CISA waarschuwt voor misbruik van Windows-lek bij ransomwareaanvallen

De Amerikaanse Cybersecurity and Infrastructure Security Agency waarschuwt voor misbruik van een beveiligingslek in Windows. Een aanvaller kan deze kwetsbaarheid gebruiken bij ransomwareaanvallen. Microsoft heeft op 12 maart al een update uitgebracht, waarmee het de kwetsbaarheid dichtte.

Deze kwetsbaarheid, die te volgen is onder CVE-2024-26169, zit in de Windows Error Reporting Service. Via dit lek kan een aanvaller die al toegang heeft tot een systeem, zijn rechten verhogen naar SYSTEM. Op die manier kan hij volledige controle over het getroffen systeem krijgen en bijvoorbeeld beveiligingssoftware uitschakelen of aanpassen.

Microsoft heeft de fout al opgelost tijdens de Patch Tuesday van maart dit jaar en gaf toen aan dat er geen signalen waren van misbruik. Beveiligingsonderzoekers van Symantec berichtten eerder deze week echter dat de groep cybercriminelen achter de Black Basta-ransomware de kwetsbaarheid mogelijk al vóór het verschijnen van de patch misbruikt hebben. Mogelijk is de kwetsbaarheid zelfs al in december 2023 uitgebuit.

De CISA heeft de kwetsbaarheid inmiddels ook toegevoegd aan zijn catalogus van bekende misbruikte kwetsbaarheden. Die catalogus bevat veelgebruikte kwetsbaarheden die een significant risico kunnen vormen voor federale organisaties, aldus het agentschap. De CISA adviseert organisaties snel actie te ondernemen om de risico's van dergelijke kwetsbaarheden te beperken.

Reacties (38)

wildhagen

Beveiliging en antivirus
Ransomware
Microsoft Windows
Microsoft

14 juni 2024 16:14

Ik mag toch wel serieus hopen dat de meeste mensen, en zeker bedrijven, inmiddels deze patch van 12 maart, dus 3 maanden geleden (!), inmiddels wel hebben uitgerold. Anders ga ik me toch ernstig zorgen maken om het beveiligingsbeleid van zo'n bedrijf. Dit ging wel om een CVE met een score van 8.8, dat is zeer hoog.

Helaas vrees ik, gebaseerd op ervaringen uit het verleden, dat er massa's mensen en zélfs bedrijven zijn die maanden, zo niet jaren, achterlopen met het installeren van patches.

Echt, enigszins uptodate blijven is toch wel Security hoofstuk 1, les 1 hoor. Dat je niet meteen dezelfde maand patches installeert valt ivm testen iets voor te zeggen, maar 3 maanden later mag je toch echt wel eens dat ding geinstlaleerd hebben. Zeker voor patches waarvan het gedichte lek zo'n hoge score meekrijgt.

Frame164 @wildhagen • 14 juni 2024 16:27

Inderdaad. Uiteindelijk zijn het onze vakgenoten die het allemaal laten liggen. En verschuilen achter "management" is geen excuus. Ik heb nog nooit meegemaakt dat management het verbiedt dat security patches worden uitgerold. Het wordt hoog tijd dat ICT volwassener en professioneler wordt.

Cergorach

Beveiliging en antivirus

@Frame164 • 14 juni 2024 18:51

Ik heb nog nooit meegemaakt dat management het verbiedt dat security patches worden uitgerold.

Hoeveel ervaring heb je dan precies?

Want ik heb meerdere keren meegemaakt dat er systemen niet geupdate mochten worden omdat de eeuwen oude software die er op draaide doodleuk niet zou werken na (security) updates. Erm... Wanneer kunnen we vervangende software verwachten die wel draait op moderne OSen en kunnen we dan de boel tot die tijd isoleren en dichttimmeren? En wisten jullie niet al veel eerder dat dit een issue zou worden? Vervolgens werden dergelijke projecten of uitgesteld totdat het te laat was en/of was er geen budget voor op dat moment.

Het is niet alsof een ITer met een magisch stokje kan wuiven en het kan oplossen, dat kost resources, vaak veel resources, want zeker in complexere omgevingen zijn er heel wat bewegende onderdelen die eerst allemaal 'veilig' moeten worden gesteld en met elkaar moeten kunnen blijven werken.

Zo heb ik jaren geleden een keer op Sinterklaas avond een cryptomalware aanval mogen opruimen omdat men ergens toch nog oude meuk had staan op een ongeissoleerd netwerk en men geen reactie gaf op de offerte om het te fixen. Die cryptomalware aanval opruimen en de aanpassingen daarna hebben veel meer gekost dan dat het in de eerste instantie meteen goed was gedaan. MSPs nemen over het algemeen geen verantwoordelijkheid voor zaken die de klant niet opgelost wil hebben.

We noemen die ongein vaak legacy, dat kan legacy software zijn, maar ook legacy hardware. Denk aan peperdure lasersnij snijmachines die nog op XP draaien of ticketprinters die niet W7 compatible zijn...

Niet alles is een simpele kantoor omgeving die je perfect simpel kan beheren....

En ICT volwassener en professioneler worden?Dat is een hoop BS! Je heb altijd volwassen en professionele ICT gehad, maar net zoals in elke tak van sport is niet iedereen van dezelfde kwaliteit. En soms is dat een issue bij management en soms is dat een issue bij ICT personeel en soms is dat een issue wat bij geen van tweeën ligt.

DJanmaat

@Cergorach • 15 juni 2024 12:20

Hey Cergorach,

Wat jij zegt klopt helemaal. Het is wel een gedachtengang van een paar jaar geleden. Ik mag hopen dat betreffende bedrijven die op deze manier de beveiliging uitstellen, of er zelfs niks mee (kunnen) doen, door hun cliënten/IT-partijen gedwongen worden het op orde te brengen. Conform AP en AVG is het een verplichting en strafbaar niks mee te doen.

Cergorach

Beveiliging en antivirus

@DJanmaat • 15 juni 2024 12:41

Er waren voor de AP/AVG ook gewoon wetten over informatie beveiliging en men nam gewoon het risico op zo een boete... Zelfs nu met de AP/AVG de hoeveelheid boetes die worden uitgedeeld zijn gewoon miniem en zou het me geheel niets verbazen dat zeker kleinere bedrijven (afhankelijk van branch) gewoon hun schouders ophalen. Ik zit al 4.5 jaar niet meer in het MKB/MSP gebeuren, maar de GDPR speelde hiervoor ook al en voor sommige bedrijven was dat extreem belangrijk en voor anderen weer geheel niet.

Toen er boetes zwaarder werden zo een 15-17 jaar geleden was dat ook een mooi moment om bij bepaalde klanten ermee te gaan zwaaien om sommige zaken eindelijk op orde te krijgen. En soms werkte dat en soms niet. Maar wat ik wel heel erg merkte is dat als je bepaalde taken overdroeg aan andere mensen/bedrijven men na jaren soms wel eens bij je terug kwam en het dan vaker wel dan niet opeens weer een puinhoop was. Software niet geupdate, geen backups, oude software die niet langer onderhouden werd, etc.

DJanmaat

@Cergorach • 15 juni 2024 13:37

Heel verhaal.. wat er eerder was en nu nagelaten wordt is niet wat ik bedoelde. Het gaat om de bewustwording.

Cergorach

Beveiliging en antivirus

@DJanmaat • 15 juni 2024 17:37

En wat ik stel is dat die bewustwording er allang was, men koos er gewoon strategisch voor om de kop in het zand te steken en dat gebeurd ook gewoon met AP/AVG. Te hard rijden is strafbaar, maar bijna iedereen rijd te hard, we hebben hier op tweakers.net regelmatig hele discussies over flitsmelding diensten/applicaties, mensen overtreden regelmatig bewust en expres de wet voor allerlei redenen.

En jij gaat me ook niet vertellen dat management niet door heeft dat de kwaliteit van bepaalde afdelingen verre van optimaal is? Zolang men zonder zichtbare issues X oplevert is er niets aan de hand, pas als X opleveren niet meer kan, dan gaat men aan de bel trekken en dan is het vaak al veel te laat en loopt men enorm achter. Er zijn nu hele goede managers/beslissers in bepaalde organisaties bezig de puinhoop van hun voorgangers/collegae op te ruimen en wat decennia heeft gekost om te creëren is niet in een paar jaar tijd structureel opgeruimd.

centr1no @DJanmaat • 15 juni 2024 13:25

Het is helemaal geen gedachtegang van een paar jaar geleden maar relevanter dan ooit omdat beveiliging relevanter en uitgebreider is dan ooit (mede door thuiswerk en alle cloud-constructies) en ook de kosten om het te testen en te implementeren hoger zijn dan ooit. En het heeft ook niet per se te maken met AP of AVG.

Heel veel bedrijven werken niet met 1 systeem waarvoor even een patch moet worden uitgerold.
'IT-partijen' hebben nies te verplichten en zijn niet bij uitzonderring zelfs onderdeel van het probleem omdat ze 'legacy' software en maatwerk leveren doordat geen enkel standaard softwarepakket een bedrijf voor 100% kan bedienen.
Iedere IT-er snapt (zou moeten snappen) dat het niet slim is om compleet verschillende systemen aan elkaar te knopen met interfaceberichtjes en alles alleen te bedienen is met extern gehoste cloudoplossingen of te volgen is met lokale reportservers.
Maar er zijn helaas genoeg bedrijven met dusdanig complexe processen en machines dat er praktisch geen andere keus is.
Genoeg bedrijven waar de eigen IT zich enkel bezig houdt met de interne infra en Windows installaties en waar je voor alle andere systemen met externe partijen te maken hebt die een bak met geld kosten als ze ook maar iets moeten doen dat buiten het normale servicecontract valt..

Iedereen die issues als deze bagatelliseren, vinden dat het enkel een kwestie is het een hogere prioriteit te geven, heeft gewoon geen idee waar sommige bedrijven mee te maken hebben.

[Reactie gewijzigd door centr1no op 23 juli 2024 10:59]

DJanmaat

@centr1no • 15 juni 2024 13:38

Hebben we het over hetzelfde maar verwoord jij het nu in 1000 woorden?

centr1no @DJanmaat • 15 juni 2024 13:41

Nee.

DJanmaat

@centr1no • 15 juni 2024 13:48

Wel, dat doe je wel. We zijn het eens maar doet het overkomen alsof ik iets anders bedoel.

centr1no @DJanmaat • 15 juni 2024 13:52

Ik spreek je op alle punten tegen. Leer lezen.

DJanmaat

@centr1no • 15 juni 2024 16:54

Precies, lees dan waarop je reageert en verder dan de eerste zin m8

DJanmaat

@Frame164 • 15 juni 2024 12:13

Helemaal mee eens. Er zijn simpelweg wat basisdingen die een IT-bedrijf op orde moet hebben en security moet bovenaan het lijstje staan. Helaas is dat makkelijker gezegd dan gedaan en zijn er veel andere factoren hiervan afhankelijk; zorg eerst dat je weet wat je hebt (scope/documentation), zorg dat je weet wat er gebeurd (monitoring/logging) en dan kun je werken aan volledige controle.

teacup @DJanmaat • 15 juni 2024 14:35

In de reacties hier gaat het niet zozeer over IT bedrijven. We hebben het hier over organisaties met fysieke productiemachines en - lijnen of met grote oude databases (klanten ed.). Zelf heb ik ervaring met software die de hele productieketen van een productiebedrijf aanstuurt. Dat heet tegenwoordig Product Lificycle Management (PLM) al komen de meeste bedrijven nog niet veel verder dan Product Data Management (PDM).

Dergelijke PLM software is een spin in het web. Ze integreert aansturing ERP (Enterprise Resource planning, bijvoorbeeld SAP), communicatie naar toeleveranciers en naar eigen werkplaatsen. De software interfaced 3D CAD data, maar ook ECAD data, publicatie formaten als Tiff en PDF en JT (VRML achtige 3D publicatie data), allerlei uitwisslformaten en natuurlijk de hele MS office santekraam.

Een dergelijk landschap is hypercomplex. En die complexiteit neemt nog zodanig toe dat ik mij soms afvraag hoe en wanneer een volgende update moet worden gedaan. Krijgt dergelijke software een update dan hebben we het over updateprocessen van meer dan een jaar. Omdat de impact zo groot is, is de interval waarmee een dergelijk landschap wordt vervangen eens in de 6-8 jaar. Zelf praat ik automatisch meer over een migratie, want je patched niet even een softwarepakket, een bedrijfslandschap moet worden overgeheveld naar een recente versie van al die betrokken softwares. Er is dus een strategie nodig op welke versies van welke software we overstappen. En oh ja, achteraan in de beslissingsboom, welk OS gaan we gebruiken? Die vraag wordt vaak geherformuleerd naar: kunnen de een volgende periode nog ondersteund doorkomen met het bestaande OS? Extended support afspreken met Microsoft is in dat licht dan vaak een pragmatische keuze

Wat hierbij van belang is dat een Windows OS update niet leading is voor het moment dat zo'n update gebeurt. W11 is hierom vaak nog niet aan de orde. Dat zie ik niet alleen in mijn eigen bedrijf maar ook in de industriële ondernemingen waarmee we in fysieke overleggroepen zitten.

We hebben gedurende een bepaalde versie van dit landschap een horizontale overgang van W7 naar W10 gedaan. Ondanks dat de gebruikspakketten (m.u.v. Office) identiek bleven was ook een dergelijke verandering complex en leverde repercussies op met compatibiliteit, terwijl die er op papier wel was.

Voor security updates hoeft dit allemaal nog niet een issue te zijn, al worden deze niet automatisch doorgegeven. Vaak worden een Office update gecombineerd met een aantal security updates. Een dergelijke wijziging wordt dan afgetest voordat ze op de omgeving wordt losgelaten. Je zal begrijpen dat dit een traagheid introduceert in het patchen van software in een bedrijfsomgeving.

Het bovenstaande interpreteren als dat organisaties niet bewust zijn van veiligheidsrisico's is een verkeerde conclusie wat mij betreft. Is een security patch echt urgent, dan wordt ze ook bij mijn bedrijf direct uitgerold. Ondanks de risico's voor de impact op de werkbaarheid van het resultaat. Per patch wordt wel afgewogen wat de urgentie en het risico voor de onderneming is. Een bedrijf kan ook stil komen te staan door een ondoordachte update. De kosten lopen dan snel naar enkele tonnen per dag voor grotere bedrijven. Hiermee beschrijf ik geen hypothetische situatie. Keuze tussen kwaden dus.

[Reactie gewijzigd door teacup op 23 juli 2024 10:59]

the_stickie @Frame164 • 14 juni 2024 16:59

Het management ziet alleen centen. Een fabriek platleggen om wat te patchen brengt niks op, integendeel, dat kost heel snel héél veel. Vandaar dat ze vaak op de rem staan om dergelijks in te plannen.
Het 'bewijs' dat er actief misbruik is, kan helpen als motivator.

Gelukkig staat cybersecurity tegenwoordig wel in het woordenboek. 10-15 jaar geleden wa het antwoord op een nodige patch nog steevast 'waarom? het werkt toch?'. Ik merk professioneel heel sterk dat die communicaties tegenwoordig een stuk soepeler lopen.

Maturiteit van een IT omgeving is iets met veel factoren en ook iets dat echt en snel aan het verschuiven is. Er is wat dat betreft ook een héél groot verschil tussen verschillende bedrijven.
Met oa NIS2 is er/komt er ook een verplichting om afhankelijk van type bedrijf en de grootte bepaalde minimum maturiteit te behalen.

webhalla @the_stickie • 14 juni 2024 22:23

En NIS2 eist een security opleiding van Topmanagement zodat ze weten waarover ze beslissen en wat de (persoonlijke) consequenties zijn.

Artikel 20 van de NIS geeft het volgende aan: Member States shall ensure that the members of the management bodies of essential and important entities are required to follow training, and shall encourage essential and important entities to offer similar training to their employees on a regular basis, in order that they gain sufficient knowledge and skills to enable them to identify risks and assess cybersecurity risk-management practices and their impact on the services provided by the entity.

To_Tall

@Frame164 • 15 juni 2024 09:32

Poeh, ik ken genoeg bedrijven die echt bepaalde bedrijfsprocessen niet willen stil leggen en elke update die wel door mag gaan. Eerst uitgebreid door de leverancier door getest moeten worden voor deze in productie komt.

De testen duren soms maanden wat resulteert in eens per kwartaal of zelfs jaar updates doorvoeren.

fenrirs @wildhagen • 14 juni 2024 23:05

Serieuze vraag van een non-windows gebruiker: hoeveel bedrijfskritische software gaat er nou eigenlijk stuk na een patch en wiens ‘schuld’ is dat dan? (Iets met robuust software schrijven)

In alle jaren dat ik van Ubuntu 8.04 tot aan 22.04 onze servers heb geüpdate ben ik één keer software tegengekomen die echt niet meer aan de praat te krijgen was ( onder 18.04, komende van 16.04). Dat hebben we opgelost met een singularity container.

Cergorach

Beveiliging en antivirus

@fenrirs • 15 juni 2024 12:46

Het is altijd jouw schuld. Want dat iets stuk gaat had je ook eerst kunnen testen... Wat natuurlijk niet altijd even realistisch is...

Maar specifiek voor Ubuntu kwam ik issues tegen met drivers die alleen werken met bepaalde kernels, dus zodra iemand een kernel update werkt de driver niet meer (correct) en daarmee de software die daar bovenop ligt. Of software waarvan je zou verwachten dat deze belangrijk genoeg is dat deze ondertussen toch wel al ondersteuning heeft voor 22.04, maar de laatst ondersteunde versie slechts 20.04 is... Daar kwamen de beheerders van de servers niet achter, zelfs de software rapporteerde dat niet, ik kwam het toevallig tegen in een details page...

En ja, de conclusie dat die software vervangen dient te worden, asap, was al een tijd geleden gemaakt. Maar voordat je de keuze heb gemaakt voor vervangende software (binnen budget), het getest heb, contracten op orde zijn, daadwerkelijke migratie, etc. kan ook een paar jaar duren. Dat werkt trouwens heel anders voor een klein simpel bedrijfje tov. multinational enterprise (met een hele range daartussen).

Zoals ik al vaker aan heb gegeven, bij de kleine MKB deed ik vaker een complete mail migratie in een week of twee, maar bij een complexe enterprise duurde dat doodleuk 2 jaar, het issue is niet de mailboxen zelf (die natuurlijk veel meer zijn), maar alle ongein die er aanhangt.

DJanmaat

@Cergorach • 15 juni 2024 13:46

Aan je reacties begrijp ik dat je veel kennis en ervaring hebt. Echter proef ik ook dat je je frustreert maar mede verschuilt achter complexe structuren en procedures binnen bedrijven. Waar een wil is, is een weg en als een ander niet meewerkt betekent niet gelijk dat jij het verschil niet kan maken. Lekker met de kudde meeblaten is geen oplossing.

Cergorach

Beveiliging en antivirus

@DJanmaat • 15 juni 2024 17:28

Hahaha!
Sorry, maar dat is ook absolute BS! Ik ben een contractor, ik heb een specifieke opdracht en ik ben daar niet om een heel ander bedrijf te veranderen wat niet wil veranderen. En ik ben al vrij flexibel met wat ik wel en niet oppak voor een opdracht en geef ook veel advies voor zaken die buiten mijn opdracht vallen. "You're not paying me for this shit!" is gewoon de realiteit. En dat geld ook gewoon voor niet-contractors. Als systeem beheerder kan jij niet verantwoordelijk zijn voor de legal aspecten van een contract.

Ik vraag me serieus af wat voor cool-aid jij heb gedronken. Als externe ITer een business van duizenden of zelfs honderdduizenden medewerkers wel even essentieel veranderen? Toen ik 20-25 jaar geleden nog een vaste job had was een afdeling van ~5 man essentieel veranderen al een enorme klus als niet-manager die 5+ jaar in beslag heeft genomen en dat heb ik niet in m'n uppie kunnen klaren. #1 Je heb niet de verantwoordelijkheid niet, #2 je heb niet de positie en #3 je heb niet de complete kennis van het hele bedrijf.

En in Nederland zijn zelfs mensen met zo een positie die de boel wel direct kunnen verander gebonden aan handen en voeten door bv. regels rond ontslag. Het enige wat je kan doen is verbetering stukje bij beetje door te pushen, gebruik te maken van oppertunities, zoals bij een reorganisatie de eisen voor personeel sterk opkrikken zodat je niet langer zit met mensen die niet geschikt zijn voor de positie. Voorstellen duidelijk schrijven, met voor en nadelen, kosten/kostenbesparingen, zelf implementeren naast je reguliere werk (wat erg lastig is als je het werk van meerdere mensen moet doen omdat ze het zelf niet kunnen) etc. (ongein dat ver buiten mijn positie viel). Laten zien hoe het wel moet/kan, etc. Maar zelfs naar 7 jaar is de impact die je kan hebben enorm beperkt zelfs bij een relatief kleine organisatie. Dergelijke frustratie is ook waarom ik ben gaan freelancen. Ik heb helemaal zelf verantwoordelijkheid voor wat ik als opdracht aanneem en hoe ik deze uitvoer.

Als je in je uppie de IT regelt voor bv. een non-profit, dan kan je een heleboel bereiken aan verbeteringen, maar ook daar ben je aan budgetten gebonden. Bij MSPs had ik veel te maken met veel kleine bedrijfjes, waar je heel veel verbeteringen kon doorvoeren en heel veel kon bereiken, maar ook weer gebonden door budgetten. Het scheelde dat ik enorme besparingen op IT gebied kon doorvoeren, waardoor er ook vaak weer iets minder geneuzel was over kosten, maar dat kon ook niet overal. Maar omdat je met zoveel verschillende klanten te maken heb gehad over een langere periode kan je makkelijker de uitschieters eruit halen, waardoor zaken als "Ik heb nog nooit gehoord..." gewoon betekend dat je niet genoeg ervaring hebt. En zaken, "Waar een wil is is een weg!" gewoon ook ervaring missen en/of gewoon niet helemaal met beide benen op de grond staan.

Ik ben uit de MSP weggegaan juist omdat je constant gelazer had met budgetten, niet alleen bij de eindklant, maar ook bij de MSPs zelf. Pay peanuts en get monkies, ik heb extreem goede collegae gehad, maar ik heb ook gewoon veel bagger collegae gehad en zoals je ziet bij elke organisatie die peanuts betalen, de goeie gaan weg omdat ze ergens anders veel beter betaald kunnen krijgen en wat houd je over... Ik ben bij zo een MSP nog een keertje zes maanden later gevraagd of ik het documentatie systeem onderhanden wilde nemen wat ik perfect had achter gelaten toen ik weg ging en nu alweer een puinhoop was omdat de aapjes vertikte het systeem fatsoenlijk bij te houden, zelfs de aapjes verlieten het schip en kennis verdampte. En men wilde toen opeens wel een fatsoenlijk uurtarief ophoesten...

Ik werk nu weer als freelance in de Enterprise/multinationals en daar is vaak minder een issue met budgetten, maar heb je weer andere issues, want niets is perfect. Alles is opgesplitst, een hoop wat je voorheen zelf deed en dus enorm kort schakelen was, wordt nu gedaan niet door 1 andere afdeling, maar door heel veel verschillende afdelingen. Dus alle eendjes op een rij krijgen is al heel lastig, dat is een organisatorische uitdaging. Er zijn processen in place om dingen aan te vragen, maar omdat je dingen wil veranderen die buiten de normale gang van zaken vallen, moet je weer met veel meer mensen schakelen dan dat je vroeger deed, kost allemaal tijd. Waarbij ik binnen de kleine MKB gewoon veel tijd bezig was met dingen doen/wijzigen en documentatie schrijven, ben ik nu gewoon veel meer tijd kwijt aan organiseren, Jira tickets bijhouden, etc. En nog steeds pak ik veel meuk op wat eigenlijk buiten mijn opdracht valt, puur omdat ik graag zie dat iets goed gebeurd of omdat iets indirect impact heeft op mijn verantwoordelijkheid.

Mijn frustratie is minder met organisaties en meer met individuele mensen, want je kan wel tegen de zee gaan gillen dat het moet ophouden nat te zijn, maar veel invloed gaat het niet hebben. Mensen die denken dat ze de wereld kunnen veranderen, maar de kennis/kunde/ervaring missen om daadwerkelijk een poging te doen en schande spreken over iedereen die niet aan hun ideaal voldoet, heb ik een issue mee. Mensen die denken hoe zij het issue wel even oplossen, zonder dat ze het issue ooit voorheen hebben opgelost en precies aan anderen weten te vertellen hoe het opgelost moet worden, heb ik een issue mee. Mensen die denken te weten hoe IT bij andere bedrijven werkt omdat ze wel bij (hoogstens) 10 bedrijven hebben gewerkt ipv. met honderden, heb ik een issue mee.

DJanmaat

@Cergorach • 15 juni 2024 18:36

Het Cergorach,

Excuus, heb je volledig verkeerd ingeschat en wil graag hierover buiten deze post om er verder over praten. Stuur me maar een bericht als je dat ook wilt.

teacup @DJanmaat • 15 juni 2024 15:22

De uiteindelijke verantwoordelijkheid ligt niet bij de uitvoering, i.e. de personen die in een topic als dit reageren, maar bij de managementslaag van de betrokken organisaties. Voor deze managementslaag is veiligheid slechts een van de factoren waarop besluiten worden gebaseerd. Dat die factor in belangrijkheid is toegenomen behoeft geen verdere toelichting. Een bedrijfsmanagement kan besluiten extra capaciteit op ugradebeleid te zetten (hierbij veiligheid meenemend). Wat wel bij de uitvoering kan liggen is dat ze haar management van waarschuwingssignalen voorziet als om inhoudelijke redenen het management moet acteren. Doet een organisatie niets met dergelijke signalen dan rest je als individu weinig anders dan jezelf de vraag stellen of je nog achter het werk kan staan wat je doet. Een ultieme consequentie van die vraag is dat je ander werk gaat zoeken waar het beter georganiseerd is.

To_Tall

@fenrirs • 15 juni 2024 09:39

Vroegha, wilde bepaalde updates nog wel eens een stuk maken denk aan Windows XP ineens een firewall te hebben

Laatste jaren heb ik maar weinig problemen gehad met de Windows cumulatieve updates. Afgelopen november was er volgens mij wel iets met AD. vorige maand heeft ms de update terug getrokken voor 2022 servers en een week later een nieuwe update uitgebracht. Ivm probleem met detectie van de update.

[Reactie gewijzigd door To_Tall op 23 juli 2024 10:59]

DJanmaat

@fenrirs • 15 juni 2024 12:10

Hey fenrirs,

Dit is écht een goede vraag; wie heeft nou de verantwoordelijkheid als een ander moedwillig beveiliging van door jouw gebruikte software omzeilt en daar misbruik van maakt.

Verantwoordelijk voor het misbruik is wel logisch; dat is degene die het misbruik doet. Ik ben van mening dat als je als leverancier van de software weet hebt van het misbruik die er alles aan moet doen om de beveiliging weer op niveau te brengen. En doet dat bedrijf het niet, deze hoog genoeg gestraft wordt en daarmee wordt geraakt in de hoop die het de volgende keer wel doet. Zoals in de kinderklas en onderdeel van de opvoeding; wil je niet luisteren moet je maar voelen.

En dan roept het de vraag bij mij op; is de gebruiker enigszins verantwoordelijk als die weet heeft. Ik vind van niet, maar het is wel in jouw belang het bij de leverancier te melden.

fenrirs @DJanmaat • 15 juni 2024 16:00

Dat was dus niét mijn vraag. Waar het om gaat is het volgende. Ik vroeg mij af waarom een IT organisatie er maanden over moet doen om een patch van een OS te testen tegen eigen bedrijfssoftware, met alle beveiligings problematiek van dien.

Je schrijft een stuk software en blijkbaar kan een patch van het besturingssysteem, je software slopen. In mijn ogen doe je dan iets heel erg fout of iets heel erg exotisch (en in dat laatste geval weet je waar je mee bezig bent)

Gek genoeg hoor je dit dus voornamelijk in de Windows wereld. Laatst nog een stuk archaïsche software uit 2001 gecompileerd op U22.04, werkt gewoon.

Wat mij betreft moet je veiligheids patches gewoon kunnen installeren en gaat je bedrijfssoftware stuk moet he dát maken, asap ( je zuit zien dat het steeds minder vaak stuk zal gaan als je het goed doet)

the_stickie @wildhagen • 14 juni 2024 16:51

Imho moet je tegenwoordig al echt je best doen om Windows patches te missen (ook als IT beheerder).
Het probleem is net al die andere dingen. Ten eerste weten dat er een patch is, ten tweede inschatten hoe kritisch die is, ten derde uitvoering testen/plannen/..., ten laatste patching zelf.
Net daar zijn die nieuwbrieven van CISA echt waardevol. In eerste instantie de CVE' lijstjes van elke week, bijkomend de exploited vulnerabilities om evt prio te verhogen en/of mgmt te overtuigen dat XYZ toch ff plat MOET om te updaten...

teacup @the_stickie • 15 juni 2024 14:51

Zolang Windows dan ook een venster krijgt om updates te downloaden en te installeren. Omdat updates best op de achtergrond gebeuren zie ik het bij mensen met weinig computerkennis in mijn omgeving fout gaan.

Ik heb mensen bewust moeten maken dat een PC in de gelegenheid gestelt moet worden om zich te kunnen updaten. In de regel adviseer ik ze om eens in de week een PC enkele uren aan te zetten, ook als die niet wordt gebruikt. Aan het eind van zo'n blok moet dan even de update status worden gecheckt.

Dus Pc's die maar sporadisch aan zijn, laten we zeggen, een half uur per week, of Pc's die steeds maar kort worden gebruikt komen niet aan hun updateriedeltje toe.

DJanmaat

@wildhagen • 14 juni 2024 20:38

CVSS score 7.8 en sommige bedrijven gebruiken nog de defer om updates x tijd uit te stellen. 3 maanden uitstellen lijkt mij ook een beetje lang inderdaad.

Simpel gezegd; deze exploit heeft eerst lokaal toegang tot het systeem nodig waarna met de exploit via het registry een console met beheerrechten geopend kan worden. Voor details zie de links bij de betreffende CVE waar uitgelegd wordt hoe het precies in zijn werking gaat.

Wat ook belangrijk is te vermelden dat het om W10/11 W2K12R2/16/19/22 gaat. Bij W10, W2K12R2/16/19 is minstens mainstream support verlopen.

VirusTotal geeft aan dat deze exploit een compile datum van dec. 2023 heeft. Andere bron beweert pas in feb. 2023. In maart 2024 waren er 2 update ronden, deze is met die van 12 maart gedicht.

[Reactie gewijzigd door DJanmaat op 23 juli 2024 10:59]

the_stickie 14 juni 2024 16:17

Voor de geïnteresseerden: CISA heeft een stel nieuwsbrieven, waaronder eentje die buitengaat telkens er wat toegevoegd wordt aan de "exploited vulnerabilities catalog"

Imo heel interessant, temeer dit een stuk verder gaat dan bijv Microsoft producten. Dit gaat evengoed over bussines tools,industriële system (zoals scada/PLC) en allerhande exotische brol die overal en nergens gebruikt wordt.

[Reactie gewijzigd door the_stickie op 23 juli 2024 10:59]

LieveGeit 14 juni 2024 18:50

Ik had dus in mei 2023 het idee dat ik gehackt werd en ik weet nog steeds niet of het een bug was of dat het een echte hack was

Maar in ieder geval werd mijn 'Tamper Protection' uit gezet en ook stond er Unknown overal bij Windows Security/Defender

Scans met Malwarebytes leverde echter geen resultaten op

forumtopic: Word ik wel of niet gehackt ? Of bug in defender?

DJanmaat

@LieveGeit • 15 juni 2024 12:01

Hey LieveGeit,

Het is een goed iets dat jij al inziet dat er mogelijk misbruik op jouw systeem gaande was. Dan ben je al een hele stap verder dan veel andere mensen. Ik begrijp dat scan-software niks heeft ontdekt, maar dat betekend niet dat jouw systeem dan veilig is.

Wat heb je hierna ermee gedaan?

FlorC 15 juni 2024 08:21

Ik versta het niet , waar zitten jullie dan op het net om aangevallen te worden ?
Ik heb XP niet meer geupdate vanaf 2011 tot 2023 , geen problemen, nu W11 geen updates meer sinds juli 2023 . Alleen torrent sites zoals 1337x , doet wat raar de laatste 2 weken , maar toch nog geen problemen. Natuurlijk ben ik geen bedrijf en heb genoeg backups indien er iets gebeurd.

DJanmaat

@FlorC • 15 juni 2024 11:57

Hey FlorC,

Ik begrijp enigszins waar jouw reactie vandaan komt, maar anderzijds is dit het meest naïeve antwoord die je maar kunt geven. Ben eigenlijk geschokt er nog mensen met deze gedachtengang rondlopen. Je bekend te downloaden vanaf torrent-sites zoals 1337x welke adverteert met gratis films, muziek, tv-series, spellen en software. Ik neem aan dat je bewust bent dat dit illegaal is? En ben je ook bewust dat via deze illegale content je ook beveiligingsrisico's binnenhaalt?

Om deze reden maar een met gelijke munt reactie terug:
Sinds de komst van internet zijn mensen dichter met elkaar verbonden dan ooit. Mensen kunnen elkaar vanaf afstand zonder directe verbale communicatie en zonder fysieke aanwezigheid toch vinden. Je kan elkaar vinden door alleen met het internet verbonden te zijn. Dit is een mooi iets voor degene die het beste met je voor hebben, maar er zijn ook mensen van het andere soort.

Waarom ik jouw reactie enigszins begrijp is dat het vreemd voelt om steeds een update uit te voeren als er eigenlijk aan de buitenkant toch niks veranderd. Het gaat niet om wat je weet en ziet, maar juist om wat je niet weet en ziet. Er zijn mensen op deze wereld die kwaliteiten hebben om zonder dat jij het weet en ziet door middel van beveiligings-omzeilingen/lekken informatie van jouw met internet verbonden apparaten in te zien, en tussen deze mensen zijn er zijn er typen die deze informatie misbruiken om jou te benadelen. Afhankelijk van het lek kan niet alleen het betreffende met internet verbonden apparaat; maar ieder apparaat op jouw netwerk onveilig zijn en/of 'verkeer/data' kan afgeluisterd worden. En daar valt jouw aan het netwerk verbonden apparaten met een backup-schijf ook onder.

Jouw besturingssysteem, en ieder ander apparaat verbonden met het internet, is op het moment van uitkomen en sinds verbonden met hetzelfde internet een doelwit voor dit soort mensen. Op het moment dat ze een methode weten om een beveiliging te omzeilen is er mogelijkheid jouw gegevens te misbruiken. Deze 'inbraken' worden door verschillende goodwill-partijen ontdekt en in de meeste gevallen door de leverancier van het product gedicht door middels van een update.

Hieronder wordt heel valide aangegeven dat we een hele tijd geleden ons er niet zo druk om maken, maar tegenwoordig dit hét belangrijkste aspect is om op orde te brengen. En dan kom jij met zo'n reactie...

To_Tall

@FlorC • 15 juni 2024 09:46

Je hoeft niet ergens op het net te zitten om aangevallen te worden.

Je publieke IP wordt 24/7 bestookt met port scans.
Mailtje die je opent. UPNP die aanstaat. IOT Device die een lek heeft, geïnstalleerde applicatie. Enz. Er zijn verschillende mogelijkheden om aangevallen te worden. Sommige lekken moet fysiek toegang nodig zijn. Andere kunnen door een service/applicatie komen.

Je pc nooit updaten, zeker thuis waarom zou je dat niet doen? Ben wel benieuwd naar je beweegredenen!! Oligarch versie waardoor je niet kan updaten?

FlorC @To_Tall • 15 juni 2024 14:40

Ja wat jullie schrijven , heb ik al zo dikwijls gehoord. XP was zo onveilig , toch heb ik de laatste 12 jaar geen updates gedaan en geen problemen. Dubbele firewall en virus en malware scanners.
De reden waarom ik W11 ook niet meer update (ik blijf bij 22621.1928) , is dat ik niet akkoord ben met de sommige veranderingen die nadien gekomen zijn door de verplichte windows updates. Versie 1928 werkt goed genoeg . Ook geen bitlocker en MS account. Dan is er nog Dell die via windows updates drivers forceert die ik absoluut niet wil. De Dell updates worden uiteraard ook geblokkeerd en alleen degene die ik wil , installeer ik manueel.
Dit is niet naief over de gevaren , ik blijf baas over mijn eigen computer.

To_Tall

15 juni 2024 15:48

Zo in dagelijks gebruik is ook onveilig. W11 niet updaten is ook onveilig. Dagelijks worden er wel lekken in apparatuur gevonden. Zowel Windows als Linux als firewalls enz.

Dat het tot nu toe goed gaat wil niet zeggen dat dit ook garantie geeft in de toekomst. En dan moet je hopen van alle belangrijke zaken een goede backup te hebben.

Op dit item kan niet meer gereageerd worden.

CISA waarschuwt voor misbruik van Windows-lek bij ransomwareaanvallen

Lees meer

Reacties (38)

Sorteer op:

Weergave: