Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties
Bron: Reuters

Beveiligingsexperts waarschuwen voor een nieuwe uitbraak van het Blaster-virus dat in augustus ook al voor veel overlast zorgde. Donderdag maakte Microsoft namelijk melding van een nieuw lek in de RPC-service die eerder ook al doelwit was van Blaster. De kans is dan ook groot dat het Blaster-virus aangepast zal worden om misbruik te maken van het nieuwe lek, dat overigens alleen voorkomt in de op NT-gebaseerde Windows-versies. Blaster infecteerde al meer dan een half miljoen pc's en zorgde voor veel overlast. Waar dit virus zich echter relatief langzaam verspreidde en weinig schade aanrichtte, wordt gevreesd dat een eventueel nieuw virus wl veel schade aan zal richten. Het advies is dan ook om kwetsbare systemen snel te patchen en de virusscanner up-to-date te houden. Intussen slaat Microsoft's Trusted Computing Initiative, dat bijna twee jaar geleden in het leven geroepen werd om Microsoft's software veiliger te maken, met al de recente virusuitbraken een slecht figuur:

Aankondigingspic pc met doodshoofdPart of the problem is Microsoft researchers are accustomed to testing software to make sure features work, not to try to break it or find holes, said Chris Wysopal, research direct of consultancy AtStake. "There is a cultural shift that has to happen with software testers," he said. "I don't think that shift has really happened anywhere yet."

The only way to force Microsoft, and other software makers, to write software with fewer holes is to hold them legally liable for problems that result from faulty applications, the experts agreed. "You have to give the incentives to fix the problem," said Schneier. "These attacks are all due to programming errors that are exploited by an attacker."
Moderatie-faq Wijzig weergave

Reacties (50)

En of dat nieuwe blaster virus werkt :(

Windows2003 webservers hebben er zeker last van, en dat was al voor de officiele waarschuwing uit was. Er was al een patch, maar sinds de bekend making op de 10e (meen ik) was er al trammelant.

mijn aanraden, als de bliksem die patch downloaden :Y)
Of toch maar eens iets anders dan MS overwegen :). Sinds ik mn ms server heb omgewisseld voor een linux server slaap ik zoveel rustiger ;)
Totdat iedereen dat doet en de meeste virussen voor Linux gemaakt worden
Voor de slimmerds die er genoeg van hebben gehad en denken gewoon ff hun RPC service op disabled te zetten via Services en dan van al het gedoe af te zijn, dat werkt heel goed, zo goed zelfs dat je halve OS niet meer functioneerd :+
je kan dit gewoon doen in services zonder dat je een waarschuwing krijgt maar als je het eenmaal uit zet dan kan je het NOOIT meer via Services aan zetten omdat dat configuratie windowtje heel toevallig gebruikt maakt van RPC...
ook bv op de command line 'net start Remote Procedure Call' doen werkt niet meer.

enige optie die over blijft is het weer enabelen via je registry.

denk eer gij handelt ;)
De worm zet de RPC-service niet op disabled maar 'killed' rpcss.exe (RPCservice). Aangezien z'n beetje alle services van RPC afhankelijk zijn, gaat je OS een disablede RPC dus niet trekken inderdaad.

Dit zijn geen slimmerds, eerder Blaster in menselijke vorm. :D
Even een vraagje:

Is het voor ISP's nou zo moeilijk om buitenproportioneel verkeer op die RPC poort te detecteren en de poort automatisch dicht te laten slaan?
dan ben je een waardeloze ISP, zonnet ofzo deed zo;n actie de laatste keer dat. Je kunt als leverancier van internet toch niet ineens een aantal poorten voor elke kant dicht zetten. Voor individuele is het natuurlijk veel te duur voor de ISP.
Idd
En als je alle poorten dichttimmert die door trojans en virussen gebruikt worden blijft er ook niet echt veel over van internet.
Maar waar Meneer Dik naar refereerde is het op basis van het verkeer dat door een bepaalde poort stroomt bepalen of er een virus/trojan aan de gang is. En als dat het geval is, de poort tijdelijk sluiten.
Een dergelijke oplossing bestaat (ben alleen de naam ff kwijt). En wordt ook door veel bedrijven tegepast. Echter, een ISP heeft zoveel data te verwerken dat het volgens mij boor hun niet betaalbaar is om een dergelijk systeem in te voeren.
@Jan de Groot
Als je iets gaat implementeren, dan is dat natuurlijk wel iets dat het liefst tegen alle virussen werkt. Dus de scanner moet ook de wat moeilijker te herkennen virus verkeer op kunnen sporen. + dat je als ISP vaak grote hoeveelheden data te verwerken hebt. Om dit allemaal geanalyseerd te krijgen heb je toch aardige bakbeesten nodig die een flinke duit kosten.
En wat heb je dan bereikt? Een stukje klantenservice? Gegarandeerd dat je dan klachten krijgt omdat of bepaalde datastromen niet doorgelaten worden of omdat ie een bepaald virus toch nog doorgelaten heeft. Kortom nog meer zorgen :P
Dat virus is heel makkelijk te detecteren, op school ging ik met een sniffer aan de slag en gaf ik de nummers door aan de sysbeheerder die vervolgens de overgebleven bakken ging patchen :P

arp who has 141.252.0.1 tell xxx.xxx.xxx.xxx
arp who has 141.252.0.2 tell xxx.xxx.xxx.xxx
arp who has 141.252.0.3 tell xxx.xxx.xxx.xxx
arp who has 141.252.0.4 tell xxx.xxx.xxx.xxx
arp who has 141.252.0.5 tell xxx.xxx.xxx.xxx
[..]
arp who has 141.252.255.255 tell xxx.xxx.xxx.xxx

en dan was xxx.xxx.xxx.xxx duidelijk een blaster bot geworden :P
nee hoor, Chello heeft gewoon de poort die die RPC exploit gebruikte helemaal dichtgetimmert :Y)
Is het voor ISP's nou zo moeilijk om buitenproportioneel verkeer op die RPC poort te detecteren en de poort automatisch dicht te laten slaan?
moeilijk? theoretisch gezien absoluut niet.... maar een dergelijke filter actie vergt buitenproportioneel veel resources van je netwerk componenten. En bij ISP's gaat dat om velen megabytes per seconde.

daarnaast is het domweg niet de taak van de ISP om z'n gebruikers in bescherming te nemen, een ISP dient alleen alle verkeer door te geven naar de eindbestemming, de gebruiker is ten alle tijden verantwoordelijk voor z'n eigen beveiliging.

daarnaast zijn een hoop ISP klanten als grote bedrijven absoluut niet blij als je zoiets doet als ISP, omdat het ook bepaalde bedrijfsprocessen in de weg kan zitten, wat per minuut een hoop geld kan kosten.
Hmz. Ik meld dit al 2(!) dagen geleden in de newsubmit.. *niets*. Nu staat hetzelfde op reuters: 'Groot nieuws, pas op, nieuwe blaster mogelijk!'. Dan vraag ik me een beetje af of die submit queu uberhaupt wel bekeken wordt binnen redelijke tijd.

For the curious: De patch as dus al 3 dagen geleden beschikbaar en Symantec maakte eergisteren al melding over het feit dat Blaster zeer makkelijk aangepast kon worden voor deze nieuwe exploit.
Ik had het ook al in de submit gezet, maar ik kan wel begrijpen dat ze niet alle veiligheidslekken in windows gaan posten, wordt saai op een gegeven moment. :Y)
The only way to force Microsoft, and other software makers, to write software with fewer holes is to hold them legally liable for problems that result from faulty applications, the experts agreed. "You have to give the incentives to fix the problem," said Schneier. "These attacks are all due to programming errors that are exploited by an attacker."
Ik daag die experts uit een bugloos systeem ten grootte van Windows te schrijven.

Bugloos schrijven is onmogelijk. Als je zo gaat doen is binnen afzienbare tijd elk softwarehuis op de planeet failliet (aangeklaagd voor bugs) en wordt er helemaal geen software meer gemaakt.

Fantastisch plan!
Dan kan niemand dus zeggen dat zijn OS 100% veilig is, aangezien blijkbaar niemand de absolute garantie kan geven dat er geen fouten in zitten. Utopische gedachte dus om te denken dat wie dan ook een compleet foutloos OS kan schrijven. Geldt natuurlijk net zo goed voor nietOS-software.
Joepie, dan daar gaan we weer. Op naar de volgende patch :+
Waarschijnlijk zal het niet zo groots zijn als de eerste 'uitbraak'. De meesten hebben (hopelijk) al gepatched.
De meesten hebben (hopelijk) al gepatched.
Dit is een andere patch, dus het hele verhaal begint gewoon opnieuw zodra de eerste gladiool een virus bij elkaar geklikt heeft.
Nee. De patch is er al.
Op naar het volgens virus wat op basis van deze informatie is geschreven en mensen aanvalt die deze patch nog niet gedraait hebben.

Zodra Microsoft een patch uitbrengt neemt de kans op een nieuw virus gigantische toe.
Hmm, is dit nu een bug in een bug patch?
Nee, als je de eerste patch niet geinstalled heb, heb je nu 2 bugs in je RPC zitten.
Weer fout.. Als je deze twee patches niet hebt geinstalleerd, dan heb je waarschijnlijk 20 bugs in RPC, waarvan inmiddels twee gevonden. :+

Bugs zijn ook bugs voordat ze ondekt worden.
DCOM uitschakelen zou toch opzich voldoende moeten zijn? Dan heb je iig geen last meer van Blaster gerelateerde virussen, verbeter me als ik het mis heb.
In de tekst staat toch dat het om de RPC service gaat, en windows kan niet zonder deze service.
ik vind dit geval een slechte zaak. Men weet dat de RPC gaten had en die heeft men toen gedicht, da's ok. Maar waarom dan niet even verder kijken dan de neus lang is en *voor de zekerheid* effe checken of het betreffende gebeuren nog meer (soort gelijke) problemen kan hebben?

hier stond laats toch ook nog ergens in een topic dat als programmeur a een bug had in zijn code dat *al* zijn code zou worden nagelopen? Weet niet meer of dit nu mij MS was of bij een ander bedrijf.
Wellicht hebben ze wel even verder gekeken dan de neus lang is en is dat de reden dat ze binnen redelijk korte tijd een volgende vulnerability hebben gevonden EN gefixed.
"The only way to force Microsoft, and other software makers, to write software with fewer holes is to hold them legally liable for problems that result from faulty applications."

Compleet mee eens. Als commercieel bedrijf zoek je altijd de grenzen van het toelaatbare op. Tijd om die grens aan te geven. Blaster is geen gevaarlijk virus, maar wat nou als het dat wel zou zijn? Laten we wel wezen, de maker is hier de schuldige en kan aangeklaagd worden voor nalatigheid. Als bij een of ander automerk de airbag bij aanschaf niet zou werken kan ik me moeilijk voorstellen dat je de schade niet zou kunnen verhalen. Dus hier mag ook geen uitzondering zijn, wat er ook in die EULA staat.
Een auto rij je niet expres tegen de boom aan om te kijken of de airbag het wel of niet doet (toegegeven ze proberen het wel met een paar) en een exploit wordt wel opzettelijk misbruikt.

Eigenlijk is de misbruiker strafbaar omdat die een aktie heeft ingezet wel gevolgschade heeft gehad.

Dat je het lek vind en kan misbruiken, houdt niet in dat je het moet misbruiken. Hooguit dat je het moet melden. Als microsoft daar niet snel op reageert dan zouden ze misschien aansprakelijk te stellen zijn ivm nalatigheid.
Wie is er nou het meest verantwoordelijk voor schade?

Degene die ondeugdelijke producten op de markt brengt of degene die misbruik van de gebreken maakt?

Alle personen die Win9X gebruiken of Unix hadden nergens last van met Blaster. Alleen de hele NT reeks lijkt lek te zijn.

Wat is er dan waar van de verscherpte controle op fouten en wat is er waar aan de berweringen van MS dat Windows 2000(XP) en 2003 server van de grond af aan opnieuw geschreven zijn. Alle beide (drie?) hadden de fatale bug zo 1 op 1 geerfd uit Windows NT 4.

MS neemt hun vertwoordelijkheid als dominante OS en Applicatie leverancier niet serieus, dus een beetje "incentive" om dat wel te doen zou welkom zijn.
Dacht jij dan dat er met die verscherpte controle ineens plotsklaps vanaf dat moment ALLE regels code van Win2003 gecontroleerd zouden zijn?

Dat is niet erg realistisch vind je wel?
Het lek waar Blaster misbruik van maakte was juist gevonden door de verscherpte controles... dat 99% van de gebruikers vervolgens te beroerd is om de patch te installeren is IMO niet de schuld van Microsoft.
wat is er waar aan de berweringen van MS dat Windows 2000(XP) en 2003 server van de grond af aan opnieuw geschreven zijn.
De kernel van de NT5 reeks is inderdaad van de grond af opnieuw opgebouwd. RPC is echter een service en die heeft dus niets met de kernel te maken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True