Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

MS belooft beterschap; IIS-lek was echter gepatched

Topman Bill Gates verdedigt de werkwijze van zijn bedrijf om het onlangs gevonden lek in IIS tegen te gaan, zo lezen we op SecurityFocus. Het lek werd door Russische criminelen gebruikt om met behulp van geïnfecteerde websites een trojan te installeren op de computers van nietsvermoedende thuisgebruikers. Deze trojan ontfutselde hen bankwachtwoorden en creditcardnummers en stuurde deze terug naar de criminele organisatie. Om dit te kunnen doen maakte men, behalve van een lekkend IIS, ook gebruik van een tweetal gaten in Internet Explorer. Deze openingen werden al op zes juni ontdekt, maar zijn volgens Symantec nog niet door Microsoft gepatcht.

Virus - groene doodskop (kleiner)Ook werd er gebruik gemaakt van een controversiële feature van de browser, die lokale HTML-documenten toestaat om bestanden op de computer te veranderen of te overschrijven. Al in augustus waarschuwden veiligheidsexperts ervoor dat deze optie gevaarlijk kon zijn wanneer zij in combinatie met veiligheidslekken in de browser misbruikt kan worden. In een toespraak wees Gates erop dat de hier gebruikte gaten al binnen twee dagen gepatcht waren.

Hij wees erop dat in april al patches voor IIS waren te vinden, die deze aanval hadden kunnen voorkomen als websitebeheerders deze op tijd hadden geïnstalleerd. Ondanks het feit dat de softwaregigant blijkbaar in staat is om snel actie te ondernemen, wilde Gates zich niet laten vastleggen aan een bepaalde tijd waarin een lek gedicht zou moeten zijn. Hij zei wel dat de patchtijd zal blijven dalen. Als laatste commentaar gaf Gates het publiek mee dat het voor de veiligheid van de users van belang is dat zijn bedrijf deze gebruikers ervan overtuigt dat zij hun veiligheidsupdates automatisch moeten laten verlopen.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tamara van Hal

Nieuwsposter

Feedback • 29-06-2004 17:52
65 • submitter: Zwerver

29-06-2004 • 17:52

65 Linkedin Google+

Submitter: Zwerver

Bron: SecurityFocus

Lees meer

Microsoft ontvouwt plannen voor hostingproviders Nieuws van 24 juli 2007
Een tipje van de sluier van IIS 7 opgelicht Nieuws van 5 februari 2005
Grote Nederlandse sites verspreiden urenlang trojan Nieuws van 21 november 2004
Microsoft waarschuwt voor lekken en brengt patches uit Nieuws van 13 oktober 2004
Bill Gates over security, patchsoftware en upgrades Nieuws van 30 juli 2004
Opera vergemakkelijkt migratie vanuit Internet Explorer Nieuws van 13 juli 2004
Marktaandeel IE geslonken; Mozilla gegroeid Nieuws van 10 juli 2004
Microsofts ActiveX-patch voor IE niet voldoende Nieuws van 6 juli 2004
Microsoft past mogelijkheden ActiveX-object aan Nieuws van 3 juli 2004
Zes jaar oude fout maakt comeback in IE6, Mozilla en Opera Nieuws van 1 juli 2004
Virusaanval op creditcardnummers Nieuws van 26 juni 2004
IIS-servers besmet met kwaadaardige JavaScript-code Nieuws van 25 juni 2004
SANS bestempelt IIS als meest onveilige Windows-software Nieuws van 11 oktober 2003
Nieuwe IIS/Mail worm 'Nimda' slaat toe Nieuws van 18 september 2001
CodeGreen worm patcht geïnfecteerde IIS servers Nieuws van 4 september 2001
Microsoft komt met tool om IIS veiliger te maken Nieuws van 31 augustus 2001
Meer producten en artikelen
Bedrijfsnieuws

Reacties (65)

-Moderatie-faq
-165063+147+215+34Ongemodereerd7
Wijzig sortering
+3mkessels
29 juni 2004 17:57
gebruikers ervan overtuigd dat zij hun veiligheidsupdates automatisch moeten laten verlopen.

En dan is het maar wachten op een hack van windows update waardoor heel de wereld (nou ja, de windows gebruikers) zonder werkende pc komt te zitten. Ik wil het dus toch liever handmatig blijven doen bij mijn kritische toepassingen (die daarom ook niet aan het internet hangen...)
+1Jan_IA
@mkessels29 juni 2004 17:59
Goh, ik heb zo'n vaag vermoeden dat MS er wel voor zorgt dat hun WU servers veilig zijn :+
+2mkessels
@Jan_IA29 juni 2004 18:06
Als die ook op windows draaien, dan zit daar natuurlijk ook een fout in op het moment dat een patch nog niet is uitgebracht... Zolang er gaten zitten in windows, heb je windows update nodig. Dus in windows update zitten dan dus ongeveer per definitie gaten...

Als microsoft een goede veiligheidsanalyse gedaan zou hebben, draaien ze dus hun WU servers dus op een ander OS. Dan ben ik wel nieuwsgierig op welk systeem dat dus is.
+1keez550
@mkessels29 juni 2004 18:13
windowsupdate.microsoft.com (windowsupdate.microsoft.nsatc.net):

Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET

dus.... ;)
+1n4m3l355

@mkessels29 juni 2004 19:04
ik denk dat je iets fout gedaan hebt. met een fingerprint krijg ik een i686 linux bakkie als return
dus geen IIS

ik vraag me af hoelang bill zichzelf eigenlijk blijft geloven met hetgeen wat ze doen. ze weten hoe het ervoor staat met hun software en hoe 'snel' ze zijn... hoe kunnen ze dan zo schijnheilig blijven imo :s

toch een auto-updater is voor de gemiddelde computer gebruiker denkelijk beter dan het installeren van virussen of updates. de meeste krijgen dat niet eens voor elkaar
+1Zarc.oh
@mkessels29 juni 2004 20:36
netcraft.com geeft aan dat het Windows Server 2003 met Microsoft-IIS/6.0 is.
maar een fingerprint is waarschijnlijk betrouwbaarder dan een banner
+1Domokoen
@mkessels29 juni 2004 21:44
Er draait wel IIS op, maar de caching wordt gedaan door Akamai met linux bakken. Akamai heeft overal in de wereld in datacenters caching servers staan die de load voor sites als Windows Update verdelen.
+1register
@Jan_IA29 juni 2004 20:29
Die WU servers moeten niet zo enorm veilig zijn. De duizenden servers die voor de gebruikers zichtbaar zijn (zeg maar de caches), zijn niet eens van MS zelf, maar van Akamai. Ze draaien trouwens Linux...
De patches die erop staan zijn getekend met een private key, die wél uiterst goed beveiligd moet zijn. De WU client zal een patch zonder de juiste signature niet installeren, dus een WU server kraken helpt je niet onmiddelijk veel verder. Zelfs alle WU servers kraken helpt je niet meteen verder.
Het is dus vooral zaak om de private key uiterst goed te beveiligen. Dat is heel wat gemakkelijker dan duizenden servers die aan het internet moeten hangen.
0burne
@Jan_IA29 juni 2004 19:51
Afgaande op de 'prestaties' qua veiligheid de afgelopen jaren vertrouw je Microsoft op hun grote blauwe ogen?
+3kodak

30 juni 2004 00:26
"Ondanks het feit dat de softwaregigant blijkbaar in staat is om snel actie te ondernemen, wilde Gates zich niet laten vastleggen aan een bepaalde tijd waarin een lek gedicht zou moeten zijn."

Wow, waarom ben ik niet verbaasd dat dat in groot contrast is met zijn antwoord in dit interview van ZDNet zegt gedateerd 28 juni:

" The average time to make a fix on an operating system other than Windows, Gates said, is 'typically 90 to 100 days. You know, today we have it down to less than 48 hours,' he said."

http://zdnet.com.com/2102-1105_2-5250003.html?tag=printthis

Hier wordt ik nou misselijk van. Als pr praatje je bedrijf helemaal ophemelen en de concurenten de grond in praten, maar dan vervolgens als het serieus om security gaat wordt plots niet meer thuis geven en kan het wat hem betreft net zo lang of zelfs langer duren als de beschuldigende tijd die hij aan de concurenten toewees.

Securityfocus had dat gelukkig ook door en zet hem gelukkig op zn nummer.
0Marauder2
@kodak30 juni 2004 09:34
Bill Gates zet de werkelijkheid op zijn kop. Om van te walgen. :r
+3AdV897
30 juni 2004 09:35
Ah heerlijk, het oeverloos MS bashen is weer begonnen. Was toch ook al wel zeker een hele dag geleden...

Ik begon me al zorgen te maken dat de gemiddelde tweaker volwassen was geworden. :Z
+2boesOne
29 juni 2004 17:56
Als laatste commentaar gaf Gates het publiek mee dat het voor de veiligheid van de users van belang is dat zijn bedrijf deze gebruikers ervan overtuigd dat zij hun veiligheidsupdates automatisch moeten laten verlopen.
Waarom is het voor onze veiligheid van belang als alles automatisch gaat?

Denk dat het juist tegenovergesteld is: Het is voor de veilighied van de gebruikers van belang dat ze erop gewezen worden dat windows erg onveilig is en je goed op moet letten...
+2Jan_IA
@boesOne29 juni 2004 17:59
Natuurlijk is het wél in ons voordeel als alles automatisch verloopt. Denk je eens in, nooit meer consumenten die hun provider/winkel platbellen vanwege een virus, met de mededeling 'omdat de PC het niet doet', geen besmette servers meer die kwetsbaar zijn voor exploits die al maanden bekend en gepatched zijn, etc.
+3keez550
@Jan_IA29 juni 2004 18:10
Totdat iemand een bug ontdekt in de automatische updater, en daar een trojan voor bouwt. Of de update server weet te faken zodat je updates ineens ook uit Rusland komen...
+1Crazy D
@keez55029 juni 2004 18:36
Als ze dat goed doen, zie je het verschil ook niet als je handmatig update, dus dat maakt daar niet echt voor uit...
+1Ritch
@keez55029 juni 2004 19:48
Behalve dat de frequentie van het handmatig updaten veel lager ligt dan het automatisch updaten, dus is de kans op problemen veel groter...
+2BWzes03
@Jan_IA29 juni 2004 19:03
Gelukkig gaat het niet automatisch. Als het wel automatisch zou gaan, krijg je heel veel telefoontjes van boze gebruikers m'n applicatie werkt niet meer...
Heel veel bedrijven doen juist stringente controles op patches zodat alle applicaties blijven werken.
Laast hadden we weer zo'n patch, na installatie bleek een server applicatie te crashen. Na met de vendor te hebben gebeld bleken zij ook dat probleem te hebben, nog even een week wachten met installeren van de patch, want de patch voor de patch is nog niet klaar......
+2Gody
@BWzes0330 juni 2004 00:21
Je moet zowieso ook altijd opletten met update's en upgrade's. Blind patchen en update is net zoiets als per ongeluk in een live-database gaan lopen verwijderen. Maargoed, gelukkig heb je geen problemen ermee gehad omdat je hebt gewacht.
+1rooicity
@BWzes0330 juni 2004 07:50
Bij een beetje bedrijf hebben ze daar een oplossing voor ... OTAP heet het ....

Ontwikkel
Test
Acceptatie
en dan pas Produktie
0vanDee898
@BWzes0330 juni 2004 13:26
Het systeem blijft wel werken, maar het zijn vaak niet-microsoft applicaties die na een patch / service pack niet meer werken.

Ik heb het zelf meegemaakt dat een DLL na het installeren van Service Pack 2 (Win2k) niet meer werkte.
0kroeske
@BWzes0330 juni 2004 01:33
@ godyvdb:
wat is dat dan weer voor onzin? ik neem aan dat als jij een product koopt, en de daarbij behorende updates aangeleverd krijgt, dat je er dan ook vanuit mag gaan dat die updates het doen, en dat je oude systeem het ook blijft doen zoals je gewend bent?

als je nou beta tester zou zijn of iets dergelijks, dan lijkt het me nog tot daar aan toe, maar om nou als end-user te gaan zitten wachten tot de bugs uit de bugpatches zijn verdwenen gaat me wel heel erg ver....
+1raptorix
@boesOne30 juni 2004 00:25
Je kan in ieder geval instellen dat ie de updates automatisch download, en een notifier geeft als er belangrijke updates zijn, in dat geval heb je alles in je eigen hand, en mis je niet per ongeluk een essentiele patch.
+2LeHeraut
29 juni 2004 18:06
Ach zo lang de meeste mensen er niet van snappen dat ze hun gegevens kwestbaar zijn en het idee hebben dat ze goed beschermd zijn omdat windows automatisch update en ze een virusscanner hebben die ook automatisch update vinden ze het al best. Pas als de gemiddelde consument wat kritischer gaat worden dan zal MS gestraft worden voor het beleid dat ze nu voeren
+1berend_engelbrecht
@LeHeraut29 juni 2004 19:44
In dit geval zou het probleem er juist niet geweest zijn als Windows Update wel automatisch uitgevoerd zou zijn op de besmette servers. Zoals bekend is de fout die de IIS server hack mogelijk maakt opgelost in update 835732, die in april 2004 gepubliceerd is.

Ik ben het onmiddelijk met je eens als je zegt dat Windows een product is dat veel fouten bevat, maar feit is ook dat er veel vaker problemen ontstaan doordat er grote groepen mensen zijn die niet snel genoeg de aangeboden updates uitvoeren en ook nog eens geen virusscanner hebben of niet beseffen dat ze die moeten bijhouden, dan dat er problemen ontstaan door het wel uitvoeren van de updates. Waren er dus maar meer mensen die "het idee hebben dat ze goed beschermd zijn omdat windows automatisch update en ze een virusscanner hebben die ook automatisch update", dan waren we al een hele stap verder.
+2DavidAxe
@berend_engelbrecht30 juni 2004 00:11
Daar heb je inderdaad gelijk in, maar dat maakt het gebruik van Windows servers wel erg duur omdat er dus eigenlijk continu iemand op moet letten. Ik ben benieuwd of deze kosten ook worden mee gerekend als Microsoft Linux met Windows vergelijkt.
Een automatische update feature kan natuurlijk nooit op een server draaien tenzij je er geen problemen mee hebt als een bepaalde server ineens niet meer naar behoren werkt. Een OS patch verandert dingen in een OS en daardoor kan het gebeuren dat bepaalde applicaties niet meer werken.
+2spoor12b
29 juni 2004 18:35
Ik denk dat auto - windowsupdate zwaar op digitale certificaten gebouwd is. Dat hack je gelukkig niet zomaar...
+1bitflusher
@spoor12b30 juni 2004 01:41
i second that.

ik heb al eens problemen met windows update (automatisch en niet automatisch) gehad. certificaat service liep niet dus geen updates.

een inside job met een foute update met certificaat van ms eraan is theoretisch mogenlijk maar weinig reeel ;)
0Floor
@bitflusher30 juni 2004 12:28
Ben ik paranoide? ;)
Als je bekijkt hoe 9-11 is voorbereidt dan is het zeker niet onmogelijk. Eerlijk gezegd denk ik dat mensen die bij MS aan zulke kritieke informatie kunnen dan ook zwaar gescreend worden.
Er hangt teveel van af bij MS om "klakkeloos" mee om te gaan.
+2Synthiman
29 juni 2004 21:09
Na de laatste waarschuwingen en het lezen van de remedie die door Microsoft wordt aangeraden: Standaard security level op "high", waardoor je telkens weer effe voor sommige sites het level weer lager moet zetten, ben ik toch maar eens overgestapt op Opera. Mijn eerste bevindingen zijn zeer goed. Kwestie van effe wennen en de GUI aan je eigen smaak aanpassen. Na enkele dagen moet ik zeggen: Het bevalt uitstekend!

Wel weet ik nog niet hoe het zit met de veiligheid.
Als er mensen zijn met ervaring mbt veiligheid en Opera, dan zou ik graag nog wat feedback krijgen.

@ LiefLief: Zo als jij het voorsteld werkte ik ook, maar voor enkele aardige sites waar ik dagelijks rondneus, was het noodzakelijk om toch gewoon het Standaard level even aan te passen, daar bij opbouw een wisselende Mirror gebruikt wordt. Ik zie dan dus wel IP nummer van die site, maar hij bouwt niet op omdat standaard level te hoog is. Als ik dan vervolgens dat IP nummer (of URL) toevoeg aan bijv "Vertrouwde Sites" en dan "Refresh" dan springt die naar een andere Mirror.
Bovendien zeg je het zelf al:
Teveel werk om alles werkend te krijgen voor een simpele bezoek aan een site.
+1LiefLief
@Synthiman29 juni 2004 22:15
de remedie die door Microsoft wordt aangeraden: Standaard security level op "high", waardoor je telkens weer effe voor sommige sites het level weer lager moet zetten
Waarom maak je niet gebruik van de verschillende Internet-zones (4 in totaal: Internet, Lokaal Intranet, Vertrouwde Websites, Beperkte Toegang) en pas je voor elke zone de geavanceerde beveilingingsinstellingen handmatig aan (in plaats van met dat n00b-schuifbalkje ;)).

Zo had ik (had, omdat ik al een tijdje Mozilla Firefox gebruik) voor de Internet-zone alles wat met ActiveX en Scripting te maken heeft uitstaan, en sites die Flash of Java nodig hadden in de Lokaal Intranet-zone gedumpt en de instellingen voor op afgestemd.

Windows Update bijv. heeft ook wat mildere instellingne nodig, dus die e.a. heb ik in de Vertrouwde Websites-zone neergeploft.


Voordeel van dit alles: de zone waarin een tot nog toe onbekende site in terecht komt is een veilige, haast machteloze zone, met alles op streng. Pas als je ziet dat de site andere functies nodig heeft (Java, ActiveX, JavaScript, etc.) voeg je het toe aan een andere zone (ik gebruikte daar altijd een registerbestand-template voor: alles al ingevuld behalve de site en zone).

Nadeel: Teveel werk om alles werkend te krijgen voor een simpele bezoek aan een site. Daarom uiteindelijk overgestapt op Mozilla Firefox, en ben nu wel tevreden. :)
0HenkSchouten
29 juni 2004 20:02
Wat wordt er weer heerlijk op MS afgegeven. En dat waarschijnlijk door gebruikers die zelf ook windows op hun machine hebben staan. Wat wil je, als je het meest gebruikt wordt, word je ook het meest gehacked. Voor bijv Linux loont het amper de moeite om een virus te maken, de groep gebruikers is dusdanig klein dat ze niet serieus te nemen zijn wat dat betreft.
Verplichte automatische update is niet echt handig. Sommige patches vereisen een bepaalde status van de hardware. Wij hadden nl een patch op een Compaq Proliant DL380 die de machine om zeep hielp. Reden: Firmware van de raidcontroller te oud.
Ok, ok onze fout, maar toch. Nu bij een server, bij automatische update op 50 servers of meer.
+2TheAnimaL
@HenkSchouten29 juni 2004 20:14
Ho Ho! ( ietswat off-topic )

De misvatting dat het de moeite niet loont om voor linux een virus te maken heeft niet alleen ( eigenlijk helemaal niet ) te maken met het feit dat er minder gebruik van linux wordt gemaakt. Kijk naar het aantal webserver welk edraaien op Linux. Kijk naar mailservers, kijk naar dns servers, kijk naar database clusters.. Een Linux distributie verschilt van de andere distributie. De ene distributie bevat fouten welke in een andere niet voorkomen. De ene distributie gebruikt andere software keuzes dan de andere. De ene Linux distributie draait op een powerpc, de andere op een sparc platform en weer een andere op IA32.

Dit is een doorbraak van de monocultuur waarover ik eerder sprak. Dit is een van de redenen waarom het niet loont om een succesvol virus te schrijven voor Linux of andere Unix derivaten. Daarbij komt ook nog dat de strikte scheiding tussen gebruikers accounts en administrator accounts ervoor zorgt dat een gewone gebruiker onmogelijk het systeem kan vern*ken.

En ja, ook in de Linux kernel komen bugs voor, al zijn deze vaak echter alleen te exploiten als men root rechten kan bemachtigen.
+1PatMan
@HenkSchouten30 juni 2004 01:09
Wat wil je, als je het meest gebruikt wordt, word je ook het meest gehacked.
Dit wil Microsoft je inderdaad doen geloven met hun FUD campagne ("Get the facts"). Lees anders eens dit artikel) van een voorstander van open source. Een citaat:
Can you explain why Windows IIS websites are cracked or defaced more often than Apache ones, despite the fact that IIS runs less than a third the number of sites Apache does?
+1Maverick
29 juni 2004 18:44
Ik snap niet dat microsoft zijn beleidt mbt patches nog steeds niet bijgesteld heef, hoop dat dit met longhorn wel veranderd. want in 99/100 gevallen vindt microsoft het lek en brengt een patch uit met uitleg wat het lek was. hierop gaan de exploits pas komen, en pakken dus de mensen die niet patchen.

Waarom doen ze het niet zo dat zo OF altijd automatisch lekken laten dichten, gewoon zorgen dat dit moeilijk uit te schakelen is, waardoor alleen mensen die weten wat ze doen het uitzetten, en gewoon bugfixes uitbrengen zonder te zeggen wat ze dichten. dan weten de mensen met kwade bedoelingen ook het lek niet meteen te vinden. evt allebei voor de beste veiligheid.

Of zitten hier juridische dingen aan ten grondslag, dat microsoft verplicht is te lekken te melden :?
+1XyritZz
@Maverick29 juni 2004 19:36
Nog beter: de gebruiker een melding geven dat er een patch is, met als ze willen technische details over wat er gepatched wordt en wat nou de preciese fout was.

Besluit de gebruiker de patch niet te installeeren: Windows blokkeert al het internet verkeer.

In het geval van een cruciale windows patch: windows geeft bij opstarten een melding om de patch te downloaden, wordt deze genegeerd: PC wordt automatisch afgesloten.

Dan wil iedereen ineens wel die patches gaan installeeren.
+1crisp
@XyritZz29 juni 2004 22:59
Er zijn genoeg gevallen bekent waarbij je na het installeren van een patch ook niet meer kon internetten, maar naar een mooi BSOD kon kijken - ik meen dat MS04-11 ook dergelijke uitwerkingen had op sommige XP systemen (dat is dus de patch die genoemde lekken in IIS dicht - de IE exploits die door de Russen zijn misbruikt zijn nog steeds niet gepatched).
+1Iblies
29 juni 2004 18:39
Deze openingen werden al op zes juni ontdekt, maar zijn volgens Symantec nog niet door Microsoft gepatcht.
Weer een reden om er voor te zorgen dat een ander niet-microsoft bedrijf zorgt voor anti-virus want anders krijgen we de volgende situatie,

nieuw virus/trojan;
microsoft update de viruslijsten<nieuwste rage, automatische update van viruslijst uitzetten, of zorgen dat hij niet meer werkt, weinig mensen die er zich zorgen om maken totdat alles stopt>;
eind van de maand krijgen we een nieuwe update om het te patchen.
1 2 3

Op dit item kan niet meer gereageerd worden.

Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True