Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 75 reacties
Bron: ZDNet

Beveiligingsexperts hebben een erstig gat gevonden in Microsoft Indexing Server, een onderdeel van de webserver software van het bedrijf. Dit pakket maakt standaard deel uit van Windows 2000 en XP, maar kan ook op andere versies van Windows draaien. Door een buffer overflow te veroorzaken kan een kwaadwillend figuur code uitvoeren op zijn doelwit. Indexing Server hoeft daarvoor niet eens aan te staan, het aanwezig zijn van een bepaalde .dll is al voldoende. Het operating systeem voert de illegaal ingebrachte code tot overmaat van ramp op het allerhoogste niveau met de meeste rechten uit, waardoor de aanvaller volledige controle over een systeem kan krijgen.

Volgens schattingen en gegevens van NetCraft zijn ongeveer drie miljoen websites kwestbaar. Er is voor zover bekend nog geen exploit voor de bug geschreven, maar dat kan volgens de ontdekkers, die de fout een ernstigheids-factor van 11 geven op een schaal van 1 tot 10, nooit veel langer dan twee dagen duren. Microsoft heeft daarom gisteren een patch uitgebracht en raadt iedereen aan deze zo snel mogelijk te installeren:

Microsoft Chris Rouland, director of the X-force research team at software and consulting company International Security Systems, agreed that systems administrators need to act quickly.

"Until the attacks become real, it's just a vulnerability," he said Monday. "But I'm sure hackers are writing exploits for this right now. I'd expect we'd see them in the next 48 hours.

"Systems administrators need to look at applying patches tonight or at the most over the next day or two."

Lees meer bij WebWereld, ZDNet en natuurlijk Microsoft.

Moderatie-faq Wijzig weergave

Reacties (75)

Het enige "goede" aan dit soort (bijna) dreigende taal, is dat mensen het erg serieus nemen en gaan patchen. Al zou een goede webserver manager dat altijd natuurlijk doen. :)
Het verleden leert echter dat vele Admins gewoon lekker niet patchen... :( Ik vraag me af of dit het begin is van weer een hele reeks ge-defacete websites etc.
De reden waarom er niet meteen gepatcht wordt komt door het doodsimpele feit, dat die patches ook wel is fouten hebben... Het zal niet de eerste keer zijn in ieder geval.
Neem laatst de patch die was uitgebracht voor Micorsoft Exchange 2000. Deze patch was maar liefst 11 MB groot! Admins gingen netjes patchen, startte de PC opnieuw op (omdat ze qchain nog niet hadden ontdekt) en gevolg was dat compleet Exchange niet meer wilde starten.

2 dagen later werd de patch weggehaald, en er werd een juiste neergezet. maar ondertussen waarom talloze admins en bedrijven al de Dupe.

Sja, dan kun je dreigende taal uitspreken, maar na dit soort acties, kan ik patches toch niet 100% meer serieus nemen hoor. :(
De patch is in iedergeval kleiner dan de Service Packs ;)

Hoewel deze patch al verwerkt is in SP3, zoals blijkt uit de naamgeving: Q300972_W2K_SP3_x86_en.EXE

<edit>Typo's</edit>
Zo gaat MS altijd te werk.

Q300972_W2K_SP3_x86_en.EXE geeft aan dat ie ook verwerkt zal worden in SP3. Het is dus niet zo dat MS deze fout al wist en hem al klaar had staan voor SP3, anders hadden ze zelf al eerder alarm geslagen.

Zelf heb ik alle Werkstations, Servers gepatched van SP2 tot deze patch. Nu maar wachten op SP3, maar eerst nog op een heleboel patches vrees ik }>
Tsja, een kameraad werkt bij ubizen ( http://www.ubizen.com ). Die leven van het feit dat er bugs in IIS zitten. Als die even demonstreerd wat voor bloopers er daar inzitten schijt de hele directie van een bedrijf in hun broek, en is het contract binnen de 5min getekend.

Waarom is dit trouwens nieuws? Dit hoort toch beter thuis in de meukentracker? Bij IIS lijkt dit de laatste tijd dagelijkse kost. No flame intended, maar dit is echt wel erg de laatste tijd. De laatste 2 maanden zijn al 5 serieuze bugs in IIS gevonden (zie http://www.securityfocus.com )
Yup, ze mogen dan wel commentaar hebben op IIS bij ubizen.com maar hun eigen website in onbereikbaar, tjah, zo wordt je natuurlijk nooit gehackt :)
Men moet gewoon de .ida en .idx ISAPI extensies weg knikkeren. Dan hoef je ook geen patch te installeren. Tenzij je natuurlijk gebruik maakt van de .ida en .idx extensies; maar kan me niet voorstellen dat veel bedrijven hier gebruik van maken.
Ook de .printer ISAPI extensie kun je ook weg doen want wie wil zijn printer nu met de rest van de wereld delen? Handig hoor om een document op een printer in Amerika uit te printen, heb ik altijd al willen doen. Wie bedenkt zulke features...
Lui die zulke features bedenken hebben een visie. Wereldwijde connectiveit. Men wil steeds meer functionaliteit in een webbrowser integreren, omdat dit een simpele bediening heeft, en niet platform afhankelijk is (of zou moeten zijn). Voor centralized computing, wat weer terugkomt, is dit idiaal. En waarom een printer op afstand (over Internet) beschikbaar maken? Misschien wil een centraal kantoor wel van alle belangrijke documenten een hard-copy hebben. Dan kun je natuurlijk het bestand via ftp, e-mail oid oversturen, en daar door iemand laten uitprinten, maar hiermee sla je weer een stap over, meer efficentie, en dat zien bedrijven graag.
Er is btw al een tijdje een werkgroep bezig met het ontwikkelen van het Printing over IP protocol, dus MS zal niet de enige zijn die dit funtioneel vind.
Handig hoor om een document op een printer in Amerika uit te printen, heb ik altijd al willen doen.

Jij faxt nooit? :)

Anyway, I get your point.. It's a good point.
Ooit wel eens gehoord van IntTRAnet? daar kan je dus ook je printers op een zeer eenvoudige manier beschikbaar stellen om het e.e.a. af te drukken.

Er zijn al behoorlijk wat bedrijven die hun network resources beschikbaar stellen via websites/ftp e.d. gewoon omdat alles via de internet explorer (die je toch bij je windows versie erbij krijgt) makkelijk en visueel prettig bereikbaar is.

Bijkomend voordeel: de medewerkers van je berdrijf kunnen ook van thuis of waar dan ook hun documenten afdrukken. Toch best wel handig niet?
Ik kan nog wel even door gaan met voorbeelden noemen (o ja, webmail a la Hotmail, maar dan via MS Exchange en IIS, overal je email van je bedrijf beschikbaar) maar ik denk wel dat jullie begrijpen wat ik bedoel
Tsja, het wordt zo langzamerhand niet leuk meer, al die patches, updates, security holes... Het is elke keer weer zo'n gedoe...

Nou weet ik uit ervaring best dat het onhaalbaar is om in een keer een 'onfeilbaar'produkt op de markt te brengen, maar een beetje zorgvuldiger zou toch wel mogen, nietwaar?
In principe heb je gelijk, maar er kunnen zóveel fouten zitten in 300.000 regels code zonder dat er een error optreedt, dat het niet te doen is om alles 100% na te lopen... Bovendien denk je vaak al niet eens aan wat er mogelijk zou kunnen gebeuren met een bepaald gedeelte van de code. De kans dat je dit soort dingen fouten als je je software naloopt vindt is m.i. vrijwel nihil.
een bufferoverflow is te voorkomen (in c++) door inplaats van strcpy een strncpy te gebruiken, want je weet toch hoe groot de array is waar je het in schrijft. (Als je dat niet weet ben je zowiezo fout bezig.)

Gewoon kwestie van netjes programmeren. Ook bij 300K regels code.
Ja hoor of dit de enige statements zijn die dit kunnen veroorzaken... Dit is gelul, als het zo simpel was dan waren die fouten echt niet voorgekomen.
Ik weet niet of je wel eens microsoft code van dichtbij hebt gezien maar daar komt echt geen strcopy aan te pas hoor.Bufferoverflows kunnen op tal van manieren ontstaan en dit soort fouten worden pas (te)laat ontdekt omdat er nog zo enorm veel andere fouten zijn die veel eerder aan het licht komen dat het zaakje al lang gereleased is voordat het wordt ontdekt.
Daarvoor hebben ze dan ook de term maintenance uitgevonden. Het feit dat de patch al klaar ligt zegt wel genoeg.
[/offtopic]
fyi: strcpy wordt gebruikt wanneer je niet weet hoe groot die string is (deze moet null-terminated zijn). Er wordt dynamisch geheugen voor vrijgemaakt ipv een array te gebruiken.
[/offtopic]
Is het ook niet een geldkwestie??? testen kost tijd, tijd == geld :o
dus het leven is duur?
Het zou inderdaad wel wat zorgvuldiger mogen, MS laat hier gewoonweg té veel steekjes vallen.

Ik moet echter wel zeggen dat de ernst van deze bug nog al overdreven wordt. Het is volgens mij zo dat er(correct me if I'm wrong), in het geval van een buffer overflow, op de stack geschreven gaat worden, als er dan programmacode op de stack gegooit wordt en als die code dan uitgevoerd wordt dán is er inderdaad een probleem. Maar de kans hierop is nogal klein...

Maar al met al... het zijn wel fouten waar makkelijk rekening mee gehouden kan worden
I will correct you. Het gaat hier dus juist om een manier om van data die iemand opstuurt uitvoerbare code te maken.

De data wordt normaal gesproken op de stack gezet en geanalyseerd door het programma. Het programma kan dan besluiten om iets te doen (webpagina terugsturen ofzo). Nu echter komt de data in een stuk van het geheugen waar alleen maar uitvoerbare data (programmacode) in hoort. Deze data _blijft_ staan in het stuk van het geheugen dat uitvoerbare code bevat. Vervolgens maak je wat data die zorgt dat het stuk geheugen wat jij net naar wens hebt aangepast wordt uitgevoerd. Dit zou bijvoorbeeld een procedure kunnen zijn (waarvan jij een deel hebt aangepast) die wordt aangeroepen tijdens een POST van 'n html pagina (ff voorbeeld...).
Ik ben het eens dat er veel zorgvuldiger met de code moet worden omgesprongen.

Neem echter 2 dingen ook in ogenschouw.
1 De internet markt is dusdanig overspannen dat elke afdeling tot het maximale gepushed wordt om zo snel mogelijk producten op te markt te meppen dat zorgvuldogheid lastig is. Ben je te laat dan begint iedereen weer te zeiken over de logge progammeer afdeling.

2 Heel internet is aan het loeren op een gaatje in de MS producten. Het is en blijft dus een beetje Goliath tegen veel davidjes. Logisch dat er relatief veel wordt gevonden. Als je het aantal bugs/holes in relatie gaat brengen tot het aantal hackers en dat voor MS en andere fabrikanten zal het er waarschijnlijk voor MS beter uitzien dan op het eerste oog lijkt.

maar ja een fout is en blijft vaudt
Dit hoeft dus niet meer te zijn dan het installeren van een nieuwe .dll. Zoals omdat verder hieronder schreef: even de buffersize vastleggen en je bent er. Als admins te belabberd zijn om nieuwe DLL's te installeren, dan is het eind zoek.
Microsoft Indexing Server
??
Microsoft Internet Information Services. Toch?
De Indexing Server is een onderdeel van IIS (Internation Information Services).

Het gat zit dus in de Indexing Server van IIS
Indexing service is een onderdeel van IIS. Zoals de naam al doet vermoeden is het een soort zoekmachine.
edit:

laat maar, iemand was me voor ;)
Microsoft Indexing Server, een onderdeel van de webserver software van het bedrijf
Beter lezen... :)
Waarom laten ze daar bij M$ niet een aantal hackers er op los voordat ze zo'n pakket op de markt gooien?
lijkt me zinvol en effectief.
Scheelt M$ een hoop negatieve reclame.
ik vindt dit letterlijk om te huilen....het zoveelste gat in de beveilging. :'(
Vergeet niet dat M$ om politieke redenen vaker doelwit is van hack-acties.
Kan iemand mij een directe link geven naar die patchfile? Als ik de hier gegeven link volg, kom ik op een scherm van ms uit. Als ik daar voor windows 2000 kies, hangt mijn browser (IE5.5) !!
Hoe krijg ik nu ooit die patch te pakken !?
Weer een bug die toch wel erg exploiterg is. Gelijk die patch maar hier gedraait. Just to be safe > :)

Maar dit soort 'bugs' mag je eigenlijk niet tegen komen in zulk soort software.
Mensen maken fouten, en bij een commercieel bedrijf als MS waar een product op tijd af moet is de kans op fouten door de tijdsdruk nu eenmaal groter dan b.v. bij een project als b.v. Apache, waar het af is als het af is.

desalniettemin erg slordig.
Daar heb je helemaal gelijk in, maar als het om beveiliging draait vind ik wel dat het gecontroleerd moet worden, omdat ze het simpelweg eigenlijk niet kunnen veroorloven om dit soort fouten te maken.
Niet relevant volgens mij....de bug blijft even ernstig. Als ik een auto koop verwacht ik ook dat 'ie het goed doet. Als 'ie mankementen vertoont en de garageman zegt dat dat komt omdat zijn werkdruk destijds zo groot was, wordt je ook boos op hem.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True