Microsoft waarschuwt voor tcp/ip-kwetsbaarheden en zeroday tijdens Patch Tuesday

Microsoft heeft tijdens de maandelijkse Patch Tuesday-patch een aparte waarschuwing uitgebracht voor kwetsbaarheden die zich op tcp/ip richten. Er zijn onder andere drie bugs gefixt waarmee remote code executions mogelijk waren.

De waarschuwing gaat specifiek over drie bugs: CVE-2021-24074, CVE-2021-24094 en CVE-2021-24086. Die laatste is een denial-of-service-kwetsbaarheid waarmee een blue screen of death kan worden veroorzaakt, de eerste twee maken remote code executions mogelijk. De kwetsbaarheden zitten volgens Microsoft in de tcp/ip-implementatie van alle Windows-systemen. Het bedrijf verwacht dat met name de DoS-aanval snel in de praktijk zal worden uitgevoerd met een werkende exploit. De twee RCE-aanvallen zijn volgens Microsoft moeilijker in de praktijk uit te buiten.

Microsoft repareerde de drie lekken tijdens de maandelijkse Patch Tuesday. Daarin repareerde het bedrijf in totaal 56 kwetsbaarheden, waarvan negen een Kritiek-rating kregen. Een daarvan, CVE-2021-1732, is een zeroday in Windows 10 en Windows Server 2016 en hoger. Het gaat om een privilege escalation-bug die actief werd uitgebuit, al ontbreken details over die aanval.

Er zit daarnaast een kwetsbaarheid met een score van 9.8 in de dns-server-implementatie op Windows Server van versies 2008 tot aan 2019. CVE-2021-24078 is voornamelijk een gevaar in enterpriseomgevingen.

Reacties (74)

Henk Poley 10 februari 2021 08:55

Er zijn inmiddels wel wat details over CVE-2021-1732, dat gevonden werd in malware gemaakt in mei 2020 door BITTER APT (mogelijk uit India): https://ti.dbappsecurity....r-apt-in-targeted-attack/

Finraziel

Microsoft

10 februari 2021 08:01

Maar dit is niet, of heel moeilijk, mogelijk achter een router (nat), toch? Dat soort informatie mis ik eigenlijk altijd bij dit soort nieuwsberichten, hoeveel gevaar loopt de gemiddelde thuisgebruiker?

GewoonWatSpulle @Finraziel • 10 februari 2021 08:22

Behalve dat bij IPV6 een NAT niet meer nodig is en soms de firewalls zelfs zo goed als uit staan en alle poorten open en bloot zijn.

Edit: standaard heeft Windows zijn Firewall wel aan natuurlijk

[Reactie gewijzigd door GewoonWatSpulle op 22 juli 2024 15:05]

Blokker_1999

Microsoft Windows
Microsoft
Beveiliging en antivirus

@GewoonWatSpulle • 10 februari 2021 10:26

Daarom ook dat routers die IPv6 doen automatisch alle inkomend verkeer blokkeren voor IPv6 en je dus zelf actief een poort moet openzetten. En als je als consument zomaar alle poorten gaat openzetten ... tsjah, dan ben je toch echt zelf verantwoordelijk voor de eventuele problemen.

Thc_Nbl @Blokker_1999 • 10 februari 2021 16:47

Wat ik persoonlijk dus heel slecht vind.

Ik herinner me de tijd van Quicknet nog in rotterdam..
Leuk maar niemand die aan de beveilig dacht, want, ah, ik ben toch niet interesant..

Nou, ik kan je zeggen, veel lol gehad.
Leuk zo'n printer die je "in de printer" naar 99 copien zet,
Of aan foto-editing gaat ben begonnen als nieuwe hobbie..

Dat duurde dus niet lang nee..

Hetzelfde gaat gewoon weer gebeurd, dus hij lekker IPV6 in huis achter NAT.
gewoon ipnummers gebruiker die niet routerbaar zijn via het internet.
b.v. https://www.ultratools.com/tools/rangeGenerator

Jerie

@Thc_Nbl • 10 februari 2021 22:05

Of je gebruikt een fatsoenlijke firewall. NAT is geen firewall.

Thc_Nbl @Jerie • 10 februari 2021 23:16

Ja, voor mij geen probleem, maar voor 90% van de bevolking wel.
Die snappen de bal van computers

Beter iets dan iets.

supersnathan94 @Thc_Nbl • 16 februari 2021 16:42

je router draait dan ook een firewall gelukkig. De firewall op windows zelf is alleen voor verkeer naar de computer toe (ongeacht waar dit vandaan komt), binnen het netwerk (of eigenlijk er voor) wil je ook gewoon een firewall hebben.

Normaal met provider apparatuur staat ie dan ook netjes aan. Alleen kun je er met UPNP heel snel gaten in schieten.

Tukkertje-RaH @GewoonWatSpulle • 10 februari 2021 09:33

Behalve dat bij IPV6 een NAT niet meer nodig is en soms de firewalls zelfs zo goed als uit staan en alle poorten open en bloot zijn.

Bij IPv6 is de address-range zo immens groot, dat het "vinden" van een willekeurig slachtoffer enorm lastig wordt. Waar je bij IPv4 heel eenvoudig een subnet in je scanner kun invullen en je wist dat je altijd wel raak schoot, is het aantal mogelijke adressen bij IPv6 zo enorm groot dat lukraak wat adressen proberen geen enkele zin meer heeft.

Metalfreak @Tukkertje-RaH • 10 februari 2021 09:56

Maar "onvindbaarheid" als basis voor je beveiliging is geen beveiliging.

Dykam @Metalfreak • 10 februari 2021 10:52

Mwa, dat valt mee. Hashes en keys zijn ook een vorm van "onvindbaarheid". Alleen is een IP address vaak helemaal niet willekeurig, en is het zoekbereik niet zo groot als bijv. een key of hash. Dus in die zin is het inderdaad alsnog niet goed om van de onvindbaarheid uit te gaan.

GewoonWatSpulle @Dykam • 10 februari 2021 11:13

Ieder device dat zich een keer op het internet begeeft laat daarbij z'n IP adres achter dus de onvindbaarheid is al snel een vindbaarheid. Bij een hash is nog steeds onbekend wat de bron is geweest en zelfs wat de hashing methode is geweest en/of wat de salt is geweest.

Edit: + dat het geen geheim is dat IP range X bij provider Y hoort en de provider dan regels hebben als iedereen krijgt een /48 range bijv.

[Reactie gewijzigd door GewoonWatSpulle op 22 juli 2024 15:05]

Dykam @GewoonWatSpulle • 10 februari 2021 11:20

Da's zeker waar, da's een punt waar ik even aan voorbij ging.

Exorcist @Tukkertje-RaH • 10 februari 2021 10:35

Je hoeft niet alleen maar iemand te treffen die scant op subnetten. Neem Shodan, daar kun je gewoon zoeken op (bekende) kwetsbaarheden. Kun je IPv6 gebruiken, kom je alsnog gewoon naar voren.

supersnathan94 @Exorcist • 16 februari 2021 16:50

idd. Je hoeft maar een keer geraakt te worden door iets wat een hele network scan op je loslaat en je staat vereeuwigd in Shodan io listing.

Finraziel

Microsoft

@GewoonWatSpulle • 10 februari 2021 08:38

Ah dat is wel een goed punt...

Mijn netwerk kennis komt van 10-20 jaar geleden. Ik denk bij dit soort berichten altijd aan het blaster virus, wat ook het enige virus is geweest waar ik zelf echt aan ten prooi gevallen ben (net als bijna iedereen destijds). Tot die tijd was het grotendeels genoeg om een beetje na te denken over wat je downloadde, maar opeens kwam een virus toen je pc binnen zonder enige actie van jouw kant (net als velen werd ik wakker en zat mijn pc in een bootloop). NAT heeft dat toen opgelost, maar als dat straks niet meer nodig is dan moeten mensen weer meer op dat soort onzin gaan letten wellicht.

Alex3 @Finraziel • 10 februari 2021 13:53

Het was dan ook geen virus maar een worm. Daar hoef je niets voor te doen om besmet te raken.
Zelf zat ik toen nog op Windows 98, dat daar niet kwetsbaar voor was.

bigbadbull @Finraziel • 10 februari 2021 09:36

ik vermoed dat NAT nog een hele tijd zal bestaan voor de thuisgebruiker.
IPV6 is namelijk veel moeilijker om in te stellen , den kan bvb aan portforwarding.
IPV4 is dan toch iets leesbaarder.

Langs de andere kan is ik de interface van huidige routers zie, is het soms huilen met de pet op.
en ontnemen ze ons zoveel instel mogelijkheden, misschien net op ipv6 te vergemakkelijken ?

beerse @bigbadbull • 10 februari 2021 10:36

Toegegeven, nat en IPv4 zal voor thuis nog wel eeuwen blijven bestaan. Gewoon omdat het kan.

Als klant van xs4all gebruik ik al jaren een fritz-box modem en heb al jaren volledige IPv6 toegang tot mijn thuis netwerk. Het instellen daarvan is niet moeilijker of makkelijker dan IPv4. Het is vooral anders.

De meeste thuis gebruikers hebben niets dat van buiten naar binnen toegankelijk moet zijn. Dus een goede firewall die niets door laat is bij beide nodig. Ook bij IPv4, al is het alleen maar voor de router zelf omdat die het enige is dat geadresseerd wordt. Bij IPv6 is het voor het hele (sub) netwerk dat er achter ligt.

Als er iets van buiten naar binnen moet worden geopend, dan is het bij IPv6 eenvoudig: Verkeer op basis van ip-adres en port nummer door laten en routeren. Bij IPv4 is er iets meer: ook de nat-route moet worden ingesteld. Van alle netwerk pakketten moet het ip-addres en poort nummer worden aangepast zodat het goed wordt doorgestuurd.

Heel veel programma's gebruiken upnp of vergelijkbare techniek om de route van internet naar de programma's/services te openen. Dat komt bij de router aan en die zal dat netjes instellen zoals aangevraagd (wat willen ze) en geconfigureerd (wat mag volgens de router) en hoe (IPv4-nat-route of IPv6 firewall opening)

rbr320 @beerse • 10 februari 2021 14:26

Heel veel programma's gebruiken upnp of vergelijkbare techniek om de route van internet naar de programma's/services te openen. Dat komt bij de router aan en die zal dat netjes instellen zoals aangevraagd (wat willen ze) en geconfigureerd (wat mag volgens de router) en hoe (IPv4-nat-route of IPv6 firewall opening)

UPnP is inderdaad erg makkelijk om services in een intern netwerk toegankelijk te maken van buitenaf. Hou er echter wel rekening mee dat dit ook door malware is aan te wenden om op die manier bereikbaar te worden voor CnC servers en zo bijvoorbeeld een extra payload naar binnen te halen. Ik schakel UPnP persoonlijk dan ook liever uit op mijn router.

beerse @rbr320 • 10 februari 2021 15:50

Om te beginnen moet je de router open zetten voor upnp. Het beste doe je dat niet, zet het niet open. (dus zet je ze dicht).

Als het nodig is kan je het aan zetten, dan zet je het aan zodat het alleen van 'binnen' kan worden aangestuurd. En het liefst allen bij installatie/configuratie en daarna de upnp weer uit maar wel zodat de gewenste instellingen blijven werken.

Op die manier kan malware van buiten er nooit bij en van binnen alleen een beperkte tijd.

rbr320 @beerse • 10 februari 2021 16:04

Als het nodig is kan je het aan zetten, dan zet je het aan zodat het alleen van 'binnen' kan worden aangestuurd. En het liefst allen bij installatie/configuratie en daarna de upnp weer uit maar wel zodat de gewenste instellingen blijven werken.

Ik wist eerlijk gezegd niet dat het mogelijk was om wijzigingen die in de router gedaan zijn door UPnP "vast" te zetten zodat ze actief blijven nadat je UPnP weer uit hebt geschakeld. Ik zal toch eens kijken hoe mijn router thuis daar mee om gaat, bedankt voor de tip.

beerse @rbr320 • 10 februari 2021 16:17

Nu ik er weer eens naar kijk: De fritz-box heeft upnp en zo standaard dicht zitten en opent het per apparaat.
https://nl.avm.de/service...tforwarding-configureren/

Mogelijk/hopelijk is de instelling op jou router ook vergelijkbaar gesloten en te openen.

rbr320 @bigbadbull • 10 februari 2021 09:59

Met IPv6 heb je juist helemaal geen port forwarding meer nodig, want elke host heeft een eigen IP adres dat vanaf de hele wereld te bereiken is. Het is dus juist veel eenvoudiger om bereikbaar te zijn, maar dat betekend wel dat je een firewall voor je thuisnetwerk moet plaatsen, dus op de router of op ieder apparaat.

bigbadbull @rbr320 • 10 februari 2021 13:13

dat kan, maar het hoeft lang niet zo te zijn.
mijn thuis pc's hebben geen IPV6 adres, en gaan die ook niet krijgen.
Veilig achter mijn FW op eigen netwerk, en dan is ipv4 nog steeds veel gemakkelijker.
IPV4 moet ik maar 1 cijfer onthouden ipv een hex.

rbr320 @bigbadbull • 10 februari 2021 14:22

dat kan, maar het hoeft lang niet zo te zijn.
mijn thuis pc's hebben geen IPV6 adres, en gaan die ook niet krijgen.

Dat is nu misschien zo, maar als jij het modem/router van je ISP gebruikt als DHCP server dan kan dat in de toekomst veranderen.

Veilig achter mijn FW op eigen netwerk, en dan is ipv4 nog steeds veel gemakkelijker.

Met IPv6 hoef je niet eens een port te forwarden, dat is nu juist mijn punt. Je hoeft alleen maar een poort open te zetten in je firewall om verkeer naar een specifieke host in je netwerk toe te staan op die poort. Dat is veel makkelijker dan port forwarding instellen.

IPV4 moet ik maar 1 cijfer onthouden ipv een hex.

Waarom zou je ooit netwerkadressen willen onthouden? Daar hebben we DNS voor toch? Voor je externe IP adres kan je een hostname registreren of een service zoals DynDNS gebruiken. Op mijn interne netwerk gebruik ik de "local DNS" functie van Pihole om te zorgen dat iedere machine een naam heeft.

Ik ben op zich wel met je eens dat NAT voor thuisgebruik nog wel een tijd gaat blijven bestaan, maar niet om de reden die jij aan geeft. Waarschijnlijk gaan heel veel ISP's toe naar een situatie waarin alleen je modem/router een IPv6 adres krijgt en het netwerk daar achter een interne IPv4 reeks gebruikt zoals nu ook het geval is. In dat geval gaat er voor de thuisgebruiker dus niets veranderen, behalve dat https://www.whatismyip.com/ een IPv6 adres gaat weergeven.

bigbadbull @rbr320 • 10 februari 2021 16:57

ik heb een router van de provider, van moeten, maar daar achter heb ik nog steeds mijn eigen router/FW, waar ik mijn eigen zin kan doen.

Blokker_1999

Microsoft Windows
Microsoft
Beveiliging en antivirus

@bigbadbull • 10 februari 2021 10:27

IPv6 is net eenvoudiger om in te stellen.

macaidwin @bigbadbull • 10 februari 2021 11:16

Als zelfs providers het nog niet eens aanbieden wel. Deze week nog gevraagd aan Solcon of IPv6 mogelijk is op mijn glasvezelverbinding, maar toch weer een negatief antwoord.
Misschien ook juist omdat er nog te weinig kennis is bij gebruikers, geen idee.

joco @GewoonWatSpulle • 10 februari 2021 10:58

en welke eind gebruikers gebruiken nu al voluit IPV6?
ik volgens mij nog totaal niet (via ziggo)

Alex3 @joco • 10 februari 2021 16:51

Als je bij Xs4all zit. En bij Ziggo kun je kiezen dacht ik: als je IPv6 kiest kom je bij IPv4 achter NAT te zitten.

macaidwin @joco • 10 februari 2021 11:17

Solcon ook niet.
IPv6 tunnel getest, maar geeft problemen met Netflix.

Marctraider @GewoonWatSpulle • 12 februari 2021 17:02

Alleen inbound staat niet wagenwijd open, de rest wel ;-)

OMX2000 @Finraziel • 10 februari 2021 08:17

Heel goed punt. Ik geloof zeker dat er op Tweakers security specialisten rondhangen die weten wat de impact is. Maar uit dit bericht kan ik niet halen of mijn systeem thuis achter NAT onveilig was/is. Dus wat is de impact. En moet ik iedereen in mijn familie/vriendengroep/kenniskring adviseren om meteen te updaten?

bregweb @OMX2000 • 10 februari 2021 09:34

Ik zou ALTIJD adviseren te updaten. Noem mij 1 reden waarom je niet zou updaten? Ik zou wel 1 á 2 dagen wachten om te kijken of er behoorlijke bugs in zitten, maar dan zo snel mogelijk updaten.

OMX2000 @bregweb • 10 februari 2021 09:52

Dat is niet wat ik zeg. Ik update ook gewoon altijd. Maar dat doet niet iedereen. En niet iedereen draait bijvoorbeeld de nieuwste Windows 10, dus als je weet dat dit iets is wat heel makkelijk misbruikt kan worden kun je dat ook weer doorgeven aan mensen die wat minder verstand hebben van computers en Windows.

bregweb @OMX2000 • 10 februari 2021 09:56

Jij stelt een vraag, ik geef daar antwoord op.

latka @bregweb • 10 februari 2021 10:36

Als je deze CVEs ziet weet ik niet of je 2 dagen wilt wachten: unauthenticated remote-exploit in de tcp stack (ipv4 en ipv6). Details verder niet bekeken, maar bericht hierboven dat het in malware gevonden is in mei 2020. Dit klinkt meer als een: trek je internet verbinding los of update binnen nu en 30 sec.

Verwijderd @OMX2000 • 10 februari 2021 09:37

Ja, je moet alles zo spoedig mogelijk updaten. Daar hoef je nooit over na te denken wanneer er een beveiligingsprobleem is opgelost.

Voor de volledigheid, NAT is geen bescherming... Het is geen firewall. Als een machine binnen je netwerk geïnfecteerd is met malware dan kan men nog deze kwetsbaarheden gebruiken om te verspreiden (meestal sneller dan je met je ogen kan knipperen).

NAT heeft enkel als bijeffect dat het poorten op het interne netwerk niet automatisch doorgeeft. Er is echter wel UPNP dat automatisch poorten doorstuurd van je router naar je computer. UPNP doet dit echter niet voor standaard windows poorten.

TL;DR Altijd zo snel mogelijk beveiligingspatches installeren en niet vertrouwen op NAT om je veilig te houden. Altijd een firewall inschakelen.

OMX2000 @Verwijderd • 10 februari 2021 09:56

Alles wat je zegt klopt. En ik had er bij moeten zeggen dat ik het als voorbeeld bedoelde. Dus kunnen deze bugs vanaf het internet makkelijk misbruikt worden, of moet daar nog wat anders voor gebeuren. Dus hoe groot is het risico wat je loopt als je niet gepatched bent.

NAT is zeker geen bescherming nee. Dus ja een firewall, met IDS/IPS en bijgewerkte OS-en kunnen helpen

Verwijderd @OMX2000 • 10 februari 2021 10:29

Het probleem met beveiligingspatches is dat de echte impact nog niet bepaald is. Microsoft heeft deze kwetsbaarheden opgelost en beveiligingsonderzoekers en hackers gaan nu kijken wat er precies aan de hand is. De exploits worden dus op dit moment gemaakt.

Wanneer de aanval complexiteit laag is (wat hier het geval is) dan worden er zogenaamde 'payloads' (zie het als plugins) gemaakt voor andere tools zoals metasploit. Wanneer deze worden vrijgegeven, dan zien we deze exploits actief terug in aanvallen van malware tot scriptkiddies. Het uitbuiten van een niet-gepatch systeem is dan waarschijnlijk kinderlijk eenvoudig (omdat Microsoft nu al aangeeft dat aanval complexiteit laag is). Vandaag ben je dus misschien wel veilig achter je router maar morgen kan het al verwerkt zitten in het laatste crypto virus. En vergis je niet, achter deze exploits zit serieus geld dus die komen er snel.

Aanvallen zijn tegenwoordig ook complex en hebben meerdere 'stages', men komt niet door je firewall heen maar waarom zou men dat doen als men je op een bestand kan laten klikken. Of wanneer je een malafide website bezoekt. Stel, ik bied een malifie banner aan op Tweakers, die infecteert je browser en installeert een trojan. Deze trojan download de juiste payloads en begint het gehele interne netwerk te infecteren.

Dit zagen we vroeger al met virussen zoals Blaster maar tegenwoordig zijn ze veel complexer.

Dus kort door de bocht: Loop ik hierdoor risico op een intern netwerk? Nee, niet direct maar zeker wel indirect. En dat risico wordt groter naarmate de tijd vordert.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:05]

OMX2000 @Verwijderd • 10 februari 2021 10:32

Thx voor de uitleg! Ik kan je helaas niet modereren. Maar anders had ik je een +3 gegeven

pepsiblik @OMX2000 • 10 februari 2021 14:55

Dan doe ik het ff voor je :-)

slaapkopje @Finraziel • 10 februari 2021 08:28

De impact hangt af van hoeveel van je netwerk openstaat, meestal zit er in de CVE description ook niet genoeg informatie om de precieze impact in te schatten, een hoge CVSS is wel een goede indicatiie om toch de patches te installeren. Er zijn scenario's waar je door UPnP, IPv6, portforwards toch niet volledig achter een nat zit, of scenarios waar de attack toch uit je eigen network kan komen.. En ook al gebruikt bijna niemand source-routing, dan nog zit die functionaliteit wel in de networkstack.

Ik schat het gevaar voor de gemiddelde thuisgebruiker op nihil en dit is dus geen reden voor paniek. Maar bedenk wel dat er heel veel voorbeelden zijn waar patches die niet geinstalleerd waren de reden voor hacks en botnets bleken.

beerse @Finraziel • 10 februari 2021 10:40

Bedenk dat je op veel situaties niet acher een (veilige) nat router zit. Vooral buiten de deur op (open) wifi netwerken of via 3g/4g/5g/6g.
Daar moet je niet denken dat de provider het wel tegen houdt, daar moet je denken dat de aanvaller op het zelfde netwerk zit.

Rudie_V @Finraziel • 10 februari 2021 11:32

NAT zorgt ervoor dat zo'n pakketje niet vanaf het internet op jouw privenetwerk komt. Maar een aanvaller kan bijvoorbeeld wel een ander apparaat op je netwerk infecteren en vanaf daar Windows aanvallen. Of misschien via een andere Windows bug al via de user space code laten uitvoeren en zo Windows op deze bugs aanvallen. Of je wifi hacken en zo Windows aanvallen. Of gewoon een apparaatje in je netwerk aansluiten en daar vanaf Windows aanvallen. Genoeg mogelijkheden voor kwaadwillende. Dus als het kan gewoon maar updaten.

CAPSLOCK2000

Beveiliging en antivirus
Microsoft Windows

@Finraziel • 11 februari 2021 14:06

Maar dit is niet, of heel moeilijk, mogelijk achter een router (nat), toch? Dat soort informatie mis ik eigenlijk altijd bij dit soort nieuwsberichten, hoeveel gevaar loopt de gemiddelde thuisgebruiker?

Eerlijk gezegd kun je daar beter niet te veel over nadenken. Er is nog wel eens de neiging om dit soort problemen in isolatie te bekijken en net te doen alsof de hele wereld perfect is met uitzondering van de bug waar je naar kijkt. Dan lijken de gevolgen van zo'n bug vaak mee te vallen, want "de fireawall houdt het wel tegen" of zo iets.
De werkelijkheid is dat al deze problemen tegelijk spelen niet alleen in dit ene product (Windows) maar in alle producten, en dan hebben we het nog niet eens over de bugs die nog niet gepubliceerd zijn maar wel al bekend bij aanvallers.

In praktijk werken moderne aanvallen door verschillende problemen te combineren.
Je gebruikt bijvoorbeeld eerst een kleine bug om ongemerkt een bestandje te downloaden.
Dan gebruik je een andere bug om dat bestand uit te voeren uit naam van de gebruiker.
Vervolgens zit in dat bestand weer een exploit die de rechten van de gebruiker vergroot.
Dan gebruik je een vierde bug om met die extra rechten om een andere applicatie op dat systeem aan te vallen
Ten slotte gebruik je dat weer om een andere computer in je netwerk aan te vallen die zelf niet direct via internet bereikbaar is.

Maar hoe dat nu precies gaat is niet te voorspellen. Daarom is 'snel patchen' eigenlijk het enige zinnige advies.

Fenzo 10 februari 2021 07:54

Hoe is het mogelijk dat in zo'n oud en al bijna 30 jaar bestaand onderdeel als een tcp/ip-implementatie in Windows nog zulke fouten zitten? Dat zijn toch stukken code die allang compleet uitontwikkeld zijn en kunnen worden hergebruikt? Volgens de waarschuwing zitten de bugs er al sinds Windows 7 in. Hopelijk kun je die ook nog updaten!

bush @Fenzo • 10 februari 2021 09:31

Dit gebeurt toch vaker? Een tijdje terug was er dacht ik een probleem met OpenSSL wat ook al jaren bestaat. Het is niet omdat het al lang bestaat dat het "bugvrij" is. Eigenlijk is dat gewoon niet mogelijk "bugvrij"

Henk Poley @bush • 10 februari 2021 09:41

Het is inderdaad super lastig voor enigszins complexe software: https://twitter.com/hillelogram/status/1359229167062167554

Just read an argument that C code can be secure because seL4 is secure.

Reminder: seL4 was first written and proved in Isabelle/HOL, then translated to Haskell and proven correct again, then translated to C and proven correct AGAIN. 9,000 lines of C in just 12 worker-years.

If you're okay mastering a cutting-edge formal verification tool and writing the equivalent of 2 lines of C per day, then sure, C can be provably secure. Otherwise, maybe you want a more modern language?

- Hillel Wayne

Ter vergelijking, Windows XP had 45 miljoen regels code.

MijnAccount @Fenzo • 10 februari 2021 08:03

Hoe is het mogelijk dat in zo'n oud en al bijna 30 jaar bestaand onderdeel als een tcp/ip-implementatie in Windows nog zulke fouten zitten?

Omdat het nu pas gerapport is door/aan Microsoft & nu opgepakt is....

Volgens de waarschuwing zitten de bugs er al sinds Windows 7 in. Hopelijk kun je die ook nog updaten!

Microsoft heeft een hele duidelijk overzicht wat in welk OS gefixed wordt en tot wanneer.

Beetje ondoordachte opmerking.

uuu @MijnAccount • 10 februari 2021 08:34

Ik vind het eigenlijk wel een terechte opmerking. Twee RCE bugs in de TCP/IP stack, die qua attack surface wel kritiek is, en dan nog door Microsoft in Windows, en dat gedurende 10+ jaar? Je zou toch mogen verwachten dat die code geaudit wordt of dergelijke.

wilfredk @uuu • 10 februari 2021 08:46

Het blijft een raare opmerking aangezien het os in kwestie al 2 jaar geen support meer krijgt van de developers.

als je de raporten van alle 4 de bugs doorgelezen had had je ook gezien dat er voor de 2 netwerk gerelateerde bugs een workaround is die op alle systemen vannaf waarschijnlijk vista gaat werken (mogelijk zelfs windows xp) aangezien ze een aanpassing doen via netsh wat ook niet echt veel meer veranderd en iin windows 8.1 al een depricated warning had (die nu blijkbaar weg is in win10)

En zonder interne kennis ben ik 99% zeker dat er geaudit wordt op de gehele windows source, dit geeft echter geen garanties dat er geen fouten in kunnen zitten en dat een attack vector die nog niet bekend is opgemerkt wordt.

Rataplan_ @uuu • 10 februari 2021 08:50

Want een audit dekt álle mogelijke lekken / kwetsbaarheden? Onmogelijk. Er komen steeds andere inzichten, betere tooling, en in ben ervan overtuigd dat je in code die 30+ jaar in 'ontwikkeling' is (misschien is onderhoud beter woord) kwetsbaarheden zult vinden. Wat doet een code van 30 jaar terug, toen 10mbps wow was, als je er met 400Gbps tegenaan gaat schoppen?

uuu @Rataplan_ • 10 februari 2021 09:10

Klopt, een audit is zeker niet waterdicht, en in conventionele talen is het praktisch onmogelijk om te bewijzen dat er geen lekken zijn. Langst de andere kant vind ik het wel kwalijk dat we het blijkbaar normaal vinden dat er nog steeds zulke beveiligingsfouten van dit kaliber in dit soort software gevonden worden. Op dit niveau zou het misschien wel goed zijn om af te stappen van traditionele talen, en eerder te kiezen voor iets dat formeel bewijsbaar is. Waarschijnlijk zeer moeilijk en kostelijk, maar voor een bedrijf als Microsoft mag dat geen probleem zijn.

Verwijderd @uuu • 10 februari 2021 09:32

Je zou toch mogen verwachten dat die code geaudit wordt of dergelijke.

Dat had ik ook verwacht bij een open source besturing systeem. sudo, sudo, sudo toch...

latka @uuu • 10 februari 2021 10:39

En wat doet een audit? Alle code-paden checken? Realiseer je dat ieder if() statement de hoeveelheid codepaden verdubbelt. Als je dan een OS neemt dan zitten daar miljoenen if-statements in. Ik heb de som niet gedaan maar ik schat dat er meer code-paden in Windows zijn dan atomen in het heelal. Auditten is leuk op papier, maar kan alleen het laaghangende fruit vinden.

Fenzo @MijnAccount • 10 februari 2021 08:42

Nee, dat is niet ondoordacht. Als het een zo'n ernstige kwetsbaarheid betreft worden uitzonderingen gemaakt. Zoals bij de BlueKeep vulnarability in het Remote Desktop Protocol er zelfs patches uitkwamen voor Windows XP. En Windows 7 wordt nog steeds veel gebruikt.

pepsiblik @Fenzo • 10 februari 2021 09:41

Het punt is dat je dit gewoon op kunt zoeken bij Microsoft zelf. Staat allemaal in de patch notes. Gewoon even lezen. De linkjes naar de patch notes staan in het artikel. En ja, Windows 7 staat erbij.

AtlAntA @Fenzo • 10 februari 2021 08:16

Internet criminaliteit wordt steeds groter en professioneler dus er wordt steeds actiever gezocht naar zulke kwetsbaarheden om uit te buiten. Dat betekent dat er ook actiever wordt gewerkt om die kwetsbaarheden op te lossen.

kiddingguy @AtlAntA • 10 februari 2021 08:35

En met Windows 7 (en wellicht ook nog XP) EOL, maar nog wel steeds in veel landen & continenten (Azie, Z-Amerika, Afrika) gebruikt een erg gewild doelwit om inderdaad uit te buiten.
Vaak illegaal geinstalleerd en daarna nooit meer geupdate, omdat de betreffende versie dan geblokkeerd wordt....

MZONDERL @Fenzo • 10 februari 2021 08:00

Alleen als je een ESU contract hebt, ondertussen voor "Year 2".
https://docs.microsoft.co...nded-security-updates-faq

RobWu @Fenzo • 10 februari 2021 09:40

Enige tijd geleden was er een soort gelijke fix voor Unix, die 'bug' zat er al een jaar of dertig in.
Software blijft software, 100% bug vrij krijg je het nooit. Zeker niet iets complex als een OS waar continu allerlei zaken veranderen en mee moeten draaien met nieuwe toevoegingen.
Is geen goed praten, maar alle OS'en hebben soortgelijke issues op z'n tijd.

PolarBear @Fenzo • 10 februari 2021 09:36

Dat zijn toch stukken code die allang compleet uitontwikkeld zijn en kunnen worden hergebruikt?

Mensenwerkt blijft gevoelig voor fouten (zowel het coden als reviewen), wat vroeger veilig lijkt kan nu door nieuwe technieken opeens onveilig blijken etc. Daarbij is een tcp/ip stack in ontwikkeling (het is niet zo dat er in 30 jaar tijd niets in veranderd).

latka @PolarBear • 10 februari 2021 10:40

Mwoah, deze bug zit er iig sinds windows 7 in (gezien de patches). Met het track record van MS (if it aint' broken, don't fix it en backwards compatibility first) zou het zo maar kunnen dat dit er al 20 jaar inzit (30 lukt niet omdat NT uit 1993 komt).

beerse @Fenzo • 10 februari 2021 10:48

Hoe is het mogelijk dat in zo'n oud en al bijna 30 jaar bestaand onderdeel als een tcp/ip-implementatie in Windows nog zulke fouten zitten?

Bedenk dat de tcp/ip standaard is ontstaan in een tijd dat we blij waren dat we er bij kunnen. Het is ooit ontworpen om toegang te verschaffen. Sterker, het is gemaakt om te blijven werken ook als belangrijke onderdelen weg vallen.

Overigens, de tcp/ip implementatie van msWindowsNT is pas 20 jaar oud. In het begin van netwerk-verbindingen zat microsoft (ook) nog op andere netwerk technieken en zeker in de tijd van windows 2000 waren die nog een serieus onderdeel. Nu nog zie je de overblijfselen daarvan bij de netwerk instellingen: 'netbios' en 'lmhost' zijn wat termen uit die tijd.

rjberg 10 februari 2021 07:36

Doet me denken aan de ping-of-death.

beerse @rjberg • 10 februari 2021 10:48

Doe maar richting 127.0.0.1

Hackus 10 februari 2021 10:25

@TijsZonderH Titel en stuk van je bericht, kan gelezen worden alsof men moet oppassen bij het updaten tijdens Patch Tuesday. Neem aan dat dit niet de bedoeling is, en gebruikers van W10 zich geen zorgen hoeven maken (om de updates binnen te halen)

Alex3 @Hackus • 10 februari 2021 16:54

Gelukkig komt de update hier meestal pas een dag later

Tomba @batjes • 10 februari 2021 08:18

Met Windows 8 heeft Microsoft de netwerk stack van BSD vervangen met een eigen implementatie. Lekkere stack dus met zulke exploits.

Aangezien deze exploit ook in Windows 7 zit lijkt me je opmerking kant noch wal te raken.

PolarBear @batjes • 10 februari 2021 09:33

Tja nog niet zo lang geleden is een bug in sudo ontdekt. Open source en voor iedereen in te zien.

latka @batjes • 10 februari 2021 10:42

Heb je hier een bron van? Ik geloof er namelijk geen snars van dat men een core-component met zeer grote impact op het reilen en zeilen van het OS zo maar even omzet naar een andere stack. Past ook helemaal niet bij de filosofie en strategie van MS.

Op dit item kan niet meer gereageerd worden.

Microsoft waarschuwt voor tcp/ip-kwetsbaarheden en zeroday tijdens Patch Tuesday

Lees meer

Reacties (74)

Sorteer op:

Weergave: