Ontwerp Windows NT4.0 te beperkt om veilig te krijgen

Enkele dagen geleden heeft Microsoft zijn wekelijkse security bulletin de deur uitgedaan. Hierin waarschuwt het bedrijf voor een bug in de RPC Endpoint Mapper waardoor er een kans op een Denial of Service aanval bestaat. Voor gebruikers van Windows 2000 en Windows XP is er een patch beschikbaar, voor Windows NT 4.0 echter niet, zo meldt The Register. De reden die hiervoor wordt opgegeven, is dat de architectuur van Windows NT 4.0 te beperkt is om een grote wijziging als deze door te kunnen voeren. De oplossing die Microsoft aanreikt is om een firewall te gebruiken en deze poort 135 te laten blokkeren. Dit lost echter nog niet alles op:

Firewalling will probably keep external attackers at bay but the flaw gives attackers with intranet access considerable scope to crash, though not (it would seem root), inherently vulnerable NT4 boxes.

Reacties (43)

EfBe 28 maart 2003 17:56

De reden hiervoor denk ik is dat de RPC service onder win2k/xp een gewone service is, los van de networkstack, maar onder NT zijn de network gerelateerde services apart gehouden, die zitten verweven met de networkstack (je moet ze ook in de network properties installeren).

Dit is natuurlijk niet een reden om dan maar te zeggen "stringetje xyz is foutief maar dat kunnen we niet patchen", maar het kan wel dermate lastig zijn dat de RPC service van NT niet te patchen is zonder het halve OS overhoop te halen, of althans er dermate diep in te graven dat het de moeite niet loont (lees: erg veel tijd kost).

We weten ook niet wat precies de reden was dat de RPC service niet tegen de input kan die de DOS veroorzaakt. Het kan best zijn dat een volgorde van commando's dit veroorzaakt ipv bv een ellenlange string met baggerchars (dus een 'by design' flaw die dus vele malen moeilijker te patchen zijn dan bv buffer overflows). Ik denk dat de RPC service in NT veel zaken overlaat aan de TCP stack en zodoende het niet 1 2 3 te patchen is, terwijl op win2k/xp het een service op de tcp stack is.

Overigens kunnen mensen met NT wel poort 135 blokkeren in de TCP properties, door TCP filtering aan te zetten en alleen die poorten te openen waar verbinding mee gemaakt moet worden. Poort 135 is bij mijn weten alleen interessant op intranets, niet op het internet, dus zo'n ramp is het afsluiten van poort 135 niet.

Verwijderd 28 maart 2003 17:14

de reden die hiervoor wordt opgegeven, is dat de architectuur van Windows NT 4.0 te beperkt is om een grote wijziging als deze door te kunnen voeren. De oplossing die Microsoft aanreikt is om een firewall te gebruiken en deze poort 135 te laten blokkeren. Dit lost echter nog niet alles op

eerlijk gezegd geloof ik er geen moer van. Toen ze nog volop patches schreven voor NT4 was alles te repareren, maar nu dat win2k en winxp de vlaggeschepen van microsoft zijn komen er opeens fouten aan het licht die niet te maken zijn in een oudere architectuur. Het lijkt mij eerder dat Microsoft geen mensen wil inzetten aan het uitbrengen van patches voor een besturingssysteem dat ze niet meer (willen) ondersteunen.

edit:

spelfouten

Weezer-DC @Verwijderd • 28 maart 2003 19:36

Weet jij wanneer NT 4.0 uitgebracht werd ?
YES, 1995, das al weer 8 jaar geleden...

Do I need to say more ?

Misschien niet de netste manier dit,
maarja, als je kijkt hoe snel de tijd in deze branch gaat....
En je kan als je dat perse wil echt nog wel het laten fiksen,
er zijn nog bedrijven die support hebben tot 2004,
daarna is dat ook niet meer mogelijk.

Maar de patch zal dan niet meer voor iedereen te downloaden zijn !

Verwijderd @Weezer-DC • 28 maart 2003 19:40

Ja, maar acht jaar geleden. Wat is nu acht jaartjes. Bij PLC's van Siemens S5 (die al 20 jaar bestaat), is dit jaar aangekondigd dat het een uitlopend produkt is en dat er nog maar 10 jaar support op te krijgen is.

Wat is dan acht jaar?

Helemaal niets, MS denkt alleen aan geld en niet aan service aan de klant, er zijn namelijk nog erg veel bedrijven die NT4 gebruiken en geen behoefte hebben aan een upgrade.

Palmboom @Verwijderd • 28 maart 2003 21:26

> Nu jij weer,
> * Weezer-DC houd wel van een leuke discussies

inkoppertje : Siemens SL5 is geen telefoon. Het is een PLC. Je hele verhaal slaat dus nergens op.

erikdenv @Verwijderd • 28 maart 2003 21:27

Nu jij weer,
* Weezer-DC houd wel van een leuke discussies

Weezer weet echter niet wat een PLC is, het is zeker geen telefoon

Het is een programmerbare aansturingskaart zoals veel in de industrie wordt gebruikt

SED @Verwijderd • 28 maart 2003 22:51

als ze geen behoefte hebben aan een upgrade waarom zo MS die dan maken?

Verwijderd @Verwijderd • 30 maart 2003 19:53

Een PLC is zeker geen telefoon, maar een stabiele (ja, ze gaan mischien maar 1 max 2 maal in hun leven plat), processor met een heleboel I/O kaarten, waarmee een process of bewerking wordt gerealiseerd.

Ik bedoel alleen maar aan te geven dat MS veel te snel hun produkten afschrijft. In de industrie, waar MS ook graag een speler op de markt wil zijn met bijvoorbeeld industrial SQL, is men er helemaal niet van gedient dat een produkt al na 8 jaar uit de running is.

Wij hebben afgelopen jaar bijvoorbeeld ons scada pakket(visualisatie van het process), dat in 1991 met DOS 5.1 is geinstalleerd, pas vervangen voor een pakket dat draait onder windows 2000. Het pakket was in 2002 net gereed voor windows 2000.

Zo zijn er ook bedrijven die hun servers voor het kantoor netwerk nog steeds met NT4 draaien, simpelweg omdat ze voldoen. Je kunt je klanten toch niet simpelweg in de kou laten staan? Ik begrijp zoiets niet. Dan komt bij mij gewoon de gedachte op van weinig klantvriendelijk.

Het hele verhaal van S5 is gewoon om het voorbeeld te verduidelijken.

Weezer-DC @Verwijderd • 28 maart 2003 20:18

Wat is 8 jaar in een mensen leven,
niet veel.
Maar 8 jaar in de computer branch is wel heel veel.
Toen zat gemiddeld iemand met een heuze "pentium" (100 mhz moet je dan aan denken).
Als je nu met een 100 mhz pc op een lan verschijnt (ik zeg maar wat, dit is strikt een voorbeeld) kijken ze stom verbaasd aan.
Als jij dan je duke nukem 3d opstart vallen ze helemaal plat van het lachen,
gewoon weg omdat het heel oud is !

Jij zegt dat er op die phone nog support is te krijgen,
zal ik jouw eens wat te vertellen,
als jij nu naar microsoft belt en zegt dat je support wil kopen,
dan kan je dat krijgen, tegen extra betaling,
want de 3 jaar supoort die je krijgt bij aankoop is natuurlijk al verstrekken.
En telefoons en pc zijn niet met elkaar te vergelijken.
Me oma, en vast niet de enige heeft nog zo'n oude draai telefoon,
die dingen zijn al 30 jaar oud,
maar toch kan ze er nog alles mee wat ik met mijn telefoon ook kan, bellen.

Nu jij weer,
* 786562 Weezer-DC

DaRealRenzel @Verwijderd • 29 maart 2003 00:37

Weezer-DC heeft bij mij nog steeds een rekening open staan voor 2 kabels.. Heeft die nooit betaald... 't is dat ik niet kan kicken.....

FirstStop @Verwijderd • 31 maart 2003 09:40

ehhh, nou kan ik me hier natuurlijk vergissen, maar wordt er dan niet een stuk HARDWARE vergeleken met SOFTWARE? PLC en NT 4.0?

Software ondersteuning is echt totaal niet te vergelijken met een stuk hardware met evt. aansturingssoftware voor de aansturing van processen in fabrieken of zoiets.

Gezien de nieuwe ontwikkelingen op connectivity gebied, allerlei nieuwe protocollen e.d., dan loopt een NOS als NT4 inmiddels enorm achter op bijvoorbeeld W2k. (IPsec, SMB en vele andere onderdelen) Ik kan me dus voorstellen dat MS niet meer wil investeren in patches die zeer veel geld kosten om te ontwikkelen. Zeker als het voor de klant inmiddels een zeer goede optie is om te upgraden naar w2k

Verwijderd @Weezer-DC • 29 maart 2003 00:47

Weet jij wanneer NT 4.0 uitgebracht werd ?
YES, 1995, das al weer 8 jaar geleden...

Ah, goed dat je dat weet, dan weet je vast ook ze met de licentie vastgelegd hebben tot wanneer ze support (inclusief hotfixes) leveren. En nee, dat is niet 26 Maart 2003!

Dan moet je niet gaan mieten dat het 'te moeilijk' is, zeker omdat dat ongeloofwaardig is omdat Win2000 en WinXP op dezelfde architectuur gebouwd zijn, want dat is pure contractbreuk.

Heel typisch dat dit nou weer precies samen moet vallen met het 'gold' gaan van Windows 2003... makes you wonder.

Verwijderd @Weezer-DC • 28 maart 2003 22:06

Weet jij wanneer NT 4.0 uitgebracht werd ?
YES, 1995, das al weer 8 jaar geleden...

Do I need to say more ?

ja graag, want ik zie de reden om het niet te patchen nog niet....

Misschien niet de netste manier dit,

dat hangt er natuurlijk vanaf, ik geloof ze niet, maar dat zegt niet dat ze liegen. Het is natuurlijk goed mogelijk dat ze weldegelijk de waarheid vertellen en ik het fout heb.

maarja, als je kijkt hoe snel de tijd in deze branch gaat....
En je kan als je dat perse wil echt nog wel het laten fiksen,
er zijn nog bedrijven die support hebben tot 2004,
daarna is dat ook niet meer mogelijk.

Maar de patch zal dan niet meer voor iedereen te downloaden zijn !

ok ik kan inzien dat bedrijven hun product tot een beperkte tijd ondersteunen, dat is ook logisch gezien je niet je hele bestaan met 1 product bezig kan zijn.

...MAAR....

8 jaar geleden is een zeer groot deel van de industrie overgestapt naar windows NT 4.0, die industrie heeft zich op dat product geworpen, systemen voor gebouwt enz enz enz.
Veel van die bedrijven draaien nu nogsteeds NT 4.

reden om nogsteeds NT4 te draaien is simpel : waarom moet een goed draaiend iets vervangen worden?

Als je een unix/linux systeem opbouwt en dat draait na veel werken en investeren precies zoals je wilt, waarom zou je het dan gaan vervangen.

MS heeft 8 jaar geleden NT4 neergezet als een "bijna" realtime OS, dat heeft ertot geleid dat bedrijven dat aanschaften gezien er weinig beters was op dat moment.

Voorbeeld van een Bedrijf dat gebruik maakt van NT4? : De Postbank, alle pinautomaten in Nederland draaien op NT4. Ik zie dat nog niet snel naar windows 2000 of windows XP veranderen, kost gewoon veel te veel.

[Roland] @Weezer-DC • 31 maart 2003 10:29

Windows NT 4.0 is op 26 augustus 1996 uitgekomen. Oftewel 6 jaar en 7 maanden oud.

maar dat is niet interresant, windows 2000 kwam pas in eind 99 in de winkels, en dat is iets meer dan 3 jaar geleden, heb je zelfs begin 2000 nog windows server aangeschaft dan zul je waarschijnlijk ook nog voor windows NT 4.0 gekozen hebben.

Je praat over een produkt wat 3 jaar geleden nog vol op verkocht werd en waar nu al geen patches meer voor uit komen.

Spijt me wel, maar dit doet Microsoft niet goed.

Verwijderd @Verwijderd • 28 maart 2003 18:14

Jup, absoluut een smoes. Een tijdje geleden stond al op T.net dat ze van NT4 af willen omdat Samba volledig compatible is. Microsoft wil volledig over op Active Directory en een nieuwe versie van SMB om op Samba voor te blijven, maar bedrijven die nog altijd NT4 blijven draaien staan hierin in de weg.

Dus ze willen van NT4 af en zetten alle zeilen bij.

EfBe @Verwijderd • 28 maart 2003 18:34

Jup, absoluut een smoes.

Dat impliceert dat NT WEL makkelijk te fixen is maar ze dat om redenen die jij kennelijk kent niet doen.

Ik zou dan wel graag willen weten wat jij weet en ik bv niet omtrent de structuur van NT en hoe MS het toch makkelijk kan fixen. Immers, jij geeft aan dat het een smoes is.

jp @EfBe • 28 maart 2003 18:46

Er is een verschil tussen iets dat te fixen is, en iets dat makkelijk te fixen is.

Ik ben er van overtuigd dat het te fixen is... maar of iets makkelijk te fixen is... daar heb je als klant in principe sch**t aan.

EfBe @EfBe • 29 maart 2003 13:52

Het is een microkernel, het gedeelte dat de bug bevat maakt daar geen deel van uit. De microkernel van NT en Win2k verschillen overigens ook al flink, en omdat het gedeelte dat de bug bevat buiten de microkernel valt, is je argument dus niet waar.

berend_engelbrecht @EfBe • 29 maart 2003 00:17

De structuur (kernel) van Windows NT is vrijwel hetzelfde als die van Windows 2000 en XP (feitelijk zijn dat Windows NT 5.0 en 5.1). Dat feit maakt het verhaal dat Windows 2000 en XP wel te fixen zijn en NT niet behoorlijk onwaarschijnlijk.

arnova @Verwijderd • 28 maart 2003 17:20

Sterker nog ik denk zelfs dat Microsoft dit doet om te kunnen verdienen aan (veel) extra nieuwe licenties XP & 2K. Bedrijven die betrouwbare machines willen hebben zullen namelijk wel moeten overstappen, en dat is ook de gedachtegang van Microsoft, lijkt mij.

mjtdevries @Verwijderd • 28 maart 2003 17:16

Op zich helemaal niet vreemd dat ze zo'n oud OS niet meer blijven patchen.

Maar dit lijkt inderdaad een rotsmoesje...

PjotrX 28 maart 2003 17:13

Ik heb gehoort dat NT nog alleen maar als printerserver wordt gebruikt.
Volgens is dit niet zo erg omdat iedereen toch w2k of linux als server heeft.

Verwijderd @PjotrX • 28 maart 2003 20:04

bij netwerkbeveiliging gaat het om het concept van _HEEL_ het netwerk veilig te hebben, een ketting is zo sterk als zijn zwakste schakel remember, als er ook maar 1 vulnerable hosts op het netwerk compromised geraakt, kan die gebruikt worden om te sniffen en als bodem om attacks uit te voeren tegen andere hosts. printserver of niet...

CycloneX 28 maart 2003 17:07

Bedrijven stappen massaal over naar een Windows 2000 omgeving

pstalman @CycloneX • 28 maart 2003 17:12

bedrijven klagen massaal MS aan, omdat hun bedrijfsproces niet 100% zeker meer is/was.

[overbodig?? lol er zijn nog zoveel bedrijfen die nt4 gebruiken omdat ze gewoon niet over kunnen gaan door specifieke software/hardware, die nu dus niet verder kunnen, echt duidelijke vorm van monopolie]

Apache @pstalman • 28 maart 2003 17:14

Studenten op scholen met NT 4 hebben vrijaf. Microsoft beweert dat onderwijs niet nodig is om een os te schrijven.

Verwijderd 28 maart 2003 23:08

ik heb zo het bange vermoeden dat dit nog wel eens een staartje zou kunnen krijgen.
Wij tweakers hebben natuurlijk gewoon netjes betaald voor onze win2k of Xp versie

maar wat ik hier nog niet gezien heb is :
stell je bent een bedrijf met laten we zeggen
10:000 werkplekken (neem philips bijvoorbeeld)
dat "upgrade " je niet in een achteraf middagje op vrijdag.
Nu kun je wel zeggen : "ja hallo hoe lang is win2k of XP er nu al ,als ze nu nog niet over zijn dikke bult" maar zo makkelijk is het niet. Het bedrijf mag gewoon niet plat allles moet gewoon doorgaan. dus dat traject duurt langer . Nu is het ineens NOODZAKELIJK om over te stappen aangezien er een behoorlijke bug in zit. Voor dit soort hele grote bedrijven zijn er destijds natuurlijk wel hele "dichte" afsprekan gemaakt en mickeysoft gaat daar nu met een pennestreek aan voorbi. Dat gaan een aantal mensen niet leuk vinden, endan heb ik het nog niet eens over de systeembeheerders. Let maar op mijn woorden, het aantal bedrijven dat een claim in gaat dienen is groter dan wij nu denken

Verwijderd @Verwijderd • 30 maart 2003 03:43

Ach kap nou, man. Hoe lang loopt MS nu al te zeggen dat ze de support van NT4 gaan terugschroeven? Als je dan na ettelijke maanden (als het al geen jaar is) nog steeds zo'n plank voor je kop hebt en nog niet eens minstens hebt nagedacht over hoe je dat zelf kunt gaan oplossen door bijvoorbeeld upgraden naar 2000, dan is dat je eigen schuld, want je hebt het aan kunnen zien komen. Doe nou niet alsof dit een donderslag bij heldere hemel is.

Je kunt best wel gaan smijten met claims, maar in feite ben je zelf gewoon zo naief om te denken dat een oud systeem tot in lengte van dagen aan verwachtingen blijft voldoen. De wereld draait verder, y'know. Hackers zitten ook niet stil, er komen nu dingen aan het licht die vroeger nooit bedacht waren, en je kunt niet eeuwig door blijven draaien op hard- en software. 8 jaar is ancient technology (Windows AT?

) in IT-land.

Verwijderd 28 maart 2003 17:22

Waarom zouden ze de moeite nemen om NT4 te fixen als windows 2003 server voor de deur staat om uit te komen.

Het is gewoon een manier om de klanten die nu nog NT4 server draaien (vaak omdat ze niet anders kunnen door de applicaties die er op draaien) uit te roken en over te laten stappen naar een nieuwe versie van het OS.

Aan patches verdien je niets maar aan een nieuwe licentie wel

Maar de geboden oplossing van een firewall zou een heel aantal problemen met windows server versies wel oplossen zoals laatst het sql server foutje.

Als je die firewall dan tenminste wel dicht zet.

maartena 28 maart 2003 19:06

te beperkt kun je vervangen door:
te duur.

Ontwikkellen kunnen ze best wel voor NT4.0, maar aangezien ze willen dat iedereen overstapt op Windows 2000 Server en het vandaag gelanceerd Windows 2003 Server denk ik dat het meer een financiele/organisatorische beslissing is dan een technische....

Verwijderd 28 maart 2003 19:40

Wie herinnert zich nog de Microsoft LinuxMyths pagina van een aantal jaar geleden.

http://www.tweakers.net/nieuws/5859/?highlight=Windows+NT+vs+Linux

Daarin werdt de Linux beveiliging als zwak afgeschilderd, de stabiliteit afgedaan als een Mythe, enz.

Nu zijn we een aantal jaar verder en kunnen we de balans op maken.

Linux 2.2 is nog steeds ontzettend stabiel, hij ondersteund niet alle hardware meer, en veel onderdelen zijn in 2.4 aanzienlijk verbeterd maar voor bepaalde dingen werkt het nog uitstekend.

In Linux 2.0 en 2.2 worden nog steeds beveiligings fouten verholpen. Laatst is Linux 2.2.25 uitgekomen waarin een Local Root exploit wordt verholpen.

Ik draai op een Internet Router nog steeds Linux 2.2

Al is de leugen nog zo snel de waarheid achterhaalt hem wel.

Verwijderd 28 maart 2003 22:46

Je zult maar een mail/web/ftp-server op een colo hebben staan die NT4 draait (hebben wij), en die je niet zo 1-2-3 op Win2K over kunt zetten...

Ik heb voorlopig poort 135 maar uitgezet (met PortBlocker van AnalogX, werkt een stuk handiger dan TCP filtering van NT), maar het is nu wel heel duidelijk: NT4 is uitgerangeerd.

Ploink 29 maart 2003 08:24

Dit soort truken hebben ze wel vaker uitgehaald.
Ooit had ik win95 die crashte als ie uit suspend kwam vanwege een bug in de tcp stack. In de Microsoft knowledge base lees je dan "Microsoft is aware of the problem. A fix is available internally, but will not be released to the public. Please upgrade to windows 98".

Op dit item kan niet meer gereageerd worden.

Ontwerp Windows NT4.0 te beperkt om veilig te krijgen

Lees meer

Reacties (43)

Sorteer op:

Weergave: