Hacker publiceert Windows-zeroday na slecht werkende patch van Microsoft

Een beveiligingsonderzoeker heeft een proof-of-concept online gezet voor een bug in Windows waarmee een local privilege escalation kan worden uitgevoerd. De bug is afgeleid van een lek dat eerder tijdens Patch Tuesday werd gerepareerd.

Het lek werd ontdekt door beveiligingsonderzoeker Abdelhamid Naceri. Hij heeft een werkend proof-of-concept op GitHub gezet. Hij noemt de bug InstallerFileTakeOver. Opvallend is dat het gaat om een versie van een bug die eerder door Microsoft werd gerepareerd.

Microsoft repareerde een soortgelijke bug tijdens de meest recente Patch Tuesday. Daarin zat een patch voor CVE-2021-41379, een privilege escalation waarmee het mogelijk was om bestanden op een systeem te verwijderen met adminrechten. Lezen of schrijven van bestanden was er niet mee mogelijk. De bug kan worden verstopt in een msi-installatiebestand. Systeembeheerders kunnen de rechten van gebruikers weliswaar zo instellen dat standaardgebruikers die niet kunnen openen, maar volgens Naceri ontwijkt de nieuwe zeroday die policies.

Naceri schrijft op GitHub dat de bug tijdens Patch Tuesday niet op de juiste manier gerepareerd was. "Ik heb ervoor gekozen deze variant nu uit te brengen omdat die krachtiger is dan de originele bug", schrijft hij. De PoC die hij heeft gepubliceerd werkt op Windows 10 en Windows 11, en op Windows Server.

De onderzoeker zegt tegen BleepingComputer dat hij de malware heeft gepubliceerd uit onvrede met Microsofts bugbountyprogramma. Hij zegt dat het bedrijf sinds anderhalf jaar de prijs van bugbounty's flink heeft verlaagd. Als het bedrijf dat niet zou hebben gedaan, had hij de bug niet gepubliceerd, zegt hij.

Reacties (167)

Nas T 23 november 2021 07:53

Naceri schrijft op GitHub dat de bug tijdens Patch Tuesday niet op de juiste manier gerepareerd was. "Ik heb ervoor gekozen deze variant nu uit te brengen omdat die krachtiger is dan de originele bug", schrijft hij. De PoC die hij heeft gepubliceerd werkt op Windows 10 en Windows 11, en op Windows Server.

De onderzoeker zegt tegen BleepingComputer dat hij de malware heeft gepubliceerd uit onvrede met Microsofts bugbountyprogramma. Hij zegt dat het bedrijf sinds anderhalf jaar de prijs van bugbounty's flink heeft verlaagd. Als het bedrijf dat niet zou hebben gedaan, had hij de bug niet gepubliceerd, zegt hij.

Met die redenatie kun je piraterij ook goedpraten. Ik vind je game te duur, ik download hem wel. Zeker begrijpelijk, maar niet netjes.
Daarnaast overtref je dat nog eens, door de bug zelfs krachtiger te maken. Dan ga je behoorlijk misbruik maken van de situatie, waar je ook onschuldige gebruikers mee treft. En dat alles omdat je het ergens niet mee eens bent.

Het is een lastige discussie, bugbounty-programma's. Als bedrijf wil je natuurlijk er zo min mogelijk aan uitgeven, maar je wil dit soort situaties voorkomen, of voorkomen dat zero-days/bugs verkocht worden aan groepen die er financieel gewin uit halen. Het is te makkelijk om te roepen dat Microsoft meer had moeten uitgeven aan hun programma, omdat dit nu gebeurt. De vraag is namelijk hoe voorspelbaar dit is.

Vizzie @Nas T • 23 november 2021 08:04

Ik hoop dat MS deze kerel sowieso uitsluit van toekomstige deelname aan wat voor programma dan ook.

Hij is het niet eens met een prijsverlaging en in plaats van dat hij wat anders gaat doen waar ze hem wel naar z’n zin betalen (lijkt me geen sector waar je moeilijk werk kan vinden) krijgen we dit soort ongein. Ten koste van alle Windows gebruikers.

Dit soort mensen zou ik zakelijk gezien liever kwijt dan rijk zijn.

Verwijderd @Vizzie • 23 november 2021 08:23

Dit soort mensen zou ik zakelijk gezien liever kwijt dan rijk zijn.

Omdat hij een duidelijk probleem aankaart met bewijs? Klinkt als een manager antwoord.

Je vergeet even dat deze persoon ook de exploit had kunnen verkopen voor tonnen op de zwarte markt. Hoeveel crypto malware had dat weer gekost. Of misschien wel mensenlevens (journalisten in de ‘mindere’ landen).

Deze man heeft gekozen om dit niet te doen en geeft Microsoft nu de kans om te reageren wat ze niet hadden als hij de exploit had verkocht op het dark web.

Verwijderd @Verwijderd • 23 november 2021 08:42

Omdat hij een duidelijk probleem aankaart met bewijs? Klinkt als een manager antwoord.

Nee, omdat hij niet tevreden is met de beloning en dus giftig reageert.

Je vergeet even dat deze persoon ook de exploit had kunnen verkopen voor tonnen op de zwarte markt.

Ik weet niet in wat voor kringen jij je standaard begeeft, maar de stap van "beveiligingsonderzoeker" naar zero-days verkopen op de zwarte markt is niet zomaar genomen door de meesten. Je hebt mensen die nadenken over gevolgen van sommige acties. Hoe boos of teleurgesteld ze ook zijn.

Deze man heeft gekozen om dit niet te doen en geeft Microsoft nu de kans om te reageren wat ze niet hadden als hij de exploit had verkocht op het dark web.

Echt een lieverd, die man. Een slachtoffer van zijn omgeving, hè? Hij kon gewoon niet anders dan openbaar gaan. Dàt voorkomt tenminste dat de bug wordt misbruikt.

Hoe dan ook... extreme reacties schijnen steeds vaker de norm te worden. Bevalt iets je niet... sloop, breek, verniel andermans spullen dan maar. Desnoods reis je ervoor naar een andere stad om je ongenoegen daar kenbaar te maken door hard op te treden. Top!

[Reactie gewijzigd door Verwijderd op 25 juli 2024 00:12]

kakanox @Verwijderd • 23 november 2021 12:05

Er is een groot verschil tussen de lokale bank overvallen, criminelen inlichten over hoe je het makkelijkst inbreekt bij de bank, en publiekelijk de aandacht vestigen op het feit dat de bank veel te slecht beveiligd is + wat daar dan aan schort.
In het laatste geval reageert een fatsoenlijke bank met "dankjewel, we gaan het direct oplossen". In de eerste twee gevallen heb je de politie aan de deur.

Ik zie het in dit geval niet anders. Zeker niet omdat de bank na de eerste (directe) melding inadequaat reageerde.

Verwijderd @kakanox • 23 november 2021 18:35

Dit is niet publiekelijk de aandacht vestigen... Dit is een mogelijke manier bekendmaken over hoe je de bank binnen kan komen. Publiekelijk de aandacht vestigen is bijvb.: "Hey!! De bank heeft zijn beveiliging niet goed voor elkaar. Dat weten ze nu ook, maar ze willen mij niet genoeg betalen voor het gat dat ik heb gevonden in hun beveiliging. Dus ik vertel het hun ook niet!"
Nou, prima toch? Anders wordt het als je die informatie op het internet gooit waarin staat hoe je de bank kan binnenkomen.

kakanox @Verwijderd • 23 november 2021 19:59

Het is letterlijk wat ik schrijf:

quote: mezelf
publiekelijk de aandacht vestigen op het feit dat de bank veel te slecht beveiligd is + wat daar dan aan schort.

Het GitHub-project staat zelfs op Public

[Reactie gewijzigd door kakanox op 25 juli 2024 00:12]

Verwijderd @Verwijderd • 23 november 2021 10:52

Hoe dan ook... extreme reacties schijnen steeds vaker de norm te worden. !
Volgens mij ben je niet bekend met de beveiligingswereld. Er is niets extreems aan deze reactie. Public disclosure is niet 'vreemd'. Daarnaast komen jij en Vizzie met de extreme reactie, niet Microsoft of de hacker.

Nee, omdat hij niet tevreden is met de beloning en dus giftig reageert.
Als je het bron artikel had gelezen, dan heeft hij een prima punt wat betreft de beloning. Microsoft heeft het programma zwaar ingeperkt waar men soms 10x minder beloning krijgt. Het zal voor veel onderzoekers niet meer de moeite zijn om hier mee bezig te gaan. En wat is dan je andere optie? Juist, public disclosure.. Daar is helemaal niets 'giftigs' aan.

En dan nog verder:
Final note, while I was working on CVE-2021-41379 patch bypass. I was successfuly able to product 2 msi packages, each of them trigger a unique behaviour in windows installer service. One of them is the bypass of CVE-2021-41379 and this one. I decided to actually not drop the second until Microsoft patch this one. So Be ready !
Responsible genoeg voor jou?

Ik heb je reply even voor je herschreven:
Hoe dan ook... public disclosures schijnen blijkbaar tegenwoordig nodig te zijn bij Microsoft. En reacties op Tweakers? Simpel, zegt iemand wat waar je niet meer eens bent? Verdiep je vooral niet in het onderwerp. Reageer gewoon minachtend met zinnen als 'Nee, ik weet beter maar onderbouw verder niets' of polariserend met

. Laat vooral geen twijfel over jouw mening ondanks dat je niet verder hebt gelezen. Laat ook geen optie voor dialoog, daar zijn de comments immers niet voor..

Als ik je een tip mag geven, kijk even in de spiegel voordat je een ander beoordeeld...

Seniin @Verwijderd • 23 november 2021 10:58

Precies. Als je een bug hebt gevonden heb je 3 opties, het rapporteer via een bug bounty program, het openbare of verkopen op de zwarte markt. Nu verlaagd een mega multinational zijn bounties aanzienlijk. Maar waag het niet om het te openbare, want dat is onethisch.

En mensen maar klagen dat alles gehacked wordt. Misschien moet een bedrijf zoals microsoft bug hunter een waardige beloning geven.

Verwijderd @Verwijderd • 23 november 2021 12:42

Als je het bron artikel had gelezen, dan heeft hij een prima punt wat betreft de beloning. Microsoft heeft het programma zwaar ingeperkt waar men soms 10x minder beloning krijgt. Het zal voor veel onderzoekers niet meer de moeite zijn om hier mee bezig te gaan. En wat is dan je andere optie? Juist, public disclosure.. Daar is helemaal niets 'giftigs' aan.

Sinds wanneer is de beloning voor het vinden van kwetsbaarheden een recht geworden? Het is het bedrijf dat bepaalt of ze het nodig vinden om überhaupt een bug-bounty programma te hebben en wat ze daar aan uit willen geven. Dat het tegenwoordig verstandig en zelfs noodzakelijk is om zo'n programma te hebben, dat klopt. Maar het is niet zo dat je als "beveiligingsonderzoeker" een contract afsluit t.b.v. toekomstige geleverde diensten.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 00:12]

Verwijderd @Verwijderd • 23 november 2021 13:49

Sinds wanneer is de beloning voor het vinden van kwetsbaarheden een recht geworden?
Geen idee waarom je mijn woorden zo verdraait. Waar in die zin geef ik aan dat iemand recht op iets heeft? Ik zeg enkel dat de onderzoeker een punt had met zijn commentaar op het Microsoft bugbounty programma. Sommige beloningen zijn nog maar 10% van wat ze voorheen waren. Als deze onderzoeker dan de informatie publiek beschikbaar maakt dan is dat toch prima? Hij claimt nergens recht op te hebben maar dit is gewoon het gevolg van het MS beleid.... Actie -> Reactie....

Hoe dacht je dat het ging voor we bugbounty programma's hadden?
Denk je dat de honderden security bugs die dagelijks gevonden worden onder een bugbounty programma valt?

Er is hier niets vreemds aan de hand....

Aat @Verwijderd • 23 november 2021 16:25

Ik denk dat elke (zelfs beginnende) beveiligingsonderzoeker websites kent die dit opkopen voor allerlei redenen. Een van de bekendste, die ik als Marketeer zelfs ken; Zerodium wat tot 2.5 mln uitkeert

Verwijderd @Aat • 23 november 2021 18:29

Your point being? Ik weet ook waar ik drugs of wapens kan scoren of verkopen. Betekent dat 1:1 dat ik dan ook gebruik zal maken van die kennis (als ik bijvoorbeeld teleurgesteld ben in mijn buurman)? Sommige mensen denken best 2x na voordat ze in zee gaan met types of groeperingen die het daglicht niet willen verdragen.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 00:12]

Aat @Verwijderd • 25 november 2021 19:09

Ik weet niet in wat voor kringen jij je standaard begeeft, maar de stap van "beveiligingsonderzoeker" naar zero-days verkopen op de zwarte markt is niet zomaar genomen door de meesten. Je hebt mensen die nadenken over gevolgen van sommige acties. Hoe boos of teleurgesteld ze ook zijn.

Ik denk dat elke (zelfs beginnende) beveiligingsonderzoeker websites kent die dit opkopen voor allerlei redenen. Een van de bekendste, die ik als Marketeer zelfs ken; Zerodium wat tot 2.5 mln uitkeert

Het lijkt mij duidelijk wat ik hiermee bedoelde, maar ik leg het je graag nog een keer uit... Dat de standaard kringen helemaal de zwarte markt niet op hoeven om zero days te verkopen en deze platforms gewoon kennen.

Martinirenner @Seniin • 23 november 2021 15:12

Doet me denken aan een lezing van de LockPickingLawyer op SAINTCON:
https://youtu.be/IH0GXWQDk0Q

“Security by Obscurity”

Wil je iets grondig veranderen/aanpakken in een (logge) industrie, dan is de whistleblower-rol aannemen soms wel de meest effectieve.

Ben het zowel eens als oneens met de beveiligingsonderzoeker, trouwens. Hij zet nu het eigen team van MS aan het denken, en misschien wordt het nu wel beter geregeld, maar balen dat de reden draait om geld.

Seniin @Martinirenner • 23 november 2021 16:18

Inderdaad zoals Edward Snowden en nu facebook met Frances Haugen. Maar ook met duurzaamheid en Co2 uitstoot hebben ze een zetje nodig.

Bekijk het eens van de kant van de klant. Een bedrijf neemt een product af waar fouten in zitten die schaden aan kunnen richten aan de organisatie. Dan verwacht je toch dat microsoft ze best doet om die fouten te fixen. En als ze die fouten zelf niet kunnen vinden, dan moeten ze de mensen die ze wel vinden goed belonen. Zeker omdat dat dit software is die essentiële bedrijven zoals banken, transport bedrijven en gemeenten gebruiken.

Jeroen73 @Seniin • 23 november 2021 10:25

Dus als een bedrijf niet doet wat jij wilt, is terrorisme het juiste antwoord? Mijn bakker vraagt teveel voor zijn brood: BAKSTEEN!? Te zot voor woorden. Als het zakendoen van een bedrijf je niet bevalt dan doe je geen zaken meer met dat bedrijf, niet meer dan dat.

Vizzie @Verwijderd • 23 november 2021 08:45

Ja want voor MS dit opgelost heeft kan het niet misbruikt worden?

Hij had nog iets fouters kunnen doen dus dat hij iets fout gedaan heeft is niet erg?

Als een partij waar je zaken mee doet de voorwaarden aanpast en je bent het er niet mee eens dan doe je gewoon geen zaken meer met ze. Dan ga je niet proberen die partij en hun klanten te benadelen.

Op de flauwe ad hominem zal ik überhaupt maar niet reageren.

Verwijderd @Vizzie • 23 november 2021 11:36

Ja want voor MS dit opgelost heeft kan het niet misbruikt worden?
Dat is Microsoft's verantwoordelijkheid. Niet de onderzoeker.
Daarnaast waarschuwt hij voor opvolgende exploits:
Final note, while I was working on CVE-2021-41379 patch bypass. I was successfuly able to product 2 msi packages, each of them trigger a unique behaviour in windows installer service. One of them is the bypass of CVE-2021-41379 and this one. I decided to actually not drop the second until Microsoft patch this one. So Be ready !

Hij had nog iets fouters kunnen doen dus dat hij iets fout gedaan heeft is niet erg?
Nee, er is niets fout aan de kant van de onderzoeker. 'Public disclosure' is volledig normaal en beveiligingsonderzoekers doen dit al sinds jaar en dag zo:
https://en.wikipedia.org/...osure_(computer_security)

Als een partij waar je zaken mee doet de voorwaarden aanpast en je bent het er niet mee eens dan doe je gewoon geen zaken meer met ze. Dan ga je niet proberen die partij en hun klanten te benadelen.
Er is hier geen zakelijke relatie dus dit is helemaal niet van toepassing. Je kan het verhaal echter wel zo spinnen: 'Microsoft heeft de verplichting om veilige software te leveren. Klanten betalen daar veel geld voor (support). Microsoft benadeelt zijn klanten door onverantwoord beveiligingsproblemen niet correct te belonen waardoor beveiligingsonderzoekers de boel simpelweg op internet zetten. Microsoft is nalatig.'
Let op dat ik dit niet zeg. Responsible disclosure is een lange discussie met voor en tegenargumenten maar niemand is verplicht om ook maar iets te overleggen met de betrokken partijen.

Op de flauwe ad hominem zal ik überhaupt maar niet reageren.
Hoeft ook niet, je bent nergens toe verplicht. Net zoals de beveiligingsonderzoeker

SuperDre @Verwijderd • 23 november 2021 10:49

En jij denkt dat Microsoft zelf niet in die markt van het dark web zit om zichzelf op de hoogte te houden van wat voor exploits beschikbaar zijn?

En JUIST met jouw redenatie zou je zeggen dat hij de exploit dan maar gratis aan MS aanbiedt, want nu draagt hij bij, zonder er voor betaalt te worden, dat er extra crypto malware/mensenlevens kost.

Hij had ook gewoon de exploit kunnen aanbieden aan Microsoft, en daarna kunnen klagen via social media dat hij vindt dat hij te weinig krijgt voor het melden van zulke exploits, zonder daarvoor de PoC publiekelijk te maken totdat er een patch is.

Verwijderd @SuperDre • 23 november 2021 11:18

En jij denkt dat Microsoft zelf niet in die markt van het dark web zit om zichzelf op de hoogte te houden van wat voor exploits beschikbaar zijn?
Nee, ik neem aan dat Microsoft daar wel naar kijkt. Ze claimen 1 'billion' dollar per jaar te investeren in Cyber Security. Vanwaar is dit een aanname die je maakt?

En JUIST met jouw redenatie zou je zeggen dat hij de exploit dan maar gratis aan MS aanbiedt, want nu draagt hij bij, zonder er voor betaalt te worden, dat er extra crypto malware/mensenlevens kost.
Ik weet niet waarom je denkt dat 'Public disclosure' iets aparts is? Beveiligingsonderzoekers doen dit al sinds jaar en dag zo:
https://en.wikipedia.org/...osure_(computer_security)

Hij had ook gewoon de exploit kunnen aanbieden aan Microsoft, en daarna kunnen klagen via social media dat hij vindt dat hij te weinig krijgt voor het melden van zulke exploits, zonder daarvoor de PoC publiekelijk te maken totdat er een patch is.
Als je het bron artikel had gelezen dat had je gezien dat mensen daar al over klagen. Waar jij over praat is 'Coordinated vulnerability disclosure'. Maar niemand is verplicht daaraan mee te werken.

Je kent ook de verdere omstandigheden niet. Hoe dan ook, deze man heeft prima zijn werk gedaan en het is nu aan Microsoft om het zo snel mogelijk te fixen. Niets meer, niets minder.

SuperDre @Verwijderd • 23 november 2021 11:29

tja, net zo min dat Microsoft uberhaupt dus verplicht is om een bugbounty te hebben. Maar je moet je bewust zijn dat een hoop systemen kwetsbaar zijn door jouw toedoen als je een exploit publiekelijk maakt zonder eerst de maker de kans te geven om het te fixen. En daarmee kan het zelfs zijn dat iemand jou kan aanklagen als die door jouw publicatie er 'hinder' van ondervindt.

Verwijderd @SuperDre • 23 november 2021 11:47

tja, net zo min dat Microsoft uberhaupt dus verplicht is om een bugbounty te hebben
Microsoft is inderdaad nergens toe verplicht. Maar voor een organisatie die zegt beveiliging serieus te nemen is dit natuurlijk moeilijk uit te leggen. Zeker na alle recente incidenten.

Maar je moet je bewust zijn dat een hoop systemen kwetsbaar zijn door jouw toedoen als je een exploit publiekelijk maakt zonder eerst de maker de kans te geven om het te fixen.
Of is Microsoft hier schuldig omdat ze simpelweg eerdere bugs niet goed fixen:
Opvallend is dat het gaat om een versie van een bug die eerder door Microsoft werd gerepareerd.
Geven ze hun betaalde klanten een verkeerd beeld door te zeggen dat het opgelost is maar niet echt? Ik herinner mij Print Nightmare nog, iedere maand werd door MS aangegeven dat het probleem gefixed was en iedere keer lieten beveiligings onderzoekers zien dat het niet gefixed was. Allemaal Full Disclosures en toen prees iedereen de beveiligingsonderzoekers...

Lees even de wikipedia link, daar worden goede argumenten voor en tegen gegeven voor de verschillende manieren van security bugs rapporteren. Maar uiteindelijk is het volledig aan de onderzoekers of ze meewerken met de leverancier. En daar is naar mijn mening niets mis mee.

DataGhost

@SuperDre • 23 november 2021 12:00

Hij had ook gewoon de exploit kunnen aanbieden aan Microsoft, en daarna kunnen klagen via social media dat hij vindt dat hij te weinig krijgt voor het melden van zulke exploits, zonder daarvoor de PoC publiekelijk te maken totdat er een patch is.

En dat moet hij voor elke exploit die hij maakt doen? Gewoon aanbieden, de karige beloning (voor werk en impact) accepteren en daarna klagen op social media? Eigenlijk wat hij al gedaan heeft en ondertussen geen zin meer in heeft? En vervolgens op Tweakers worden uitgemaakt voor zeikerd omdat hij vindt dat hij niet genoeg betaald krijgt, terwijl er aan zijn beloning niks verandert? Dat trouwens ook alleen maar omdat hij zijn hakken in het zand heeft gezet, anders had van degenen die hier gereageerd hebben niemand van hem of zijn klachten gehoord. En dan komt er dus ook geen enkele druk op Microsoft om te verbeteren. Ik snap hem best, ik zou daar ook geen trek meer in hebben.

amx @Vizzie • 23 november 2021 09:07

Het nalatig afhandelen door Microsoft van duidelijk omchreven bug reports is helaas een recent vaker voorkomend probleem. Zelfs met een portfolio van ruim 130 miljard aan cash reserves is het voor Microsoft niet interessant om essentiele services zoals printen of e-mail afdoende te beveiligen. Je kan je ook afvragen: moet je dat soort softwareleveranciers niet liever kwijt dan rijk zijn. Niet dat dat op dit moment een reeele optie is, maar het is de trieste constatering dat Microsoft op dit moment niet de wil heeft om kritieke beveiligingslekker afdoende te patchen en klanten met de problemen opscheept, door laat te patchen, ineffectief te patchen, en functionaliteit weg te nemen.

Diamondo25

@amx • 23 november 2021 10:31

Over printen gesproken: ik snap dat er een exploit was met printer drivers en het delen van printers, maar ik heb 2 keer een patch moeten terugdraaien omdat de printer setup (1 pc met usb printer, de andere via netwerk via diezelfde pc printen) niet meer werkte, want vage error.
Ik heb dan liever een exploit dan dat het niet werkt, aangezien de kans dat het in deze omgeving misbruikt werd nagenoeg nihil was, en nu ik twee keer een half uur bezig was om een update terug te zetten.

wow7 @Diamondo25 • 23 november 2021 10:48

Dat wat je beschrijft is nu juist het punt , het is een verwijtbaar feit als jij met een exploit moet leven omdat nu jij precies die ene setup gebruikt die niet werkt.

Beetje kort door de bocht denken mag maar je bent niet alleen en er zijn legio setups te bedenken waar dit namelijk wel een heel groot veiligheid risico en probleem is.

wica @wow7 • 23 november 2021 12:09

Als een patches meer problemen opleveren, dan dat de gebruiker de risico inschat.
Wat denk je dat een gebruiker op den duur gaat doen? Ik vermoed geen patches meer installeren.

SuperDre @amx • 23 november 2021 11:20

Wat een onzin zeg, hier gaat het om een extra probleem dat pas later naar boven kwam wat hij niet gemeldt heeft. En als het zo makkelijk was om geen (design)fouten te maken dan zou alle software wel 100% veilig zijn. Wat je niet weet kun je ook niet fixen of anders doen. Om maar even simpel te zeggen, vroeger was SQL-injectie niet bekend, nu is het in principe een beginnersfout. En soms kun je wel simpel denken vanuit beveiligingsperspectief, oh dat gaan we dichtmaken, maar vanuit gebruikersperspectief kan het daarna dus niet meer werkbaar zijn, maar hee het is veilig, ok, je kunt er niet meer mee werken, maar het is in iedergeval veilig. Ook moet Microsoft dus wel goed rekening houden met die ontelbaar aantal applicaties die mogelijk een bepaalde functie gebruiken, en door hun aanpassing ineens niet meer zouden werken waardoor een hele business stil komt te liggen omdat die applicatie ook niet even simpel aangepast kan worden om wel weer door te kunnen werken, als dat uberhaupt dan al kan natuurlijk.
En geld lost het probleem van missende expertise niet op, zeker als het om oudere onderdelen gaat die nog heel veel gebruikt worden.
En elke aanpassing die gedaan wordt moet ook weer goed getest worden, want het kan ook weer andere problemen opleveren inclusief nieuwe toekomstige lekken. Mensen kunnen rare situaties bedenken die jij als developer je niet kunt indenken.

amx @SuperDre • 23 november 2021 14:58

Dat is niet wat gebeurd is. Hij heeft een probleem beschreven met een POC (proof of concept). Dat proof of concept gaf een voorbeeld en in dat voorbeeld ontstond als zij-effect een directory deletion bug opleverde.

Wat beschreef het POC dus:

een elevation of privilege
een directory deletion bug

Degene die het pobleem bij Microsoft heeft gepatcht heeft alleen de directory deletion bug opgelost, en niet het beveiligingsissue met betrekking tot elevation of privileges.Dat is het hele punt en niet de eerste keer dat dit gebeurt. Het directe probleem beschreven in het POC wordt gepatcht, maar het probleem dat de beveiligigingsonderzoeker eigenlijk meldt, wordt niet aangepakt.

[Reactie gewijzigd door amx op 25 juli 2024 00:12]

SuperDre @amx • 24 november 2021 19:03

Misschien hebben ze er wel naar gekeken, maar zijn ze tot de conclusie gekomen dat de oplossing mogelijk een hoop software onwerkbaar maakt.

amx @SuperDre • 24 november 2021 19:20

Dan moeten ze stoppen met werken aan ronde hoeken in Verkenner vensters en er iets aan doen. Met de kasreserves van dat bedrijf moet een oplossing kunnen worden gevonden. En ik geloof niet dat Microsoft niet snapt hoe Windows werkt.

kodak

Beveiliging en antivirus

@amx • 23 november 2021 12:15

Hoe is dat eerder handelen door Microsoft relevant voor het wel of niet normaal vinden dat iemand moeite met Microsoft heeft dan miljoenen klanten van Microsoft opzettelijk in de problemen brengt?

delphium

@Vizzie • 23 november 2021 08:39

Ik hoop dat beveiligingsonderzoekers MS gaan uitsluiten van onderzoek naar zero-day's. Deze mensen steken gigantisch veel tijd en moeite in het vinden van bugs in hun software. Om dan ineens zonder goede reden (er worden nog steeds bugs gevonden) de bug-bounties te verlagen tot 20% van de oorspronkelijke hoogte, is gewoon backstabbing. Naceri had ook HEEL dik kunnen verdienen door de bug te verkopen aan NSO bijvoorbeeld.

Dit soort bedrijven (MS) zou ik zakelijk gezien, liever kwijt dan rijk zijn.

Vizzie @delphium • 23 november 2021 08:47

Dat kan toch gewoon? Niemand dwingt je zaken te doen met ms.

Niemand dwingt deze man bugs te zoeken in software van ms. Hij kan al die tijd en moeite gewoon steken in iets dat hem wel de beloning geeft die hij meent te verdienen. Iedereen blij.

delphium

@Vizzie • 23 november 2021 09:03

Niemand dwingt deze man bugs te zoeken in software van ms. Hij kan al die tijd en moeite gewoon steken in iets dat hem wel de beloning geeft die hij meent te verdienen.

Dat gaat ook zeker gebeuren als MS zo door gaat. De reden dat Naceri er nu voor kiest om de bug openbaar te maken is wellicht dat hij er al heel veel tijd in heeft zitten en MS ineens tussentijds de volkomen terechte beloning aanpast.

Vergelijk het met: "beloning €500,- voor wie mijn verloren tas vindt". Vervolgens ga jij drie weken op zoek, vindt de tas en brengt hem terug. Alleen krijg je maar €100,- omdat ik heb besloten dat dat wel voldoende is.

Vizzie @delphium • 23 november 2021 09:38

Eh er staat dat MS de beloningen anderhalf jaar geleden heeft aangepast.

Anderhalf jaar. Niet drie weken. Hij had anderhalf jaar geleden dus al kunnen stoppen als hij het niet eens was met de hoogte van de beloningen.

delphium

@Vizzie • 23 november 2021 09:59

Gast! die drie weken slaat ook op mijn voorbeeld met de tas. Het zou me niets verbazen als hij al anderhalf jaar bezig was met onderzoek voordat hij die bug gevonden had.

Vizzie @delphium • 23 november 2021 10:07

Gast?

Als MS anderhalf jaar geleden al aan heeft gegeven wat de beloning zou zijn dan is die onderzoeker toch hartstikke gek als hij nog anderhalf jaar doorgaat met onderzoeken terwijl hij al WEET dat hij er minder voor gaat krijgen?

In jouw voorbeeld: je bent een week aan t zoeken naar die tas en dan zeg ik dat ik nog maar 100 euro voor de tas over heb. Vervolgens blijf je nog twee weken zoeken wetende dat de beloning is aangepast. En als je de tas gevonden hebt zet je op Twitter waar de tas ligt zodat iedereen er mee vandoor kan.

Sorry hoor maar als je meent dat dat verstandig en ethisch gedrag is dan weet ik het ook niet meer.

delphium

@Vizzie • 23 november 2021 10:34

In jouw voorbeeld: je bent een week aan t zoeken naar die tas en dan zeg ik dat ik nog maar 100 euro voor de tas over heb. Vervolgens blijf je nog twee weken zoeken wetende dat de beloning is aangepast. En als je de tas gevonden hebt zet je op Twitter waar de tas ligt zodat iedereen er mee vandoor kan.

Nee, de anologie volgend; ik maak openbaar hoe ik die tas gevonden heb. Wat ik daarvoor allemaal heb gedaan. Ik heb alleen jou de locatie van de tas gegeven. Jij hebt die tas vervolgens alleen niet opgehaald en gewoon laten liggen waar ie ligt. Pas daarna heb ik mijn bevindingen openbaar gemaakt, mede omdat jij ook nog besloot de beloning te verlagen.

Let wel! Hij is ook niet de enige:

Naceri is not alone in his concerns about what researchers feel is the reduction in bug bounty awards.

Under Microsoft's new bug bounty program one of my zerodays has gone from being worth $10,000 to $1,000
— MalwareTech (@MalwareTechBlog) July 27, 2020

BE CAREFUL! Microsoft will reduce your bounty at any time! This is a Hyper-V RCE vulnerability be able to trigger from a Guest Machine, but it is just eligible for a $5000.00 bounty award under the Windows Insider Preview Bounty Program. Unfair! @msftsecresponse
@msftsecurity pic.twitter.com/sJw3cjsliF
— rthhh (@rthhh17) November 9, 2021

Sorry hoor, maar als je dat verstandig en ethisch gedrag vindt van Microsoft, dan weet ik het ook niet meer.

Vizzie @delphium • 23 november 2021 10:46

Dus als MS onethisch en onverstandig gedrag vertoont (even los van de discussie of dat zo is, ik snap dat de onderzoekers niet blij zijn dat MS ze minder geld wil geven) is dat een vrijbrief voor anderen om dat ook te doen? Meen je dat nou?

delphium

@Vizzie • 23 november 2021 11:08

Dus als MS onethisch en onverstandig gedrag vertoont (even los van de discussie of dat zo is, ik snap dat de onderzoekers niet blij zijn dat MS ze minder geld wil geven) is dat een vrijbrief voor anderen om dat ook te doen?
Meen je dat nou?

Nee, dat zijn jouw woorden die je in mijn mond legt.

Zijn punt (Nacari) en dus ook mijn punt blijft dat MS onverantwoordelijk omgaat met duidelijke bugreports. Zie ook de reactie van @amx hieronder. Het is gewoon keihard nalatigheid als je zo weinig verantwoordelijkheid neemt, met zo enorme userbase. Kijk ook naar de printergate en de ellende met Exchange. Gezien de afsluiter van Nacari op github, zou dit ook wel eens weer een langslepend probleem kunnen worden. Zie mijn reactie verderop.

tweakorinho @Vizzie • 23 november 2021 09:47

Ja, klein argument hier, maar tijd en moeite investeren in MS kunnen breken kost ook tijd. 1/5 van de bugs uitbetalen betekent ook dat je bij je inschatting 5x minder bugs had verwacht.

SuperDre @delphium • 23 november 2021 11:10

je bent wel heel erg naief als je denkt dat deze 'beveiligingsonderzoekers' het doen uit de grond van hun hart, het is gewoon pure business. En genoeg van dit soort 'onderzoekers' dient de exploit alsnog, of zelfs vooraf aan op dark web. Want ook die ene onderzoeker zal echt 9 van de 10 keer niet de enige zijn die het lek heeft gevonden.
En het is niet alsof ze een werknemer met een contract is of een partner met contractafspraken, dan zou het natuurlijk heel anders zijn.

delphium

@SuperDre • 23 november 2021 11:23

Veronderstellingen, veronderstellingen, veronderstellingen.
Het enige dat we zeker weten van deze onderzoeker is dat hij een bug netjes heeft gerapporteerd bij MS en dat MS er vervolgens een potje van heeft gemaakt.

De rest van je verhaal is prietpraat. Dan kun je mij naïef noemen, maar jij bedient je van drogredenaties om dat te onderbouwen.

SuperDre @delphium • 23 november 2021 11:30

Nee, hij een een andere bug netjes gerapporteerd, wat hij nu heeft gepubliceerd is wel gerelateerd daaraan maar is wel een andere bug, en DIE heeft hij niet netjes gerapporteerd aan MS.

delphium

@SuperDre • 23 november 2021 11:44

Nee, hij een een andere bug netjes gerapporteerd.

Nee, dat is niet waar:

This variant was discovered during the analysis of CVE-2021-41379 patch. the bug was not fixed correctly, however, instead of dropping the bypass. I have chosen to actually drop this variant as it is more powerful than the original one.

Alleen zijn exploit is anders, maar het gaat om dezelfde kwetsbaarheid, die uitermate knullig is gepatched door MS.

wernervp @Vizzie • 23 november 2021 08:31

Dat is een optie, maar dan gaat deze persoon misschien het illegale circuit in en doet daar meer schade. Hij had het wellicht op een betere manier kunnen oplossen, maar dat lijkt me geen directe reden om iemand te gaan uitsluiten.

vliegendekat @Vizzie • 23 november 2021 22:10

Ik hoop dat MS deze kerel sowieso uitsluit van toekomstige deelname aan wat voor programma dan ook.

Hij is het niet eens met een prijsverlaging en in plaats van dat hij wat anders gaat doen waar ze hem wel naar z’n zin betalen (lijkt me geen sector waar je moeilijk werk kan vinden) krijgen we dit soort ongein. Ten koste van alle Windows gebruikers.

Dit soort mensen zou ik zakelijk gezien liever kwijt dan rijk zijn.

Slecht plan.

Deze man wil gewoon eerlijk betaald worden voor zijn werk en heeft in eerste instantie een versie gepubliceerd die er ook voor had moeten zorgen dat de uitgebreidere versie online zou verschijnen.

Als je zo'n man uitsluit of liever kwijt bent dan rijk, dan verkoopt deze man het wel onderhands aan een partij die er meer voor wil betalen...

En die hebben vaak niet de beste bedoelingen.

Verwijderd @vliegendekat • 24 november 2021 08:26

Deze man wil gewoon eerlijk betaald worden voor zijn werk

Wie bepaalt hoe hoog een bedrag moet zijn om "eerlijk betaald" te mogen voelen? Hij is toch betaald? Hij is alleen niet eens met het verlaagde bedrag. Hij is vrij om bugs in andere applicaties te gaan vinden en daar geld voor te vangen. Uit deze lijst (van 7 oktober 2021) vind ik overigens dat de vergoedingen die Microsoft betaalt best royaal zijn, vergeleken bij de andere grootheden.

vliegendekat @Verwijderd • 25 november 2021 12:15

Wie bepaalt hoe hoog een bedrag moet zijn om "eerlijk betaald" te mogen voelen? Hij is toch betaald? Hij is alleen niet eens met het verlaagde bedrag. Hij is vrij om bugs in andere applicaties te gaan vinden en daar geld voor te vangen. Uit deze lijst (van 7 oktober 2021) vind ik overigens dat de vergoedingen die Microsoft betaalt best royaal zijn, vergeleken bij de andere grootheden.

U lijkt niet te begrijpen dat het mes hier aan twee kanten snijdt, maar dat deze betreffende man vrijwel alle kaarten in handen heeft en dat er voor Microsoft weinig te onderhandelen valt, maar dat net zoals bij ransomware, de schade gigantisch kan zijn.

De bedragen die deze bedrijven betalen zijn peanuts in vergelijking met de bedragen die er op de zwarte markt voor exploits betaald worden.

U moet het dus ook niet vreemd vinden, dat deze man de volgende keer een exploit doorverkoopt op de zwarte markt, want ook dat staat hem vrij als hij vind dat de vergoeding niet hoog genoeg is.

Verwijderd @vliegendekat • 26 november 2021 18:21

U lijkt niet te begrijpen...

Ik schijn zoiets simpels niet te begrijpen? Hmmm... flauwe aanname...

De bedragen die deze bedrijven betalen zijn peanuts in vergelijking met de bedragen die er op de zwarte markt voor exploits betaald worden.

Dat gaat niet snel veranderen. Het is net zoals het betalen van losgeld aan criminelen. Het is geen garantie dat je daarmee in de nabije toekomst een oplossing voor jouw echte probleem hebt.

U moet het dus ook niet vreemd vinden, dat deze man de volgende keer een exploit doorverkoopt op de zwarte markt, want ook dat staat hem vrij als hij vind dat de vergoeding niet hoog genoeg is.

Ik geloof er toevallig in dat de meeste mensen niet terugvallen op het criminele circuit omwille van grotere geld. Ik las laatst dat de kans dat iemand op dit moment in de gevangenis beland voor het oppikken van drugs in de haven van Rotterdam 16 op 110 is. De beloning voor het succesvol oppikken is zacht uitgedrukt riant. Dat betekent toch ook niet dat de meesten die maar een gewoon baantje hebben dan maar massaal voor een carriere als "oppikker" kiezen?

vliegendekat @Verwijderd • 27 november 2021 21:35

U vergist zich in het feit dat niet alle handel op de zwarte markt crimineel is.

Verwijderd @vliegendekat • 28 november 2021 14:17

Het verkopen van informatie over hoe je ergens kan inbreken - of het slot op de deur daar goed is of niet - blijft (zacht uitgedrukt) dubieus en crimineel. Of je de informatie nou op Marktplaats, Ebay of "huis aan huis" verkoopt... Het gaat om in 1ste om de actie... in 2de instantie de locatie. In ieder geval... de meeste eerlijke burgers gaan geen spullen kopen of verkopen op locaties die het daglicht niet helemaal kunnen verdragen.

vliegendekat @Verwijderd • 29 november 2021 15:35

Dubieus, ja.

Crimineel of verboden? In Nederland hangt dat af van de informatie, maar deze Microsoft Zero-Days? Die had hij in Nederland ook gewoon legaal kunnen en mogen verkopen.

Verder kan de man de verkoop ook in een ander land doen, zoals bijvoorbeeld de VS en/of Israel. Er zijn daar diverse bedrijven die tienduizenden tot miljoenen dollars bieden voor dit soort informatie.

Het staat hem volledig vrij om met een dergelijke partij in zee te gaan als hij vind dat het bug-bounty programma hem niet genoeg oplevert.

Dat is het vuur waar Microsoft en vele andere grote partijen met hen, momenteel mee aan het spelen zijn.

Polderviking

@Vizzie • 24 november 2021 11:25

Deze gasten houden je software veilig, ik vind zo'n prijsverlaging harder tegen het belang van eindgebruikers in werken dan wat hij nu doet.

arcadios2007 @Nas T • 23 november 2021 09:08

Nee. Hij heeft de bug gemeld, die is niet volledig gepatched terwijl hij ze er wel de gelegenheid voor heeft gegeven, en nu publiceert 'ie.

Nas T @arcadios2007 • 23 november 2021 09:55

Zie de uitleg van [~Verwijderd]. Verhaal is wel "iets" genuanceerder.

Wat de persoon is kwestie doet, is eigen rechter spelen. Afhankelijk van de omstandigheden, kun je daar empathie voor hebben. Zo begrijp ik downloaders wel, maar het is nog steeds fout. Ik zou bijvoorbeeld films in 4K willen kijken in de hoogste kwaliteit met Nederlandse ondertiteling. Wat heb je daarvoor nodig:
Een UHD bluray speler. Prijzen beginnen na jaren nog steeds bij de €150. Schijfjes kosten nieuw minimaal tussen de €15 en €20. Streaming kan rommelen met de bitrates en dus kwaliteit, dus valt helaas buiten beschouwing. Ook blijf je daar beperkt qua aanbod en verandert dat ook regelmatig.

Maar dan ben je er nog niet. Je hebt namelijk HDR, waar verschillende technieken voor zijn. Dolby Vision is geloof ik de meest uitgebreide. Maar de grap is: het garandeert niks. Technisch gezien is er ruimte om beeldmateriaal tot 10.000nits te laten gaan, maar in de praktijk is de max er al bij 1.000 tot 4.000 nits.
Niet dat dat veel uitmaakt, mijn OLED haalt de 1.000nits niet, laat staan full screen.

Dan heb je ook nog geneuzel als real/fake 4K: veel beeldmateriaal wordt opgeschaald naar 4K, of omdat het origineel in een lagere resolutie is opgenomen, of omdat CGI gerenderd is op een lagere resolutie en dat opnieuw laten renderen "te kostbaar" is.

En dan als kers op de taart, moet je ook opletten dat je schijfjes wel voorzien zijn van Nederlandse ondertitels, bij Engelse versies mist dit wel eens, waar de Franse versie daar wel voorzien van is.

Kortom: ik snap downloaders wel. De markt is zo verziekt, dat zelfs bij een reële eis het gewoon lastiger en duurder gemaakt wordt dan noodzakelijk. Het gros geeft niet zoveel om kwaliteit en is niet zo kritisch op aanbod, en streamt dus (en klaagt dus). Ik geloof niet meer dat het ooit goed gaat komen.

SuperDre @arcadios2007 • 23 november 2021 11:23

Nee zo is het niet. Hij heeft een bug gemeldt, die is opgelost, maar hij heeft daarna nog een variatie daarop gevonden, welke microsoft zelf niet gevonden heeft, en die heeft hij niet gemeldt. Wat hij nu dus heeft gepubliceerd is niet de bug die hij initieel gemeldt heeft, daar heeft hij indertijd ook netjes geld voor gekregen.

Verwijderd @Nas T • 23 november 2021 08:47

Precies!

Kastermaster 23 november 2021 07:35

"Hij zegt dat het bedrijf sinds anderhalf jaar de prijs van bugbounty's flink heeft verlaagd. Als het bedrijf dat niet zou hebben gedaan, had hij de bug niet gepubliceerd, zegt hij." Pure chantage dus. Maar kan iemand uitleggen hoe Microsoft die patches dan maakt? Doen ze dat min of meer automatisch? Want als er echt een onderzoeker naar had gekeken had die waarschijnlijk gemerkt dat de patch niet voldoende werkte.

ITsEZ @Kastermaster • 23 november 2021 07:46

Tja, wat doe jij als je werkgever volgende maand ineens nog maar de helft van het salaris overmaakt…

hiostu @ITsEZ • 23 november 2021 07:50

Er is geen contract tussen Microsoft en de beveiliger, dus die vergelijking gaat compleet mank.

watercoolertje @hiostu • 23 november 2021 08:53

Dat er geen contract is maakt niet dat er geen gevolgen zijn

En het ging juist om die gevolgen, hij minder inkomen door een beslissing van MS en hij dus direct bugs publishen ten nadele van MS door zijn beslissing aan de hand van MS zijn eerdere beslissing

Dus MS een bedrijf wat miljarden heeft mag zijn spierballen wel vertonen (minder betalen en je doet het er maar mee)? Maar iemand die er alleen voor staat mag dat niet (meer betalen of ik gooi het direct online)?

[Reactie gewijzigd door watercoolertje op 25 juli 2024 00:12]

hiostu @watercoolertje • 23 november 2021 09:21

Dan nog gaat de vergelijking mank. Als je zo onafhankelijk werkt, dan weet je ook dat je nooit afhankelijk moet zijn van 1 bedrijf en zal hij dus ook voor andere bedrijven dit soort bugs zoeken. Wat er had moeten gebeuren is dat hij gewoon meer focus had moeten leggen op de programma's van andere bedrijven, i.p.v. overgaan tot dreigementen. Het zijn programma's die niet verplicht zijn om te doen, dus als Microsoft hun voorwaarden wil aanpassen dan is dat hun goed recht. Net zoals het dan vervolgens het goed recht is van mensen die er aan deelnemen, om hun focus te verleggen naar andere programma's van andere bedrijven.

Dat is hetzelfde voor onafhankelijke schrijvers en fotografen voor nieuwsoutlets. Als die de beloningen aanpassen dan gaan de fotografen en schrijvers minder snel artikelen en foto's naar die outlet sturen. Maar ze gaan niet dreigen, hooguit hun ongenoegen uiten.

kakanox @hiostu • 23 november 2021 11:55

Het online publiceren van een bug is toch niet strafbaar? Dan is dit dus ook het goed recht van de beveiligingsonderzoeker. Microsoft probeert dat naar zichzelf toe te trekken door er een bug bounty programma voor op te zetten, maar als vraag en aanbod niet overeen komen is dit het resultaat. Het staat ze vrij om niets te betalen en alle overgebleven beveiligingsonderzoekers op GitHub zelf in de gaten te houden.

arjandijk162 @kakanox • 23 november 2021 13:12

Of af te wachten tot het voor veel meer geld aan criminelen wordt verkocht. Ook dit is gewoon vraag en aanbod.

kakanox @arjandijk162 • 23 november 2021 14:06

Volgens mij is verkoop aan criminelen (dus met de wetenchap dat de aankoop illegale handelingen als doel heeft) dan weer wél strafbaar, al kan ik het niet onderbouwen.

Power2All @kakanox • 23 november 2021 14:25

Hoe weet jij dat je aan een crimineel verkoopt ?
Kan net zo goed zijn dat iemand ook een mogelijke patch kan bouwen met de informatie.
Het is nog steeds absurd dat MS mensen die bugs voor hun opsporen, minder gaat vergoeden voor hun werkzaamheden, en dan ook nog eens een brakke patch maken... Tja...

kakanox @Power2All • 23 november 2021 14:59

Een externe die voor grof geld een zeroday koopt zonder die bekend te willen maken? ;-)

Da's hetzelfde als een mooie nieuwe merkwielrenfiets kopen voor 100 euro en als de politie bij je voor de deur staat "ik wist het écht niet!" zeggen.

Power2All @kakanox • 23 november 2021 15:22

Dat is een van de meest mankste vergelijkingen, die ik tot nu toe op tweakers voorbij heb zien komen.
Nee, je zit nu iets totaal onrelevants te vergelijken, het komt niet eens in de buurt.

kakanox @Power2All • 23 november 2021 17:24

Dat is vind ik een van de meest mankste vergelijkingen, die ik tot nu toe op tweakers voorbij heb zien komen.

Ik heb je zin even gecorrigeerd voor je... Want kan je dat ook onderbouwen?

[Reactie gewijzigd door kakanox op 25 juli 2024 00:12]

Power2All @kakanox • 23 november 2021 22:53

Je kan iets wat zo scheef als de kolere is, niet recht lullen.
Hoezo moet ik iets onderbouwen wat gewoon overduidelijk scheef is ?

arjandijk162 @kakanox • 23 november 2021 22:50

je kunt het aan een land verkopen dat daarmee criminelen kan (terug)hacken, geld waard, maar niet illegaal

kakanox @arjandijk162 • 25 november 2021 14:19

Dat is maar de vraag. Als de crimineel geen staatsburger is van het land dat hackt, kon het nog weleens flink illegaal zijn.

Verwijderd @Power2All • 23 november 2021 18:20

Na het kijken naar jouw avatar snap ik dat jij dit argument gebruikt.

Power2All @Verwijderd • 23 november 2021 22:53

Ah dus ga je het nu op de man spelen, omdat je er niks in te brengen hebt ?
Ga lekker zo door...

gedonie @watercoolertje • 23 november 2021 12:47

Het gevolg is dat deze hacker van white hat nu ineens een cracker of black hat is geworden. Puur voor eigenbelang geld proberen te verdienen over de rug van anderen. Betalen ze niet genoeg dan chanteer ik ze wel voor meer.

Sysosmaster

@gedonie • 23 november 2021 14:16

dat is niet waar.. hij heeft zijn PoC online gezet na melding hiervan bij MS..

Dat Microsoft de vergoedingen verlaagt is natuurlijk hun goed recht.... maar het is ook het goed recht van deze onderzoeker om dan een PoC online te zetten.

Omdat er juist geen contract is tussen MS en de Hacker, is er geen ander mechanisme voor prijs onderhandeling. Chantage is het dus ook niet.
gedurfd is het wel.

YangWenli @watercoolertje • 23 november 2021 12:28

Met die redenatie kun je het overvallen van een bank vergoelijken want die heeft toch geld zat.

_Pussycat_ @YangWenli • 24 november 2021 11:05

Een bank overvallen mag niet, exploits publiceren wel. Een ook bedrijven als Google doen dat regelmatig wanneer niet aan hun voorwaarden (fiksen binnen 30 dagen ofzo) voldaan wordt.

DonJunior @ITsEZ • 23 november 2021 08:52

Zelfs als je werkgever dat zou doen is het aan jou om hier boven te staan en niet een hele hoop andere mensen de dupe te laten worden. Want dat is in principe wat er nu gebeurd. Doordat meneer moedwillig deze code online heeft gegooid gaan er vervelende mensen mee aan de slag en wordt de gewone mens, die helemaal niets met jou en je werkgever te maken heeft, de dupe.
Nee dit is geenszins goed te praten.

Seniin @DonJunior • 23 november 2021 14:51

Waarom leg je de verantwoordelijkheid bij de onderzoeker? Microsoft is verantwoordelijk voor hun software en de bugs die daar in zitten. Microsoft moet bug hunters voldoende belonen zodat ze bugs rapporteren en ze moeten niet op hun morele gevoel hopen. Het is gewoon business, bugs zijn moeilijk te vinden en daarvoor verdienen ze naar behorens beloond te worden.

Je zou juist de schuld bij microsoft moeten leggen. Jij hebt een product afgenomen met fouten en ze doen minder dan het minimale om ze op te lossen.

kakanox @DonJunior • 23 november 2021 11:56

Als het goed is gaat vooral Microsoft er heel gauw mee aan de slag.

DonJunior @kakanox • 23 november 2021 12:18

Dat zijn een boel aannames.. maar dat kan voor een hoop mensen al veel en veel te laat zijn. Er kan veel gebeuren in een week.

kakanox @DonJunior • 23 november 2021 12:22

Dat is juist geen aanname. In het contract dat "ik heb met Microsoft" beloven zij kort samengevat dat zij de betrouwbaarheid van de software voor hun rekening nemen. Dit laten liggen behoort volgens hun tekst dus niet tot de mogelijkheden, zéker niet gezien de hele wereld het nu al weet.

Ik zou het als klant fijn vinden als Microsoft daarnaast een stevig bug bounty programma in de lucht houdt. De software is er duur zat voor, en als dit soort onderzoekers niets meer voor MS willen doen ben ik verder van huis.

[Reactie gewijzigd door kakanox op 25 juli 2024 00:12]

DonJunior @kakanox • 23 november 2021 13:33

De zin 'Als het goed is.." uit je eerste post impliceert een aanname. Vandaar.

kakanox @DonJunior • 23 november 2021 14:07

Dat klopt eigenlijk wel. Ik doe één aanname: dat Microsoft haar deel van het contract respecteert.

Vogel666 @DonJunior • 23 november 2021 16:27

En anderen doen de aanname dat MS er geen energie in zal stoppen en eventuele hackers geen stro-breed in de weg zal leggen....

Je hebt een software product en zoals bij iedre software product bevat code 1 bug per 100 regels. De vraag is hoe je daar mee om gaat als producent en als ontdekker van de bug...

[Reactie gewijzigd door Vogel666 op 25 juli 2024 00:12]

Verwijderd @kakanox • 23 november 2021 18:16

In het contract dat "ik heb met Microsoft" beloven zij kort samengevat dat zij de betrouwbaarheid van de software voor hun rekening nemen.

Ik betwijfel of er veel mensen zijn die hun overeenkomst met een softwarebedrijf doorlezen en ook tot zich laten doordringen. Maar ik geef jou de voordeel van de twijfel. Kan je mij deze belofte aanwijzen in het contract (?) dat jij met Microsoft hebt? Ik heb hier een End User Agreement voor jou.

Volgens mij is het net zoals in alle EULA's die te maken hebben met software dat je die gebruikt “As Is”.

kakanox @Verwijderd • 23 november 2021 19:57

Gelukkig is dat in mijn geval niet mijn verantwoording, maar dat van de security officer en de accountants

Ik kan het je dus niet in detail benoemen, maar kan je wel hier naar verwijzen:

https://www.keynotesuppor...am-extended-support.shtml

Belangrijkste quotes:

quote: Microsoft
Mainstream Support
Mainstream Support is usually in effect for the first 5 years or so of a product's life. During Mainstream Support, Microsoft provides new releases, updates, services packs, builds, fixes, and patches in order to enhance a product's security and reliability, close vulnerabilities, and fix problems.

Extended Support
Extended Support typically lasts about 5 years after the end of Mainstream Support. During Extended Support, Microsoft continues to provide security and reliability updates, and bug fixes, but non-security updates are not provided without a paid support agreement.

During Extended Support, Microsoft does not accept requests for new features or product design changes, or honor warranty claims.

Tijdens audits kom je bij veel accountants niet weg met een product dat binnen de daarna volgende termijn tot de volgende audit uit extended support gaat. De betere stellen ook eisen aan welke software gebruikt wordt binnen bedrijven. Er zijn uitbreidingen op ERP-pakketten die vanwege onvoldoende security waarborgen niet goedgekeurd kon worden bij diverse accountants (bedrijf in kwestie heeft de boel inmiddels op orde, dus ik ga de naam niet noemen).

Dit soort audits zie je dan bij bedrijven die veel vreemd vermogen hebben en daarnaast ook veel persoonsgegevens en/of erg afhankelijk zijn van hun IT-processen.

Hoewel het een beetje een papieren tijger is kan ik me niet voorstellen dat Microsoft met z'n OS die dans ontspringt.

jeweeted @ITsEZ • 23 november 2021 07:51

Ik begrijp prima dat hij het er niet mee eens is, maar hij is niet in dienst van Microsoft, dus die vergelijking gaat helaas niet op.

Vizzie @ITsEZ • 23 november 2021 07:59

Ergens anders gaan werken? Een rechtszaak aanspannen? Niet mijn werkgever uit protest beschadigen iig (mogelijk speelt hier mee dat ik mijn eigen werkgever ben

).

Los van het feit dat de man geen werknemer van MS is en ook prima beveiligingslekken in andere software met een beter bounty programma kan gaan zoeken als hij vindt dat MS niet genoeg betaalt.

[Reactie gewijzigd door Vizzie op 25 juli 2024 00:12]

SuperDre @ITsEZ • 23 november 2021 10:40

Zoals hier al is gezegd, hij is niet in dienst van Microsoft, en doet dit volledig vrijwillig. Naast dat het mij niets zou verbazen als enkele van deze 'onderzoekers' gewoon van 2 walletjes eten, eerst de PoC verkopen aan andere hackers en dan melden bij bedrijven om er een bugbounty voor te krijgen.

Seniin @SuperDre • 23 november 2021 14:58

Wat geef je het vermoeden dat hij het doorverkoopt aan andere hackers?

The Zep Man

Beveiliging en antivirus
Microsoft
Microsoft Windows

@Kastermaster • 23 november 2021 07:43

Dat is (cru gezegd) de schoonheid van 'instant full disclosure'. Zodra de geest uit de fles is, kan je hem niet meer terugstoppen.

In het verleden hebben onderzoekers wel eens 'announced full disclosure' gedaan, waarna organisaties met rechtszaken aan de slag gingen om publicatie te voorkomen. Een resultaat hiervan is dat er geen ruimte om te praten meer is (ofwel responsible disclosure). Vanuit het perspectief van deze onderzoeker loont het meer om bij een conflict de kwetsbaarheid volledig te publiceren dan om het risico aan te gaan dat de mond gesnoerd wordt.

Als ik (als 'slachtoffer' in de strijd van kwetsbaarheden) moet kiezen tussen instant full disclosure of non-disclosure, dan kies ik het eerste. Dan weet ik sneller waar ik aan toe ben, en kan ik eigen mitigerende maatregelen implementeren in plaats van te wachten op een partij die mogelijk niets doet tegen een probleem dat ik niet kan zien.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 00:12]

Blokker_1999

Microsoft Windows
Microsoft
Beveiliging en antivirus

@The Zep Man • 23 november 2021 08:11

Maar dat is niet waar het hier om gaat. De originele bug werd door de ontdekker netjes gemeld, MS heeft die gepatched en daarna komt hij af met een ernstigere vorm die MS niet zelf heeft ontdekt tijdens het patchen en deze wordt rechtstreeks publiek gemaakt ipv deze opnieuw te melden bij MS omdat de ontdekker van mening is dat MS te weinig betaald. Niet omdat hij vreest dat er anders een rechtzaak van komt.

The Zep Man

Beveiliging en antivirus
Microsoft
Microsoft Windows

@Blokker_1999 • 23 november 2021 08:25

en daarna komt hij af met een ernstigere vorm die MS niet zelf heeft ontdekt tijdens het patchen en deze wordt rechtstreeks publiek gemaakt ipv deze opnieuw te melden bij MS omdat de ontdekker van mening is dat MS te weinig betaald. Niet omdat hij vreest dat er anders een rechtzaak van komt.

Dus voor de nieuwe melding van de bestaande/nieuwe kwetsbaarheid (hoe je het ook wil noemen) is er geen dialoog aangegaan ('instant full disclosure'). Dat zal een reden hebben.

Niet omdat hij vreest dat er anders een rechtzaak van komt.

Hij vreest niet een rechtszaak, maar waardeverlies van de gevonden kwetsbaarheid bij het aangaan van een rechtszaak/verder dialoog waarbij hij de vrijheid verliest voor publicatie. Het is nu waardevoller voor hem om het direct te publiceren.

Het is niet netjes, maar instant full disclosure is beter dan de kwetsbaarheid verkopen in het ondergrondse circuit. Dit is de meest 'neutrale' (en legale) oplossing.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 00:12]

AtlAntA @The Zep Man • 23 november 2021 08:46

Is er serieus geld te verdienen om zulke kwetsbaarheden te verkopen op de 'zwarte markt'?

Williams123 @AtlAntA • 23 november 2021 09:01

check maar eens
https://zerodium.com/
zij kopen dit soort dingen op en betalen soms grof geld hiervoor.
Wanneer ze dat doen hebben ze al verschillende kopers hiervoor.
Bedragen voor exploits

[Reactie gewijzigd door Williams123 op 25 juli 2024 00:12]

BorgMan @Williams123 • 23 november 2021 09:25

Oef, dat zijn pittige bedragen. Microsoft gaat zelf tot $250.000 voor Hyper V kwetsbaarheden en de overige zaken liggen daar ver onder...

Williams123 @BorgMan • 23 november 2021 09:34

https://zerodium.com/images/zerodium_prices_mobiles.png

deze dan

voor mobiel tot 2.5 M

Ter verduidelijking Dit wordt niet doorgestuurd/ verkocht naar bv Microsoft maar naar andere overheden/ andere grof betalende.

[Reactie gewijzigd door Williams123 op 25 juli 2024 00:12]

BCC @AtlAntA • 23 november 2021 08:54

Ja, helaas wel - https://tweakers.net/zoeken/?keyword=losgeld

arcadios2007 @The Zep Man • 23 november 2021 09:05

Het was dezelfde bug, niet goed gepatched.

kodak

Beveiliging en antivirus

@The Zep Man • 23 november 2021 12:48

De discussie gaat juist om die redenen. Dat jij een mening hebt tussen bepaalde keuzes wil niet zeggen dat het de enige keuzes zijn en dus ook niet dat jou voorkeur dus maar redelijker is.

Als iemand het bijvoorbeeld meer om geld te doen is dan het oplossen van een probleem dan klinkt die directe full disclosure al niet redelijker dan in gesprek gaan. Disclosure zorgt niet dat het probleem van geld zich dus maar oplost. Daarbij maakt het weten van een lek ook niet zomaar dat je risico gelijk blijft of af neemt. Je toont in die afname daarbij niet aan door een mening te hebben, terwijl wel duidelijk is dat publiek maken niet het doel heeft dat miljoenen klanten extra risico lopen.

Nimja @Blokker_1999 • 23 november 2021 08:21

Te weinig betaald en de bug niet echt gepatched heeft.

Oftewel op meerdere manier laks omgaat met het harde werk wat gedaan was.

GertMenkel

Beveiliging en antivirus
Microsoft Windows
Microsoft

@Blokker_1999 • 23 november 2021 15:28

Ik zie het net wat anders, deze persoon doet Microsoft's werk voor ze met beperkingen, in ruil voor een vergoeding. Daarna blijkt de vergoeding tegen te vallen, dus doet hij het werk voor ze zonder beperkingen.

Ik vind het netter om met Microsoft samen te werken, maar ik zie er geen verplichtingen in. Als ik een fout ontdek waarmee ik op Tweakers zonder wachtwoord van mijn ene account mijn andere account kan overnemen, is het wel zo netjes om dat bij DPG te melden maar zolang ik er zelf geen misbruik van maak om bij dingen te komen waar ik niet bij mag is het allemaal prima toegestaan.

Voor de hug bounties een ding werden, waren dit soort releases enigszins de norm. Het dwingt fabrikanten om hun troep te patchen omdat je niet minstens drie maanden zit te wachten voor de eerste update uitkomt. Dat heeft hij gedaan, met een incomplete patch als gevolg die hij dagen later kan uitvoeren. Weer weken of maanden wachten op een patch maakt jouw computer niet veiliger, nu moet Microsoft beter zijn best doen.

Ik vind het in elk geval altijd nog ethischer dan verkopen aan Zerodium of de NSO-groep.

Floor @Kastermaster • 23 november 2021 07:48

Anderzijds, hoe kan je anders je stem laten horen?
Het is niet dat Microsoft een arm bedrijf is.., Microsoft heeft een enorme verantwoordelijkheid tov haar gebruikers wereldwijd. Zerodays zijn veel geld waard. Als ze de vinders daarvan willen afschepen met kralen en knikkers dan mag je daar je onvrede over laten weten. Het is niet dat hij de zeroday voor veel geld verkoopt maar t.g.v. hun eigen beleid moet Microsoft aan de bak.
Of de handelswijze netjes is, dat is een tweede.

michelr @Floor • 23 november 2021 08:18

Het is niet alsof het bug bountry programma met $100 bonnen van amazon strooit. Het is serieuze business, en sommigen kunnen er uitstekend van leven (hoewel een price drop van $10k naar $1k flink is). Dat je het dan niet eens bent met het beloningssysteem of wat je vondst toegewezen krijgt is prima, maar om het nu te gebruiken als pressiemiddel. Kan me niet aan de indruk onttrekken dat bij sommigen ook het ego (erkenning, aanzien in community) een rol speelt. Als Abdelhamid een vooraf voorspelbaar beloningssysteem wil, moet ie in loondienst of zijn diensten aanbieden tegen uurtarief.

[Reactie gewijzigd door michelr op 25 juli 2024 00:12]

Darlek @michelr • 23 november 2021 08:56

Bug hunting is meer een hobby dan een serieuze carrière. Het inkomen is veelste onvoorspelbaar en het vinden van critical bugs die ook nog een loonend rewardsystem hebben is erg lastig. Er zijn maar weinig die het hun full time baan maken.

GertMenkel

Beveiliging en antivirus
Microsoft Windows
Microsoft

@Darlek • 23 november 2021 15:33

Onderschat niet hoe relatief rijk je van dit werk kan worden in landen waar een modaal maandloon een paar honderd euro is. Een payout van tienduizend euro kan je in Nederland een paar maanden vooruit helpen, maar in andere landen leef je er twee jaar van als koning.

In Amerika wordt je er niet rijk van en in Nederland ook niet als je netjes je belastingen afdraagt, maar als je in Sudan of het noorden van India zit, wordt het ineens heel anders. Dan kan één payout je hele leven over de kop gooien en je kansen geven die jou en misschien zelfs je hele familie in één klap van geldzorgen ontziet voor de rest van je leven, als je de verleiding kan weerstaan om van het geld te gaan feesten.

arcadios2007 @michelr • 23 november 2021 09:06

Als hij het als pressiemiddel had gebruikt had 'ie wel gevraagd om meer 'of anders...'. Dat heeft 'ie niet gedaan, dus was het geen chantage/afpersing/pressiemiddel.

bbob @Kastermaster • 23 november 2021 09:37

Chantage is zo een mooi woord en wordt te pas en onpas gebruikt.

Je kan ook stellen als het hem echt om het geld te doen is hij deze zeroday ook voor veel geld aan schimmige bedrijven had kunnen verkopen. Dan had hij waarschijnlijk veel meer gekregen dan van MS.

Wat hij doet is echter het openbaar maken en daarmee gooit hij dus geld weg dat hij had kunnen verdienen door het als zeroday te verkopen. Dus chantage zou ik het niet noemen, eerder aandacht vragen voor een probleem van wat hij lage vergoedingen noemt.
Daarbij de reparatie is dus geen goede geweest en is het dus ook een vraag van kennis en aan kennis hangt ook voor MS een prijskaartje.

SuperDre @bbob • 23 november 2021 10:43

En wie zegt dat hij het ook niet al langer voor geld verkocht heeft?

bbob @SuperDre • 23 november 2021 10:49

Zie mijn andere reactie, als je een zeroday verkoopt voor geld zal 1 eis zijn niet openbaar maken. doe je dat toch verliest het zijn waarde voor de koper.

SuperDre @bbob • 23 november 2021 11:26

tja, zie ook mijn reactie daarop, daar heb je dus andere schuilnamen voor.

bbob @SuperDre • 23 november 2021 11:30

Leuk schuilnamen en je zeroday bedrijven zijn dom. Die wereld is vrij klein en redelijk eenvoudig om de persoon achter die schuilnaam te vinden.
Als je zelf zou goed bent en geld kan verdienen aan zeroday via dat circuit, waarom zou je dat weggooien door het toch openbaar te maken.

Drumar @Kastermaster • 23 november 2021 09:18

pure chantage? Als jouw baas opeens besluit dat voor jouw werkzaamheden een beloning van 10% tov daarvoor ook wel voldoende is, zeg je ook: bekijk het lekker zelf.

Deze man is beveiligingsonderzoeker en dit zal dus een impact hebben op zijn inkomen.

Br3wmaster @Drumar • 23 november 2021 09:25

Maar mijn baas en ik hebben een contract getekend waarin staat dat ik elke maand recht op heb een X bedrag. Dat is in deze situatie helemaal niet van toepassing. Er is geen contract tussen deze zogenaamde beveiligingsonderzoeker en Microsoft. Dus je vergelijking gaat hier helemaal niet op.

Daarnaast kan ik wel begrijpen dat hij er niet blj mee is maar dat lijkt me nog geen reden om alles maar online te gooien

psychicist @Br3wmaster • 23 november 2021 09:33

Het lijkt me juist prima om alles altijd online te gooien. Dan moeten softwareleveranciers hun software maar goed onderhouden en daar niet zo halfslachtig mee omgaan als een zogenaamde softwareleverancier als Microsoft dat doet.

Microsoft moet gewoon zijn werk goed doen en dat is het einde van het verhaal. Anders wordt je software vervangen door iets beters en kost het je nog veel meer qua verloren inkomsten door de lage kwaliteit van diezelfde software.

Drumar @Br3wmaster • 23 november 2021 11:21

Dat van dat contract klopt, dat was dan ook het manco van het voorbeeld.
Alleen wel: Microsoft heeft er ook baat bij dat mensen bugs voor ze vinden en aan hun melden. Dat is een verbetering van hun product, waardoor dat ook meer waard zou (moeten) worden.
Als MS in dit geval eenzijdig bepaalt dat de waarde van de bug(fix) nog maar op 10% van de originele waarde zit, dan is het aan de onderzoeker om dan te vinden dat het voor hem de moeite niet is om het netjes aan te melden.

Feitelijk is marktwerking ook een vorm van pure chantage: vraag en aanbod... okay, jij meer vragen, dan wij ook... als we allemaal weigeren om een product te kopen omdat het (te) duur is, dan chanteren we met zijn allen de fabrikant om de prijs te verlagen. Het is maar hoe je het bekijkt ;-)

gedonie @Drumar • 23 november 2021 13:04

De chantage zit hem in het feit dat het bedrag hem niet bevalt en hij dus maar publiceert. Als je het bedrag dat je krijgt voor bugs melden niet bevalt kun je ook kiezen om die software maar niet te onderzoeken. Dan heb je ook nooit gezeur over dat je vindt dat er niet genoeg geld betaald wordt voor je niet verzocht werkzaamheden.

Drumar @gedonie • 23 november 2021 13:30

Hij heeft de bug gevonden.
Dan heeft hij 3 mogelijkheden:
- Melden bij Microsoft (opbrengst $1000)
- Publiek melden (opbrengst 0, maar de bug heeft ook geen waarde meer op de zwarte markt)
- Verkopen (opbrengst $30k)

Als hij bij een prijs van 10k zou melden/verkopen aan MS, heeft hij nog niet de maximale buit, maar kennelijk genoeg. Nu krijgt hij nog maar $1000, en dat vindt hij dus niet genoeg... dan zijn er twee opties over, waarvan hij dus de meest ethische heeft gekozen.

Dit is geen chantage

triflip @Drumar • 23 november 2021 09:29

Deze man kiest er zelf voor om bugs in MS software te zoeken, als dat te weinig oplevert dan zoek je een ander bedrijf uit.

bbob @triflip • 23 november 2021 09:40

Klopt zie commentaar hieronder, hij had het ook als zeroday is een grijze of zwarte circuit kunnen verkopen. Maar of we daar nu vrolijk van worden is iets anders.
als je dus kijkt naar de prijs van een bug moet je die feitelijk haast gaan vergelijken met het andere circuit of bedrijf waar je het over hebt.
Dat hij dat niet gedaan heest zegt ook wat over zijn moraal dat niet te willen doen, tegelijk vraagt hij aandacht voor wat hij noemt een te lage vergoeding.

SuperDre @bbob • 23 november 2021 10:43

Wie zegt dat hij dat niet al langer gedaan heeft? Denk je nu werkelijk dat al die 'onderzoekers' netjes te werk gaan en niet een deel daarvan gewoon van 2 walletjes eet? Naast natuurlijk dat MS helemaal niet eens verplicht is om een bugbounty te geven.

bbob @SuperDre • 23 november 2021 10:48

Dat heeft hij niet gedaan want als je een zeroday verkoopt aan vage partij zal 1 van de eisen zijn dat je deze niet openbaar mag maken. Door openbaar maken verlies een zeroday eigenlijk zijn waarde voor de koper.

SuperDre @bbob • 23 november 2021 11:25

tja, als eenmaal geld is overgemaakt, en het zeker natuurlijk onder een andere naam is aangeboden, dan kan de koper weinig piepen, immers zijn er meer mensen die dezelfde bugs vinden. Wel zal je reputatie dalen, als dit vaak gebeurd, en je dus wel onder dezelfde naam verkoopt. Maar bij aanschaf van een zeroday is altijd een risico dat het de dag erna al gefixed zou kunnen zijn.

bbob @SuperDre • 23 november 2021 11:29

Zo kun je er nog een boel bedenken.
als je zeroday verkoopt krijg je daar geld voor, men zal willen weten wie je bent, geld moet ergens naartoe, of in bitcoint. Uiteindelijk kun je het trucje 1 maal uithalen, verkopen en dan toch openbaar maken.
Geen zeroday bedrijf zal met iemand zaken willen doen die het daarna openbaar maakt.

SuperDre @bbob • 23 november 2021 11:31

tja, het internet is vol van oplichters die zonder problemen op die manier werken.

Morzzz 23 november 2021 11:08

Grappig hoe deze exploit gebruik maakt van MicrosoftEdgeElevationService. Onderdeel van de browser die met zoveel geweld door de strotten van Windows gebruikers gedrukt wordt.

Sinds 20H2 heeft ie een eigen update service om hem nog een stukje meer invasive te maken en nu blijkt ie nog lek ook.

beerse @Morzzz • 23 november 2021 12:03

Dat msEdge een eigen instalatie service heeft is voor mij al een heel groot security risico. Nu weet ik dat Chrome en FireFox ook hun eigen agent/service/proces hebben draaien om de browsers bij te werken. Maar dat msEdge zo veel meer kan en mag zou voor mij een reden zijn om die juist NIET op mijn servers te willen hebben draaien.

En het blijkt, deze nieuwe mogelijkheid wordt meteen aangepakt om te zien of hier meer mee te halen is. Nu is dat iemand met nog een redelijk gekleurd hoedje op. dat had ook een zwart hoedje kunnen zijn.

tw_gotcha

@Morzzz • 23 november 2021 11:26

Door de strot gedrukt, wat een onderbuik reactie. Er is gewoon een app ingebouwd die je kunt gebruiken of niet. Genoeg alternatieven.

Morzzz @tw_gotcha • 23 november 2021 13:32

Het eerste wat je ziet op een verse install van Windows, een Microsoft Edge popup:

https://i.stack.imgur.com/1IH8J.png

[Reactie gewijzigd door Morzzz op 25 juli 2024 00:12]

Verwijderd 23 november 2021 08:26

Sorry hoor, maar als ik hem even vlug zoek op Internet dan is de eerste hit zijn Twitter. Sinds juli of eerder zit hij al te zeiken over de beloningen omdat de categorie beloning die hij krijgt hem niet bevalt.

Kijk, als het echt te weinig is doordat er consequent te laag ingeschaald wordt zou je een massale push zien van onderzoekers voor hogere beloningen/een andere classificatie. Maar die hoor je bijna MS vrij weinig. Deze man kan ik qua klachten helaas niet echt serieus nemen.

arcadios2007 @Verwijderd • 23 november 2021 08:58

Ik wel.
Hij heeft geklaagd, geen response gehad en heeft nu laten zien het beter te weten dan MS's bug repair team. Hij weet dus waar hij over praat en zou z'n geld blijkbaar waard zijn geweest, want nu zitten ze met een vulnerability waarvoor de expertise om hem te voorkomen henzelf ontbrak.

Ik koop weinig voor dat soort 'bewijzen uit het ongerijmde'.
Dat zie ik hier om de haverklap voorbij komen: 'Als dat zo was dan zou wel... <dit of dat> gebeurd zijn'. Dat kan in de middelbare school wiskunde misschien sluitend bewezen worden, in de echte wereld met z'n vele onbekende en onvoorziene variabelen en mechanismen echter niet.
En als je het hier niet mee eens bent, bewijs dan eerst het tegendeel, want wie stelt bewijst.

Verder heb ik niets te maken met wat de massa gedaan 'zou hebben'. Het gaat hier om 1 persoon met blijkbaar bijzondere vaardigheden, en goed mogelijk dat 'ie ver boven de massa uitsteekt, die misschien wel tevreden is met de bug bounty.

[Reactie gewijzigd door arcadios2007 op 25 juli 2024 00:12]

ShellGhost @arcadios2007 • 23 november 2021 09:37

Dus gooit hij als een klein kind wat zijn zin niet krijgt een zeroday op internet.
Dat soort mensen moeten beloond worden met een pak op zijn broek. Is passend gezien zijn kinderachtig gedrag.

THA_ErAsEr @ShellGhost • 23 november 2021 11:06

Hij vindt een lek, meldt dit lek bij Microsoft. Maar omdat die het dan toch openbaar maakt omdat Microsoft hem niet respecteerd ben je kwaad op hem en niet op Microsoft?
Deze persoon heeft net bewezen dat hij iets kan dat het miljarden (biljoen ondertussen?) bedrijf niet kon, maar volgens jou is hij dan de slechterik, omdat dat omjarden bedrijf geen eerlijke beloning kan betalen.

delphium

@ShellGhost • 23 november 2021 11:15

Dus gooit hij als een klein kind wat zijn zin niet krijgt een zeroday op internet.

Nee, dat heeft hij niet gedaan. Hij heeft MS netjes gewaarschuwd, maar zij waren zo arrogant om hem niet serieus te nemen en kwamen met een halfbakken patch op de proppen. Pas daarna heeft hij een PoC gepubliceert. Het is dus MS dat zich als een klein kind gedraagt en nu een gepast pak op de broek krijgt.

MS was zo op de goede weg, maar de laatste tijd maken ze er weer een ouderwets zooitje van.

ShellGhost @delphium • 23 november 2021 12:18

Weet jij waarom Microsoft een "halfbakken" patch online heeft gezet?

delphium

@ShellGhost • 23 november 2021 13:18

Nee, maar ik vermoed door desinteresse en onkunde. Zoals Naceri al vermeldt, leest MS de bug-reports maar half, stelt geen vragen en komt dan met een patch die maar een deel van het probleem oplost. Precies wat ook gebeurde bij printergate en de exchange kwetsbaarheden.

ShellGhost @delphium • 23 november 2021 13:22

Ik ga niet af op de ervaringen van 1 persoon. Dat is namelijk geen bewijs dat ze bug-reports maar half lezen zoals jij beweert. Kan je die bewering trouwens staven met degelijk bewijs? Geen anekdotisch bewijs uiteraard.

delphium

@ShellGhost • 23 november 2021 13:38

Ik ga niet af op de ervaringen van 1 persoon. Dat is namelijk geen bewijs dat ze bug-reports maar half lezen zoals jij beweert. Kan je die bewering trouwens staven met degelijk bewijs? Geen anekdotisch bewijs uiteraard.

Dat beweer IK niet, maar Naceri. Bovendien is het irrelevant of ze maar half lezen, het niet begrijpen, de stagiair het laten oplossen, ze ondertussen aan het gamen waren, of het gewoon niet interessant vinden. Het resultaat is exact hetzelfde, namelijk een patch die het omschreven probleem niet, of niet geheel oplost.

Het keiharde bewijs daarvoor is de exploit die Naceri online heeft gezet. Hoeveel meer bewijs wil je hebben? Kijk anders ook naar de hele reeks aan patches voor hetzelfde probleem bij printergate en exchange kwetsbaarheden.

Diablo_GT @ShellGhost • 23 november 2021 09:47

Welkom in de grote mensen wereld. Het is dezelfde schoolplein maar dan voor grote mensen.

Tijgert @Verwijderd • 23 november 2021 11:28

Dus omdat hij als eerste klaagt of nu nog als enige klaagt is hij niet serieus te nemen. Dus een klacht is geen klacht, dus eenieder die een klacht heeft als eerst moet zijn mond houden want is niet serieus.

Bedoel je daarmee dat als er meerdere mensen klagen je ze dan wel serieus gaat nemen?

GertMenkel

Beveiliging en antivirus
Microsoft Windows
Microsoft

@Verwijderd • 23 november 2021 15:43

Kijk, als het echt te weinig is doordat er consequent te laag ingeschaald wordt zou je een massale push zien van onderzoekers voor hogere beloningen/een andere classificatie. Maar die hoor je bijna MS vrij weinig.

Die heb ik wel degelijk gezien, vorig jaar, toen de prijzen veranderd werden. Toen werd ook al voorspeld dat er minder onderzoekers mee zouden gaan in de eisen van Microsoft over hoe en wanneer een bug wordt vrijgegeven. En zo geschiedde.

Als ik met drie keer met mijn vingers knippen en twee keer een liedje zingen een BMW in kan, is het aan BMW om dat soort fouten op te lossen. BMW mag zorgen voor een fix en BMW mag zorgen dat ik die kan toepassen. Als iemand op internet roept "hee, moet je kijken wat hier voor stoms gebeurt" dan moet je die persoon dat niet kwalijk nemen, BMW is hier laks geweest. BMW-eigenaren waarbij wordt ingebroken mogen het stomme automatische slot van hun auto de schuld geven, niet degene die de stommigheden naar buiten bracht.

Dat bug bountyverhaal is compleet optioneel om aan mee te doen. Het is meer dan "stuur een mail en ontvang geld", er zitten ook nog nadelen aan parcitipatie. Als dat teveel gedoe is voor het geld, dan zou ik ook niet meer meedoen.

Macboe 23 november 2021 07:40

Is dit update KB5007186 (W10)? Dit is de laatste die ik heb gehad van MS. Het is mij een beetje onduidelijk op de MS site welke patch dit moet dichten.

[Reactie gewijzigd door Macboe op 25 juli 2024 00:12]

MuddyMagical @Macboe • 23 november 2021 07:50

Nee, deze zit in KB5007207 (Win10 x64) of KB5007192 (x32)

Macboe @MuddyMagical • 23 november 2021 07:59

Oke, top bedankt.

Williams123 23 november 2021 08:11

Iedereen Kan zeuren wat ze willen. Hij had het ook kunnen verkopen op de zwarte markt en veeeel meer er voor kunnen krijgen.

Een beveiligingsonderzoeker moet ook zijn/haar geld verdienen. En willen liever het aan het bedrijf dat melden dan dat hij het verkoopt aan een ander dan Microsoft.

En wat is de reden dat Micorosft hun bug bounty ineens zo verlaagd? Het is voor Microsoft ook beter dat het gemeld wordt bij hun of via eventueel like hackerone dan dat het in verkeerde handen valt en dat iedereen er dan last van krijgt omdat Microsoft het niet kan fixen. Geldt voor elk groot bedrijf/software wat door miljoenen mensen gebruikt wordt.

Als ik zou moeten kiezen zou ik precies het zelfde gedaan hebben.

segil @Williams123 • 23 november 2021 08:34

Een 3e keuze was geweest dat hij de nieuw gevonden kwetsbaarheid ook eerst had gemeld, zonder het gelijk publiekelijk te maken.

Verwijderd @Williams123 • 23 november 2021 08:49

Als ik zou moeten kiezen zou ik precies het zelfde gedaan hebben.

Aha... zo ben jij... Waar was jij vrijdagnacht?

[Reactie gewijzigd door Verwijderd op 25 juli 2024 00:12]

Williams123 @Verwijderd • 23 november 2021 08:57

Ik zat vrijdagnacht wel voor de computer. ( Alles zat toch dicht )

beerse 23 november 2021 08:53

In de tekst wordt hier gesproken van Windows 10, Windows 11 en Windows Server. Hoe zit het met de daar van afgeleide Windows Server 2016 en Windows Serve 2019? Zijn die vatbaar? Of is het alleen de genoemde varianten? (sorry, ik ben een beetje lui vanmorgen, nog geen zin om door te klikken).

Morzzz @beerse • 23 november 2021 11:20

Het antwoord staat inderdaad letterlijk op de gelinkte github:

While this technique may not work on every installation, because windows installations such as server 2016 and 2019 may not have the elevation service.

wica 23 november 2021 07:34

Hacker, beveiligsonderzoeker?

Kabouterplop01 @wica • 23 november 2021 07:49

inderdaad, ik vind dit een aandachttrekker, ethisch doet ie niet en responsible is het ook niet.
Dit soort lui heb je geen Z** aan.

Iblies @Kabouterplop01 • 23 november 2021 11:02

De onderzoeker zegt tegen BleepingComputer dat hij de malware heeft gepubliceerd uit onvrede met Microsofts bugbountyprogramma. Hij zegt dat het bedrijf sinds anderhalf jaar de prijs van bugbounty's flink heeft verlaagd. Als het bedrijf dat niet zou hebben gedaan, had hij de bug niet gepubliceerd, zegt hij.

Ik kan het niet vaak genoeg herhalen, maar Microsoft Windows is gatenkaas.

Een standaard reactie daarbij is altijd dat het “miljoenen regels code zijn” etc, etc, etc.

Alleen heb je daar niks aan. Windows, maar ook android en IOS zit een te groot entertainment gehalte op waarbij persoonlijke data verzamelen belangrijk is en te weinig zakelijk. Ipv al die franjes zou oa Microsoft meer moeten focussen dat het OS lichter wordt met minder rand en bijzaken zodat wanneer er iets aan het licht komt de juiste aandacht krijgt en niet omgekeerd.

Complete afdelingen worden vb opgezet om vb emojis te regelen;
nieuws: Google Messages gaat iMessage-reacties weergeven als emoji's
heel belangrijk natuurlijk 🥲
maar ondertussen kun je Android niet fatsoenlijk in een zakelijke omgeving gebruiken laat staan als privacy beetje belangrijk is zonder allerlei truukjes uit te halen.

Kabouterplop01 @Iblies • 28 november 2021 10:24

Oh helemaal eensch hoor; je hebt gelijk, het is allemaal gatenkaas.
Maar op zo'n manier de aandacht trekken een 0-day publiceren omdat je onvrede hebt met het bugbountyprogramma, dat is gewoon zielig.

Tja Android, net zoals MS allemaal franjes ik ben iig na 12 jaar Android over precies vanwege dit. (En IOS heeft ook mankementen)

delphium

23 november 2021 08:56

Dit toont weer mooi aan hoe de complexiteit van hun besturingssysteem Microsoft zelf boven de pet gaat. Windows' authenticatiesysteem is zo ingewikkeld, dat ze het zelf niet meer begrijpen. Of in elk geval er niet meer ook maar één iemand is die de boel overziet.

Zoals Naceri zegt:
"The best workaround available at the time of writing this is to wait Microsoft to release a security patch, due to the complexity of this vulnerability. Any attempt to patch the binary directly will break windows installer. So you better wait and see how Microsoft will screw the patch again."

Dit zou wel eens een herhaling kunnen worden van printergate. Zeker gezien Naceri's afsluiter:
"Final note, while I was working on CVE-2021-41379 patch bypass. I was successfuly able to product 2 msi packages, each of them trigger a unique behaviour in windows installer service. One of them is the bypass of CVE-2021-41379 and this one. I decided to actually not drop the second until Microsoft patch this one. So Be ready !"

vinkjb 23 november 2021 13:17

Abdel krijgt niet genoeg geld vindt hij blijkbaar en dan deze actie, kan je niet echt een beveilingsonderzoeker noemen dan toch. Het gaat om het geld....

Op dit item kan niet meer gereageerd worden.

Hacker publiceert Windows-zeroday na slecht werkende patch van Microsoft

Lees meer

Reacties (167)

Sorteer op:

Weergave: