MS waarschuwt voor eventuele nieuwe Blaster-aanval

Beveiligingsexperts waarschuwen voor een nieuwe uitbraak van het Blaster-virus dat in augustus ook al voor veel overlast zorgde. Donderdag maakte Microsoft namelijk melding van een nieuw lek in de RPC-service die eerder ook al doelwit was van Blaster. De kans is dan ook groot dat het Blaster-virus aangepast zal worden om misbruik te maken van het nieuwe lek, dat overigens alleen voorkomt in de op NT-gebaseerde Windows-versies. Blaster infecteerde al meer dan een half miljoen pc's en zorgde voor veel overlast. Waar dit virus zich echter relatief langzaam verspreidde en weinig schade aanrichtte, wordt gevreesd dat een eventueel nieuw virus wél veel schade aan zal richten. Het advies is dan ook om kwetsbare systemen snel te patchen en de virusscanner up-to-date te houden. Intussen slaat Microsoft's Trusted Computing Initiative, dat bijna twee jaar geleden in het leven geroepen werd om Microsoft's software veiliger te maken, met al de recente virusuitbraken een slecht figuur:

Aankondigingspic pc met doodshoofdPart of the problem is Microsoft researchers are accustomed to testing software to make sure features work, not to try to break it or find holes, said Chris Wysopal, research direct of consultancy AtStake. "There is a cultural shift that has to happen with software testers," he said. "I don't think that shift has really happened anywhere yet."

The only way to force Microsoft, and other software makers, to write software with fewer holes is to hold them legally liable for problems that result from faulty applications, the experts agreed. "You have to give the incentives to fix the problem," said Schneier. "These attacks are all due to programming errors that are exploited by an attacker."

Door Diederick Janse

Nieuwsposter

Feedback • 12-09-2003 23:23 50

12-09-2003 • 23:23

50

Bron: Reuters

Lees meer

Eerste virus ontdekt voor Windows CE
Eerste virus ontdekt voor Windows CE Nieuws van 17 juli 2004
Microsoft verstuurt gratis Windows Security Update CD
Microsoft verstuurt gratis Windows Security Update CD Nieuws van 18 februari 2004
Tot vijftien jaar cel mogelijk voor maker Blaster-variant
Tot vijftien jaar cel mogelijk voor maker Blaster-variant Nieuws van 20 januari 2004
CA biedt consument gratis anti-virussoftware
CA biedt consument gratis anti-virussoftware Nieuws van 19 november 2003
Miljoen Nederlanders hadden afgelopen kwartaal een virus
Miljoen Nederlanders hadden afgelopen kwartaal een virus Nieuws van 4 oktober 2003
Nederland staat vaker aan de basis van een virusuitbraak
Nederland staat vaker aan de basis van een virusuitbraak Nieuws van 1 oktober 2003
Opnieuw arrestatie wegens Blaster-worm
Opnieuw arrestatie wegens Blaster-worm Nieuws van 27 september 2003
Experts wijzen Blasterworm aan als factor in stroomuitval
Experts wijzen Blasterworm aan als factor in stroomuitval Nieuws van 1 september 2003
Meer informatie over verdachte in Blaster-zaak
Meer informatie over verdachte in Blaster-zaak Nieuws van 30 augustus 2003
FBI gaat vermoedelijke maker van Blaster-worm arresteren
FBI gaat vermoedelijke maker van Blaster-worm arresteren Nieuws van 29 augustus 2003
Microsoft slaat aanval van Blaster-virus af
Microsoft slaat aanval van Blaster-virus af Nieuws van 17 augustus 2003
Nieuwe worm maakt razendsnel misbruik van lek in RPC
Nieuwe worm maakt razendsnel misbruik van lek in RPC Nieuws van 12 augustus 2003
Meer producten en artikelen
Software

Reacties (50)

-Moderatie-faq
50
47
32
13
4
4
Wijzig sortering
Barreljan 13 september 2003 00:02
En of dat nieuwe blaster virus werkt :(

Windows2003 webservers hebben er zeker last van, en dat was al voor de officiele waarschuwing uit was. Er was al een patch, maar sinds de bekend making op de 10e (meen ik) was er al trammelant.

mijn aanraden, als de bliksem die patch downloaden :Y)
Superstudent @Barreljan13 september 2003 01:49
Of toch maar eens iets anders dan MS overwegen :). Sinds ik mn ms server heb omgewisseld voor een linux server slaap ik zoveel rustiger ;)
mjtdevries @Superstudent13 september 2003 13:53
Totdat iedereen dat doet en de meeste virussen voor Linux gemaakt worden
GiLuX 13 september 2003 01:53
Voor de slimmerds die er genoeg van hebben gehad en denken gewoon ff hun RPC service op disabled te zetten via Services en dan van al het gedoe af te zijn, dat werkt heel goed, zo goed zelfs dat je halve OS niet meer functioneerd :+
je kan dit gewoon doen in services zonder dat je een waarschuwing krijgt maar als je het eenmaal uit zet dan kan je het NOOIT meer via Services aan zetten omdat dat configuratie windowtje heel toevallig gebruikt maakt van RPC...
ook bv op de command line 'net start Remote Procedure Call' doen werkt niet meer.

enige optie die over blijft is het weer enabelen via je registry.

denk eer gij handelt ;)
Verwijderd @GiLuX13 september 2003 15:36
De worm zet de RPC-service niet op disabled maar 'killed' rpcss.exe (RPCservice). Aangezien zó'n beetje alle services van RPC afhankelijk zijn, gaat je OS een disablede RPC dus niet trekken inderdaad.

Dit zijn geen slimmerds, eerder Blaster in menselijke vorm. :D
Verwijderd 12 september 2003 23:38
Even een vraagje:

Is het voor ISP's nou zo moeilijk om buitenproportioneel verkeer op die RPC poort te detecteren en de poort automatisch dicht te laten slaan?
nAFutro @Verwijderd12 september 2003 23:42
dan ben je een waardeloze ISP, zonnet ofzo deed zo;n actie de laatste keer dat. Je kunt als leverancier van internet toch niet ineens een aantal poorten voor elke kant dicht zetten. Voor individuele is het natuurlijk veel te duur voor de ISP.
Verwijderd @nAFutro13 september 2003 00:04
Idd
En als je alle poorten dichttimmert die door trojans en virussen gebruikt worden blijft er ook niet echt veel over van internet.
Maar waar Meneer Dik naar refereerde is het op basis van het verkeer dat door een bepaalde poort stroomt bepalen of er een virus/trojan aan de gang is. En als dat het geval is, de poort tijdelijk sluiten.
Een dergelijke oplossing bestaat (ben alleen de naam ff kwijt). En wordt ook door veel bedrijven tegepast. Echter, een ISP heeft zoveel data te verwerken dat het volgens mij boor hun niet betaalbaar is om een dergelijk systeem in te voeren.
Verwijderd @Verwijderd13 september 2003 00:30
@Jan de Groot
Als je iets gaat implementeren, dan is dat natuurlijk wel iets dat het liefst tegen alle virussen werkt. Dus de scanner moet ook de wat moeilijker te herkennen virus verkeer op kunnen sporen. + dat je als ISP vaak grote hoeveelheden data te verwerken hebt. Om dit allemaal geanalyseerd te krijgen heb je toch aardige bakbeesten nodig die een flinke duit kosten.
En wat heb je dan bereikt? Een stukje klantenservice? Gegarandeerd dat je dan klachten krijgt omdat of bepaalde datastromen niet doorgelaten worden of omdat ie een bepaald virus toch nog doorgelaten heeft. Kortom nog meer zorgen :P
_JGC_ @Verwijderd13 september 2003 00:08
Dat virus is heel makkelijk te detecteren, op school ging ik met een sniffer aan de slag en gaf ik de nummers door aan de sysbeheerder die vervolgens de overgebleven bakken ging patchen :P

arp who has 141.252.0.1 tell xxx.xxx.xxx.xxx
arp who has 141.252.0.2 tell xxx.xxx.xxx.xxx
arp who has 141.252.0.3 tell xxx.xxx.xxx.xxx
arp who has 141.252.0.4 tell xxx.xxx.xxx.xxx
arp who has 141.252.0.5 tell xxx.xxx.xxx.xxx
[..]
arp who has 141.252.255.255 tell xxx.xxx.xxx.xxx

en dan was xxx.xxx.xxx.xxx duidelijk een blaster bot geworden :P
Verwijderd @Verwijderd12 september 2003 23:42
nee hoor, Chello heeft gewoon de poort die die RPC exploit gebruikte helemaal dichtgetimmert :Y)
arjankoole @Verwijderd13 september 2003 00:08
Is het voor ISP's nou zo moeilijk om buitenproportioneel verkeer op die RPC poort te detecteren en de poort automatisch dicht te laten slaan?
moeilijk? theoretisch gezien absoluut niet.... maar een dergelijke filter actie vergt buitenproportioneel veel resources van je netwerk componenten. En bij ISP's gaat dat om velen megabytes per seconde.

daarnaast is het domweg niet de taak van de ISP om z'n gebruikers in bescherming te nemen, een ISP dient alleen alle verkeer door te geven naar de eindbestemming, de gebruiker is ten alle tijden verantwoordelijk voor z'n eigen beveiliging.

daarnaast zijn een hoop ISP klanten als grote bedrijven absoluut niet blij als je zoiets doet als ISP, omdat het ook bepaalde bedrijfsprocessen in de weg kan zitten, wat per minuut een hoop geld kan kosten.
ShadowLord 13 september 2003 00:14
Hmz. Ik meld dit al 2(!) dagen geleden in de newsubmit.. *niets*. Nu staat hetzelfde op reuters: 'Groot nieuws, pas op, nieuwe blaster mogelijk!'. Dan vraag ik me een beetje af of die submit queu uberhaupt wel bekeken wordt binnen redelijke tijd.

For the curious: De patch as dus al 3 dagen geleden beschikbaar en Symantec maakte eergisteren al melding over het feit dat Blaster zeer makkelijk aangepast kon worden voor deze nieuwe exploit.
cc bcc @ShadowLord13 september 2003 02:09
Ik had het ook al in de submit gezet, maar ik kan wel begrijpen dat ze niet alle veiligheidslekken in windows gaan posten, wordt saai op een gegeven moment. :Y)
BoomSmurf 13 september 2003 11:35
The only way to force Microsoft, and other software makers, to write software with fewer holes is to hold them legally liable for problems that result from faulty applications, the experts agreed. "You have to give the incentives to fix the problem," said Schneier. "These attacks are all due to programming errors that are exploited by an attacker."
Ik daag die experts uit een bugloos systeem ten grootte van Windows te schrijven.

Bugloos schrijven is onmogelijk. Als je zo gaat doen is binnen afzienbare tijd elk softwarehuis op de planeet failliet (aangeklaagd voor bugs) en wordt er helemaal geen software meer gemaakt.

Fantastisch plan!
Verwijderd @Verwijderd13 september 2003 15:31
Dan kan niemand dus zeggen dat zijn OS 100% veilig is, aangezien blijkbaar niemand de absolute garantie kan geven dat er geen fouten in zitten. Utopische gedachte dus om te denken dat wie dan ook een compleet foutloos OS kan schrijven. Geldt natuurlijk net zo goed voor nietOS-software.
T_Spirit 12 september 2003 23:27
Joepie, dan daar gaan we weer. Op naar de volgende patch :+
Waarschijnlijk zal het niet zo groots zijn als de eerste 'uitbraak'. De meesten hebben (hopelijk) al gepatched.
_-= Erikje =-_ @T_Spirit12 september 2003 23:40
De meesten hebben (hopelijk) al gepatched.
Dit is een andere patch, dus het hele verhaal begint gewoon opnieuw zodra de eerste gladiool een virus bij elkaar geklikt heeft.
mjtdevries @T_Spirit13 september 2003 12:37
Nee. De patch is er al.
Op naar het volgens virus wat op basis van deze informatie is geschreven en mensen aanvalt die deze patch nog niet gedraait hebben.

Zodra Microsoft een patch uitbrengt neemt de kans op een nieuw virus gigantische toe.
Mijne 12 september 2003 23:38
Hmm, is dit nu een bug in een bug patch?
Verwijderd @Mijne13 september 2003 00:32
Nee, als je de eerste patch niet geinstalled heb, heb je nu 2 bugs in je RPC zitten.
scsirob @Verwijderd13 september 2003 10:37
Weer fout.. Als je deze twee patches niet hebt geinstalleerd, dan heb je waarschijnlijk 20 bugs in RPC, waarvan inmiddels twee gevonden. :+

Bugs zijn ook bugs voordat ze ondekt worden.
Verwijderd 12 september 2003 23:46
DCOM uitschakelen zou toch opzich voldoende moeten zijn? Dan heb je iig geen last meer van Blaster gerelateerde virussen, verbeter me als ik het mis heb.
Verwijderd @Verwijderd13 september 2003 00:34
In de tekst staat toch dat het om de RPC service gaat, en windows kan niet zonder deze service.
Spunx 13 september 2003 00:43
"The only way to force Microsoft, and other software makers, to write software with fewer holes is to hold them legally liable for problems that result from faulty applications."

Compleet mee eens. Als commercieel bedrijf zoek je altijd de grenzen van het toelaatbare op. Tijd om die grens aan te geven. Blaster is geen gevaarlijk virus, maar wat nou als het dat wel zou zijn? Laten we wel wezen, de maker is hier de schuldige en kan aangeklaagd worden voor nalatigheid. Als bij een of ander automerk de airbag bij aanschaf niet zou werken kan ik me moeilijk voorstellen dat je de schade niet zou kunnen verhalen. Dus hier mag ook geen uitzondering zijn, wat er ook in die EULA staat.
Atmosphere @Spunx13 september 2003 01:13
Een auto rij je niet expres tegen de boom aan om te kijken of de airbag het wel of niet doet (toegegeven ze proberen het wel met een paar) en een exploit wordt wel opzettelijk misbruikt.

Eigenlijk is de misbruiker strafbaar omdat die een aktie heeft ingezet wel gevolgschade heeft gehad.

Dat je het lek vind en kan misbruiken, houdt niet in dat je het moet misbruiken. Hooguit dat je het moet melden. Als microsoft daar niet snel op reageert dan zouden ze misschien aansprakelijk te stellen zijn ivm nalatigheid.
35MHz OC @Atmosphere13 september 2003 02:25
Wie is er nou het meest verantwoordelijk voor schade?

Degene die ondeugdelijke producten op de markt brengt of degene die misbruik van de gebreken maakt?

Alle personen die Win9X gebruiken of Unix hadden nergens last van met Blaster. Alleen de hele NT reeks lijkt lek te zijn.

Wat is er dan waar van de verscherpte controle op fouten en wat is er waar aan de berweringen van MS dat Windows 2000(XP) en 2003 server van de grond af aan opnieuw geschreven zijn. Alle beide (drie?) hadden de fatale bug zo 1 op 1 geerfd uit Windows NT 4.

MS neemt hun vertwoordelijkheid als dominante OS en Applicatie leverancier niet serieus, dus een beetje "incentive" om dat wel te doen zou welkom zijn.
mjtdevries @35MHz OC13 september 2003 13:55
Dacht jij dan dat er met die verscherpte controle ineens plotsklaps vanaf dat moment ALLE regels code van Win2003 gecontroleerd zouden zijn?

Dat is niet erg realistisch vind je wel?
MichelVH @35MHz OC13 september 2003 19:00
Het lek waar Blaster misbruik van maakte was juist gevonden door de verscherpte controles... dat 99% van de gebruikers vervolgens te beroerd is om de patch te installeren is IMO niet de schuld van Microsoft.
wat is er waar aan de berweringen van MS dat Windows 2000(XP) en 2003 server van de grond af aan opnieuw geschreven zijn.
De kernel van de NT5 reeks is inderdaad van de grond af opnieuw opgebouwd. RPC is echter een service en die heeft dus niets met de kernel te maken.
bdgroot 12 september 2003 23:59
Heb al 2 PC's moeten redden van grote ondergang.. gaan we weer... Heb de usertjes wel ff uitgelgd dat ze de updates moeten doen.. hopen dat ze dat nu ook daadwerkelijk DOEN!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq