Microsoft dicht lek in Windows-groepsbeleid dat verhoging rechten mogelijk maakt

Microsoft heeft een kwetsbaarheid in de functionaliteit voor groepsbeleid binnen Windows gedicht. Daarmee was het mogelijk om rechten te verhogen en zo kwetsbare systemen over te nemen. De patch is onderdeel van een reeks fixes die Microsoft dinsdag uitbracht.

De kwetsbaarheid treft Windows-systemen vanaf Server 2008 en heeft daarmee gevolgen voor miljoenen systemen, volgens beveiligingsbedrijf CyberArk. Dat meldde het lek in juni 2019 bij Microsoft. In september vorig jaar bevestigde Microsoft de kwetsbaarheid. Microsoft maakte toen aan het beveiligingsbedrijf bekend dat een patch ontwikkelen complex was. Dinsdag heeft Microsoft die patch dan toch uitgebracht. De kwetsbaarheid heeft aanduiding CVE-2020-1317 gekregen.

De kwetsbaarheid heeft betrekking op de Group Policy Client-service, oftewel gpsvc. Deze service vereist beheerdersrechten om te kunnen functioneren en te controleren op updates voor groepsbeleid. Via een bestandsmanipulatieaanval bij het draaien van gpupdate.exe kan een gebruiker verhoogde rechten verkrijgen, waarmee alle Windows-machines in een domein vatbaar worden voor een escalation of privileges-aanval. Volgens Microsoft moet een aanvaller eerst inloggen bij een kwetsbaar systeem en vervolgens een speciaal vervaardigd programma draaien.

De fix is onderdeel van Microsofts Patch Tuesday van juni 2020, waarmee het bedrijf in totaal 129 kwetsbaarheden in zijn producten verhelpt. Daaronder vallen geen zerodaykwetsbaarheden. Wel zijn 11 lekken gemarkeerd als kritiek, 109 als belangrijk, 7 als gemiddeld en 2 als laag.

Een van de kritieke kwetsbaarheden maakte het mogelijk via geheugencorruptie willekeurig code uit te voeren op kwetsbare systemen. Dat kon dankzij de manier waarop Microsoft-browsers binnen Windows objecten in het geheugen benaderen. Ook was er een kritieke VBScript-kwetsbaarheid.

Microsoft maakt cumulatieve updates voor de verschillende Windows-versie beschikbaar, waaronder KB4557957 voor Windows 10 version 2004, oftewel de May 2020 Update. De update voor de laatste versie van Windows 10 bevat beveiligings- en stabiliteitsverbeteringen, onder andere voor Edge, de Xbox-app en de Microsoft Store.

Door Olaf van Miltenburg

Nieuwscoördinator

10-06-2020 • 14:46

29 Linkedin

Submitter: AnonymousWP

Reacties (33)

33
33
24
0
0
4
Wijzig sortering
dit moet ergens in legacy code gezeten hebben en leuk voor de mensen die nog 2008 en 2008r2 draaien, want die zijn al sinds 2015 EOL en er is sinds 14 januari 2020 compleet geen support meer. Toch zijn er nog updates voor uitgebracht
Voor de liefhebbers biedt microsoft nog steeds updates voor windows 2008: https://docs.microsoft.co...extended-security-updates Al moet je er tegenwoordig meestal wel extra voor betalen. De patches worden dus nog wel nog steeds gemaakt.
Ja, maar als het even kan doe je een upgrade naar een nieuwer OS!
Er zijn zo een paar zaken die in 2008 blijven hangen. Een 32-bits operating systeem bijvoorbeeld. En de ondersteuning voor zaken die er sinds 2012 niet meer in zitten.

Toegegeven, de gebruikte systemen die nog afhankelijk zijn van zaken die in 2012 en jonger niet beschikbaar zijn, zijn op zich zelf ook al 'bejaard'. Maar bedenk dat in 1990 al verteld werd dat cobol (een computertaal) niet meer ondersteund wordt. Nu, 30 jaar later, is er nog steeds vraag naar.
Het gaat hier om een serieus probleem. Een non-conformiteit. Vergelijk het met een terug roep actie van auto's indien daar een serieus probleem ontdekt wordt wat tot zeer ernstige gevolgen kan leiden. Auto's uit garantie worden dan ook terug naar de garage geroepen.
nogal vreemde vergelijking die je maakt, want Microsoft heeft al lang aangegeven dat support zal stoppen en dat je moet overstappen. Autofabrikanten roepen ook geen auto's zonder veiligheidsgordels terug.

Een privilege escalation waarvoor je ook local access nodig hebt en een speciaal programma, is dan ook minder kritiek en het feit dat er nog altijd geen zero-day voor is na meer dan 10 jaar zegt ook al wat.
Ik kreeg toch echt een terugroepactie i.v.m. met mijn BMW 328i uit 2002 drie maanden geleden. De airbag is vervangen i.v.m. gevaar voor stukken staal in de airco die loskomen tijdens een botsing.
Je kunt niet ieder product met elkaar vergelijken. Windows kost €150, een auto €35.000. Ook in de garantie wetgeving wordt rekening gehouden met de aanschafprijs en de verwachtingstermijn dat een product bruikbaar blijft.
Windows server kost geen €150 euro
Het gaat over de versies "systemen vanaf Server 2008". Dus ook voor de consumentenversies (PRO). Server edities vanaf zo'n €600. Dus nog lang niet in de buurt van de BMW.
Enkele server eens. Zijn genoeg bedrijven die nog niet geheel overzijn van 2008r2.

Dat kunnen nog 10 tallen of honderden systemen zijn al met al betalen ze nog steeds vaak licentie kosten voor deze systemen.

Daar kan je wel wat leuke BMW’s van kopen.
❤ Beoordeel mijn jonge geschoren kutje alsjeblieft - https://foto013756872.imgfast.pw
2008R2 heeft pas dit jaar eol status. En geen updates meer indien standaard support.
Mogen we blij zijn dat Google niet met dit beveiligingslek op de proppen kwam. Microsoft zal niet op zijn gat gezeten hebben sinds de melding.
Ah wist niet dat het al weer zo laat was, nou dan zal ik de pc eens aansteken en updaten :).
Deze service vereist beheerdersrechten
Klopt dit wel? De group policy service draait normaliter namelijk onder SYSTEM en niet onder een account dat lid is van de Administrators group.
"in de functionaliteit voor groepsbeleid binnen Windows" - wat een steenkolenengels. In Nederland word gewoon Group Policy gebruikt voor deze term....
Nope, in Nederlandse versies van Windows heet dit groepsbeleid, niets mis mee dus.
In mijn Windows 10 (Nederlandse versie) heet het anders gewoon groepsbeleid.
Nee hoor, in de Nederlandstalige Windows heet het toch echt 'Groepsbeleid'.
Wel jammer dat de Windows 10 2004 update zo raar verloopt.

5 jaar lang feilloos en altijd meteen kunnen updaten en bijwerken, nu is het opeens “het komt er aan maar uw systeem is er nog niet klaar voor, u hoeft niets te doen”..whut?

Ik lees dit van meerdere mensen met gloednieuwe systemen tot oud en alles tussen in, maar mijn systeem heeft geen van de “known issues”, dus dit is ronduit vreemd.

Sommige gebruiken dan maar de update assistent en soort van handmatig de boel updaten.
Veelal zonder enige problemen.

Maar wat mij dus stoort is dat Microsoft een of ander probleem (mogelijk) ziet qua updaten voor mijn systeem, maar kan mij blijkbaar niet vertellen wat er dan mogelijk mis is of kan gaan vanwege dit of dat.
Nou, ik zal je eerlijk zeggen. Bij mij stond die upgrade dus wel klaar, maar blijkbaar was mijn systeem er toch niet klaar voor...... Ofwel ik kon vandaag mijn PC opnieuw gaan installeren, wat nog een erg vervelend probleem naar boven bracht in 2004, want ik kan nu met geen mogelijkheid in Windows meer mijn netwerkkaart instellen (laatste intel NUC) dat die WakeOnLan moet kunnen, probeer ik de registryfix (CsEnabled) zodat 'Power management' zichtbaar zou moeten zijn bij de netwerk device, waar het bij 1909 bij mij nog wel werkte, is het tabblad nu niet meer zichtbaar.... Dus vanuit thuis werken is nu eigenlijk niet meer mogelijk zonder dat ik de NUC dag en nacht aan zou laten staan.. Hoop dat ik het toch nog aan de praat kan krijgen, maar het is wel enorm vervelend, en ik begrijp sowieso niet waarom MS die optie weggehaald had, want er is geen andere manier toegevoegd waardoor WOL wel fatsoenlijk zou werken, en dat dus op nieuwe hardware.. Het gaat steeds verder de verkeerde kant op met Windows met het weghalen van opties.
Les 1, wacht uberhaupt 4 weken met installeren van grote windows updates (of t nou client of server is), kleine security updates kan je wel doen, maar grote updates altijd wachten. even wachten loont met grote updates, laat iemand anders maar de niges oplossen.
Collega van mij heeft exact dezelfde NUC, en die had geen problemen bij het upgraden.. Maar waar ik dus pas NA de fubar achter kwam is dat bij windows 10 (pro) dus blijkbaar system restore points tegenwoordig tandaard UIT staan (niet echt handig als je er van uit gaat dat die standaard aan staat zoals die bij mij thuis dus wel aan staat).
Uiteindelijk WOL toch aan de praat gekregen, maar niet dankzij microsoft, maar een losse netwerk adapter utility van Intel zelf.
De updated is ook terug getrokken zelfde dag nog, er zijn weer eens grote probl3men net als voorgaande grote win 10 updates.
In juni 2019 gemeld, in september bevestigd en nu, een jaar later, pas gefixed. Ik snap dat het ontwikkelen van een patch tijd duurt, maar zo lang?

Hebben ze nog geluk dat het niet Google was die het lek gevonden had, die hadden met hun project Zero beleid de details van de lek na 90 dagen al aan de buitenwereld bekend gemaakt.
Ligt natuurlijk aan de complexiteit van het probleem en hoe eenvoudig het te testen is dat het probleem daadwerkelijk verholpen is.
Niet alleen de complexiteit, maar het moet op heel veel verschillende versies getest worden 2008, 2012, 2016, 2019 en de tig verschillende smaken die ieder heeft. 2008 mag ondertussen uit Extended support zijn, maar MS heeft langere support verkocht aan een aantal organisaties...
Je mag toch hopen dat dat een beetje geautomatiseerd is zou je zeggen.
Ze moesten er natuurlijk eerste de rechten voor hebben om het te kunnen fixen.
ʙᴇᴏᴏʀᴅᴇᴇʟ ᴍɪᴊɴ ᴊᴏɴɢᴇ ɢᴇꜱᴄʜᴏʀᴇɴ ᴋᴜᴛᴊᴇ ᴀʟꜱᴊᴇʙʟɪᴇꜰᴛ - https://al427.com/photo0120978
Heet meisje op zoek naar seks zonder verplichting - http://muschi17.com
Heet meisje op zoek naar seks zonder verplichting - http://frasexe.com

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee