geen IE " is het aan te raden de beveiliginginstellingen van IE aan te passen op het hoogst mogelijke want anders ben je wellicht kwetsbaar voor lekken als deze.

NLKornolio 20 januari 2020 12:42

Interne websites aanspreken met IE zal geen risico vormen. Het zal alleen gaan om externe websites waar de vulnerability bewust wordt gebruikt. Als dit intern een risico vormt heb je hele andere problemen.

Handig dat de cve link verder nog geen data weergeeft.

[Reactie gewijzigd door NLKornolio op 23 juli 2024 18:19]

Anoniem: 30722 20 januari 2020 10:51

Alsof IE gebruikers bekend staan om hun vlotte upgrade gedrag.... lekker boeiend dus!

JohanNL @Anoniem: 30722 • 20 januari 2020 12:00

De kans is ook reëel dat jij IE (indirect) gebruikt doordat andere apps webcontent laden via IE.
Die advertenties van Winrar lopen bijvoorbeeld via IE.
Dus of je zet IE op de hoogste beveiliginginstellingen ( en blokkeerd daarmee gelijk de advertenties ) of je bent in zo'n situatie ook kwetsbaar voor dit lek in IE.

Anoniem: 30722 @JohanNL • 20 januari 2020 20:09

Denk niet dat de kans heel groot is... ik gebruik nooit windows

Rudie_V 20 januari 2020 11:02

Het veiligheidsprobleem zit in de manier waarop de scriptingengine van Internet Explorer met objecten in het geheugen omgaat: dit is te misbruiken om geheugencorruptie te veroorzaken en code op getroffen systemen uit te voeren met dezelfde rechten als een gebruiker.

Hoe zit het als je in Internet Explorer de optie Enhanced Protected Mode aanzet waarmee de browser untrusted content in een AppContainer draait met lagere rechten dan de standaard gebruikersrechten van de gebruiker?

https://support.microsoft...mode-add-on-compatibility

To enable Internet Explorer to protect your computer and personal data, Enhanced Protected Mode isolates untrusted web content in a restricted environment that's known as an AppContainer.

Ik lees er eigenlijk niets over, dus vermoedelijk helpt het dan ook niet?

jahoorisieweer 20 januari 2020 13:18

Ach mensen het allemaal zo simpel.
Ja men heeft soms een oude / te oude IE nodig maar dat is ook al weer een feit wat bijna zo oud is als de weg naar ROME. (KIJK naar IE 6 toen was het echt heftig) (is ook zo bij andere zaken soms...)

DAN:
Dus beperkt men het gebruik simpel voor alleen waar dit echt daadwerkelijk nodig is.
Dan houd men extra alle bekende leks / cve's in acht / bij.
Dan treft men maatregelen of workarrounds om zaken die CVE's betreffen toch uit te kunnen sluiten / tegen houden / extra audit / monitoring.
Als er een te hoog risico is ook met bovenstaand dient men netwerken te scheiden waar deze zaken in gebruik zijn van overige belangrijke netwerken enz.

Enz. dus niets nieuws mogelijk nog een paar zaken maar dit is dus al zeg maar > 20 jaar het geval bij zulke zaken o.a. IE.

Enige wat wat nieuwer is dat MS zelf ook een nieuwere / andere browser EDGE heeft voor sommige uitwijk die in aantal gevallen naast IE kan. Wat voorheen alleen met IE en dan in verschillende versie te gebruiken een crime was of onmogelijk.

Ik had hem trouwens in forum en bij redactie gemeld hier Diverse new beveiligings meldingen in pers ZERO day IE enz.

Zie ook de andere link daar betreffende 500K enz.

[Reactie gewijzigd door jahoorisieweer op 23 juli 2024 18:19]

Op dit item kan niet meer gereageerd worden.

Microsoft dicht lek in IE dat al misbruikt wordt mogelijk pas op 11 februari

Lees meer

Reacties (96)

Sorteer op:

Weergave: