Ernstige bug in Microsofts VPN

Op ZDNet lezen we dat er een ernstige bug in Microsofts implementatie van Virtual Private Networking is gevonden. Veel bedrijven gebruiken VPN - dat standaard wordt meegeleverd met Windows 2000 en XP - om hun werknemers via een versleutelde internetverbinding in te laten loggen op het interne netwerk. Het lek zou aanvallers in staat stellen om het netwerk binnen te dringen, waardoor de zware beveiliging aan de buitenkant van het netwerk omzeild kan worden, en de meestal veel lichtere beveiliging binnen het netwerk dus het enige obstakel is tussen een indringer en de (gevoelige) informatie.

De ontdekker van het beveiligingslek - het Duitse bedrijf Phion Information Technologies, gespecialisteerd in beveiliging - zegt Microsoft hiervan op de hoogte hebben gesteld voordat het de fout afgelopen donderdag openbaar maakte. De softwaregigant zegt nergens van gehoord te hebben. Een onderzoek, dat onmiddellijk werd ingesteld door Microsoft, heeft volgens het bedrijf aangetoond dat het lek aanvallers niet in staat stelt om code uit te voeren op een geïnfecteerd systeem, wat de risicofactor een stuk lager zou maken:

After about six hours of analysis by Microsoft security response center, Christopher Budd, security program manager for the company, said that the flaw could not be used to run code on a system. If so, that would greatly reduce the severity of the vulnerability: Companies would only have to fear a denial-of-service attack on their VPN systems, not a network intruder.

Budd stressed that Microsoft is continuing to work on the problem and will have more definitive answer soon.

"This is top priority," he said. "We are proceeding with all due speed."

Reacties (33)

Catweazel 28 september 2002 21:02

Kijkend naar de info die beschikbaar is op dit moment:
- het artikel van ZDNet
- de website van Phion (www.phion.de)
zit deze 'bug' in de PPTP implementatie van Microsoft.

In Windows 2000 kun je VPN oplossingen met 2 verschillende protocollen implementeren:
- PPTP met MPPE (MS-CHAP prefered)
- L2TP met IPSEC
Alleen in een implementatie met het bovenste protocol (PPTP dus) is deze bug aanwezig, welke niet kan lijden tot inbraak (intrusion) , maar (volgens Microsoft) slechts tot DoS (Denial of Service).

(Onder voorbehoud natuurlijk, de informatie die op dit moment beschikbaar is, is op z'n zachts gezegd 'summier')

Het 'leuke' echter is dat Microsoft zelf adviseert (zie http://www.microsoft.com/vpn ) om een implementatie initieel op te bouwen met PPTP, dan Machine Certificates uit te delen en dan de 2e keer met L2TP een VPN-verbinding op te zetten.

Prettig detail: L2TP wordt in de documentatie van Microsoft omschreven als een protocol dat door Cisco gebruikt wordt in hun VPN-capable routers.

Systeembeheerders die hun intranet/vpn spullen op orde hebben (òf door gebruik van Cisco (e.d.) apparatuur, òf door een degelijke Microsoft implementatie m.b.v. het doorspitten van documentatie) kunnen dus de komende maanden rustig verderslapen

paknaald 28 september 2002 19:04

Het bedrijf zelf stelt dat het niet onmogelijk is dat ook code kan worden gedraaid.

A remote compromise can not be excluded,
as we were able to fill EDI and EDX with our data.

http://www.phion.com/adv/index.html

JeroenB @paknaald • 29 september 2002 13:45

Als je EDX en EDI met arbitraire data kunt vullen, dan heb je nog lang geen serieuze mogelijkheid om code uit te voeren. De Microsoft-onderzoekers hebben aangegeven dat het niet mogelijk is om code uit te voeren op basis van deze vulnerability, dat zal betekenen dat ze hebben onderzocht of er ooit bijv. een jump op basis van deze registers wordt gedaan voordat ze worden gewijzigd - iets dat blijkbaar niet zo is (anders kunnen ze het niet zo stellig ontkennen.)

J3roen 28 september 2002 19:08

We mogen blij zijn dat phion de exploit niet openbaar heeft gemaakt. Als dat zou gebeuren dan zou dat letterlijk een ramp betekenen voor veel bedrijven.

(mits uiteraard het echt werkt, want het is natuurlijk ook niet bewezen omdat de exploit niet publiekelijk is)

Booster @J3roen • 28 september 2002 19:33

Zover ik gelezen heb, heeft Phion zowiezo geen exploit. Ze hebben slechts de vurnerability aan het licht gebracht. Een vurnerability wil niet zeggen dat deze ook direct geexploit kan worden.

PenguinPower 28 september 2002 20:14

Beetje vaag. Microsoft ondersteund zowel PPTP en in mindere mate IPSEC, maar in welke van de twee zit de fout?

Pwigle @PenguinPower • 28 september 2002 20:19

Volgens mij heb jij het nu over 2 protocollen, (IPSEC gaat altijd in combinatie met een ander vpn protocol) en die gebruik je dus om op de VPN server van MS te komen.

Het lek zit dus niet in het protocol (dat zou een ramp betekenen) maar in de software van MS.

I.R. Overclocked 28 september 2002 19:11

Voor mensen die nu wat anders gaan zoeken: Bij mij op school gebruiken ze de Cisco VPN client, die is gratis, en het instellen kan met 1 diskette

gumkop @I.R. Overclocked • 28 september 2002 19:30

die is gratis

Ik ben bang dat je weinig van Cisco weet. De client krijg je omdat je het Cisco VPN product (Pix firewall, Concentrator, ..) voor erg veel geld gekocht hebt. Zelfs Microsoft kan daar een puntje aan zuigen.

Mensen zijn vaak geneigd om Microsoft als ontzettende geldwolf te zien. Dit klopt natuurlijk wel, maar elk groot bedijf doet dit; denk aan IBM (maakt zelfs meer software dan Microsoft), Intel, Cisco etc.

Verwijderd 28 september 2002 21:09

Dat er een lek is, is niet eens zo heel erg, mits het asap opgelost wordt. Vervelender vind ik het dat MS ontkend iets van phion gehoord te hebben. Ik zeg niet dat het wel aan MS is gemeld, maar indien het wel zo is, moet je het niet ontkennen. Dan denken ze de volgende keer dat ze toch niet serieus genomen worden.

Nu moeten ze het wel ontkennen, omdat ze anders weer kritiek krijgen dat ze het zelf niet bekend hebben gemaakt.

Verwijderd @Verwijderd • 29 september 2002 22:42

Je trekt nu wel een beetje snel je conclusie LarBor. Waarom zou Microsoft ontkennen dat ze het bericht hebben ontvangen? Ik denk dat ze juist erg gelukkig zijn indien iemand een dergelijke bug meldt voordat een ander er misbruik van kan maken. Ik zeg niet dat je geen gelijk hebt, maar ik hou het liever op een miscommunicatie tussen beide bedrijven.

Wat me altijd wel een beetje stoort is de reacties van mensen die vinden dat software meteen slecht is zodra er bugs inzitten. Elke programmeur weet dat het nagenoeg onmogelijk is om een programma in 1x foutloos te schrijven en dat het altijd enige tijd vergt om alle aanwezige fouten op te sporen en vervolgens te repareren. Enig idee hoeveel manuren er nodig zijn voor het uitbrengen van een servicepack? Je praat hier namelijk niet over het plakken van een gaatje in je fietsband, maar over het aanbrengen van wijzigingen in de software die op andere plekken in het programma misschien hele grote gevolgen kan hebben, enige research is in dit geval dus geen overbodige luxe.

Het blijft dus een goede zaak dat bedrijven regelmatig op deze bugs worden gewezen, of het nu gaat om software van MS of om welke andere leverancier dan ook.

Verwijderd @Verwijderd • 30 september 2002 11:07

Worden er daarom niet beta-versies gemaakt om de meeste bugs uit het programma te halen?
En ik denk dat ze met VPN qua beveiliging zeker alles door en door hadden moeten testen, omdat grote bedrijven hiermee werken en als er een fout in de beveiliging zit dan vind ik niet dat je kan zeggen dat mensen niet zo moeten zeuren omdat een programmeerder ook wel eens een foutje kan doen.. Op dat gebied dus even niet vind ik..

edrost @Verwijderd • 29 september 2002 22:56

Ik ben het net mijn voorganger eens. Waar ik alleen van staat te kijken af en toe is dat er wordt gesproken over dat het goeie software is (MS). Dat er bugs in kunnen zitten ook geen problemen mits het niet zulke groffe bugs zijn dat een bedrijf er nadelen aan ondervindt. Wat me dan wel stoort is dat de prijzen voor deze software er niet om liegt. Ik weet dat er veel uren in zit. Waarom brengen ze dan soms (MS) soms te vroeg uit? Dat soort zaken zie ik meer als een Commerciele stunt. Het moet voor een bepaalde datum af en bugs sluipen er sneller in.

B. Stuff 28 september 2002 20:07

Hoe zit het dan met bv MXstream van KPN? Deze gebruikt ook VPN. Heeft dit nog enig invloed voor gebruikers van MXstream?

Pwigle @B. Stuff • 28 september 2002 20:20

KPN is niet het beste bedrijf, maar het lijkt me niet dat alle adsl gebruikers van mxstream "inbellen" op Microsoft VPN servers

BasHouse @B. Stuff • 29 september 2002 14:27

Ik heb MS-CHAP niet nodig om een adslverbinding te maken met mijn provider (XS4ALL)

ps. lees ook reactie van Catweazel

BlackBurn 28 september 2002 19:00

Hmm, veiliger, omdat je geen code uit kunt voeren, ik neem aan dat als je bij sommige bedrijven bepaalde bestanden kunt kopiëren dat het al genoeg schade kan aanrichten, ik krijg het idee dat MS hier een beetje lachoniek over doet, terwijl ze zich meer op beveiliging zouden gaan richten

PowerFlower @BlackBurn • 30 september 2002 11:07

Budd stressed that Microsoft is continuing to work on the problem and will have more definitive answer soon.

Dit lijkt me nét iets te veel op het standaard antwoord dat MS altijd op de Knowledge Base geeft als er nog geen oplossing is: "Microsoft has identified this to be a problem and is working on a solution". Nachtmerries heb ik daar van

* 786562 PowerFlower

cablepokerface 30 september 2002 11:14

After about six hours of analysis by Microsoft security response center, Christopher Budd, security program manager for the company, said that the flaw could not be used to run code on a system. If so, that would greatly reduce the severity of the vulnerability: Companies would only have to fear a denial-of-service attack on their VPN systems, not a network intruder.

Geen mogelijkheid om scripting uit te voeren op de target machine ? Dan is de titel van dit artikel wel een beetje misplaatst, zo erg is het dus niet ... Blijft dus een DOS-attack als kwetsbaarheid over ... en helaas, daar zijn ook servers die geen VPN connecties gebruiken gevoelig voor ...

JF_ 28 september 2002 21:05

Even voor de duidelijkheid... Deze 'bug' zit toch zeker aan de *server*kant?
Maw, de gemiddelde thuisgebruiker zal er niets van merken.

[edit]Overbodig? Ik probeer er alleen achter te komen hoe 'gevaarlijk' dit is voor de normale gebruikers, die volgens mij normaalgesproken geen VPN-service draaien.

HermeS @JF_ • 29 september 2002 18:53

Als je nou eerst begint met het doorlezen van de advisory voordat je ergens over mee wilt praten, en mensen verkeerde informatie voorhoud want bovenaan staat dat:

Microsoft Windows 2000 and XP running either a PPTP Server or Client.

http://www.phion.com/adv/index.html

JF_ @HermeS • 29 september 2002 19:06

OK, misschien iets te haastig... Maar toch.
Ik gebruik de Win2K-SP2 VPN-client om op het uni-netwerk te komen (pptp). Ik zie port 1723 *niet* openstaan op mijn PC. Leg me dan even uit hoe mijn machine dan vulnerable is?

[edit]Whoops... Zodra je VPN-verbinding actief is staat port 1723 inderdaad open op *alle* interfaces... My mistake.
Maar nog altijd niets wat een simpele firewall niet kan verhelpen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (33)

Sorteer op:

Weergave: