MS belooft beterschap; IIS-lek was echter gepatched

Topman Bill Gates verdedigt de werkwijze van zijn bedrijf om het onlangs gevonden lek in IIS tegen te gaan, zo lezen we op SecurityFocus. Het lek werd door Russische criminelen gebruikt om met behulp van geïnfecteerde websites een trojan te installeren op de computers van nietsvermoedende thuisgebruikers. Deze trojan ontfutselde hen bankwachtwoorden en creditcardnummers en stuurde deze terug naar de criminele organisatie. Om dit te kunnen doen maakte men, behalve van een lekkend IIS, ook gebruik van een tweetal gaten in Internet Explorer. Deze openingen werden al op zes juni ontdekt, maar zijn volgens Symantec nog niet door Microsoft gepatcht.

Virus - groene doodskop (kleiner) Ook werd er gebruik gemaakt van een controversiële feature van de browser, die lokale HTML-documenten toestaat om bestanden op de computer te veranderen of te overschrijven. Al in augustus waarschuwden veiligheidsexperts ervoor dat deze optie gevaarlijk kon zijn wanneer zij in combinatie met veiligheidslekken in de browser misbruikt kan worden. In een toespraak wees Gates erop dat de hier gebruikte gaten al binnen twee dagen gepatcht waren.

Hij wees erop dat in april al patches voor IIS waren te vinden, die deze aanval hadden kunnen voorkomen als websitebeheerders deze op tijd hadden geïnstalleerd. Ondanks het feit dat de softwaregigant blijkbaar in staat is om snel actie te ondernemen, wilde Gates zich niet laten vastleggen aan een bepaalde tijd waarin een lek gedicht zou moeten zijn. Hij zei wel dat de patchtijd zal blijven dalen. Als laatste commentaar gaf Gates het publiek mee dat het voor de veiligheid van de users van belang is dat zijn bedrijf deze gebruikers ervan overtuigt dat zij hun veiligheidsupdates automatisch moeten laten verlopen.

Lees meer

Nieuwste IT Banen

IT trainingen bij Computrain

Reacties (65)

+3 mkessels
29 juni 2004 17:57

gebruikers ervan overtuigd dat zij hun veiligheidsupdates automatisch moeten laten verlopen.

En dan is het maar wachten op een hack van windows update waardoor heel de wereld (nou ja, de windows gebruikers) zonder werkende pc komt te zitten. Ik wil het dus toch liever handmatig blijven doen bij mijn kritische toepassingen (die daarom ook niet aan het internet hangen...)

+1 Jan_IA
@mkessels • 29 juni 2004 17:59

Goh, ik heb zo'n vaag vermoeden dat MS er wel voor zorgt dat hun WU servers veilig zijn

+2 mkessels
@Jan_IA • 29 juni 2004 18:06

Als die ook op windows draaien, dan zit daar natuurlijk ook een fout in op het moment dat een patch nog niet is uitgebracht... Zolang er gaten zitten in windows, heb je windows update nodig. Dus in windows update zitten dan dus ongeveer per definitie gaten...

Als microsoft een goede veiligheidsanalyse gedaan zou hebben, draaien ze dus hun WU servers dus op een ander OS. Dan ben ik wel nieuwsgierig op welk systeem dat dus is.

+1 keez550
@mkessels • 29 juni 2004 18:13

windowsupdate.microsoft.com (windowsupdate.microsoft.nsatc.net):

Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET

dus....

+1 n4m3l355

Bedrijfsnieuws

@mkessels • 29 juni 2004 19:04

ik denk dat je iets fout gedaan hebt. met een fingerprint krijg ik een i686 linux bakkie als return
dus geen IIS

ik vraag me af hoelang bill zichzelf eigenlijk blijft geloven met hetgeen wat ze doen. ze weten hoe het ervoor staat met hun software en hoe 'snel' ze zijn... hoe kunnen ze dan zo schijnheilig blijven imo

toch een auto-updater is voor de gemiddelde computer gebruiker denkelijk beter dan het installeren van virussen of updates. de meeste krijgen dat niet eens voor elkaar

Zarc.oh
@mkessels • 29 juni 2004 20:36

netcraft.com geeft aan dat het Windows Server 2003 met Microsoft-IIS/6.0 is.
maar een fingerprint is waarschijnlijk betrouwbaarder dan een banner

+1 Domokoen

@mkessels • 29 juni 2004 21:44

Er draait wel IIS op, maar de caching wordt gedaan door Akamai met linux bakken. Akamai heeft overal in de wereld in datacenters caching servers staan die de load voor sites als Windows Update verdelen.

+1 register
@Jan_IA • 29 juni 2004 20:29

Die WU servers moeten niet zo enorm veilig zijn. De duizenden servers die voor de gebruikers zichtbaar zijn (zeg maar de caches), zijn niet eens van MS zelf, maar van Akamai. Ze draaien trouwens Linux...
De patches die erop staan zijn getekend met een private key, die wél uiterst goed beveiligd moet zijn. De WU client zal een patch zonder de juiste signature niet installeren, dus een WU server kraken helpt je niet onmiddelijk veel verder. Zelfs alle WU servers kraken helpt je niet meteen verder.
Het is dus vooral zaak om de private key uiterst goed te beveiligen. Dat is heel wat gemakkelijker dan duizenden servers die aan het internet moeten hangen.

burne

@Jan_IA • 29 juni 2004 19:51

Afgaande op de 'prestaties' qua veiligheid de afgelopen jaren vertrouw je Microsoft op hun grote blauwe ogen?

+3 kodak

Bedrijfsnieuws

30 juni 2004 00:26

"Ondanks het feit dat de softwaregigant blijkbaar in staat is om snel actie te ondernemen, wilde Gates zich niet laten vastleggen aan een bepaalde tijd waarin een lek gedicht zou moeten zijn."

Wow, waarom ben ik niet verbaasd dat dat in groot contrast is met zijn antwoord in dit interview van ZDNet zegt gedateerd 28 juni:

" The average time to make a fix on an operating system other than Windows, Gates said, is 'typically 90 to 100 days. You know, today we have it down to less than 48 hours,' he said."

http://zdnet.com.com/2102-1105_2-5250003.html?tag=printthis

Hier wordt ik nou misselijk van. Als pr praatje je bedrijf helemaal ophemelen en de concurenten de grond in praten, maar dan vervolgens als het serieus om security gaat wordt plots niet meer thuis geven en kan het wat hem betreft net zo lang of zelfs langer duren als de beschuldigende tijd die hij aan de concurenten toewees.

Securityfocus had dat gelukkig ook door en zet hem gelukkig op zn nummer.

0 Marauder2
@kodak • 30 juni 2004 09:34

Bill Gates zet de werkelijkheid op zijn kop. Om van te walgen.

+3 AdV897
30 juni 2004 09:35

Ah heerlijk, het oeverloos MS bashen is weer begonnen. Was toch ook al wel zeker een hele dag geleden...

Ik begon me al zorgen te maken dat de gemiddelde tweaker volwassen was geworden.

boesOne
29 juni 2004 17:56

Als laatste commentaar gaf Gates het publiek mee dat het voor de veiligheid van de users van belang is dat zijn bedrijf deze gebruikers ervan overtuigd dat zij hun veiligheidsupdates automatisch moeten laten verlopen.

Waarom is het voor onze veiligheid van belang als alles automatisch gaat?

Denk dat het juist tegenovergesteld is: Het is voor de veilighied van de gebruikers van belang dat ze erop gewezen worden dat windows erg onveilig is en je goed op moet letten...

+2 Jan_IA
@boesOne • 29 juni 2004 17:59

Natuurlijk is het wél in ons voordeel als alles automatisch verloopt. Denk je eens in, nooit meer consumenten die hun provider/winkel platbellen vanwege een virus, met de mededeling 'omdat de PC het niet doet', geen besmette servers meer die kwetsbaar zijn voor exploits die al maanden bekend en gepatched zijn, etc.

+3 keez550
@Jan_IA • 29 juni 2004 18:10

Totdat iemand een bug ontdekt in de automatische updater, en daar een trojan voor bouwt. Of de update server weet te faken zodat je updates ineens ook uit Rusland komen...

Crazy D
@keez550 • 29 juni 2004 18:36

Als ze dat goed doen, zie je het verschil ook niet als je handmatig update, dus dat maakt daar niet echt voor uit...

+1 Ritch
@keez550 • 29 juni 2004 19:48

Behalve dat de frequentie van het handmatig updaten veel lager ligt dan het automatisch updaten, dus is de kans op problemen veel groter...

+2 BWzes03
@Jan_IA • 29 juni 2004 19:03

Gelukkig gaat het niet automatisch. Als het wel automatisch zou gaan, krijg je heel veel telefoontjes van boze gebruikers m'n applicatie werkt niet meer...
Heel veel bedrijven doen juist stringente controles op patches zodat alle applicaties blijven werken.
Laast hadden we weer zo'n patch, na installatie bleek een server applicatie te crashen. Na met de vendor te hebben gebeld bleken zij ook dat probleem te hebben, nog even een week wachten met installeren van de patch, want de patch voor de patch is nog niet klaar......

+2 Gody
@BWzes03 • 30 juni 2004 00:21

Je moet zowieso ook altijd opletten met update's en upgrade's. Blind patchen en update is net zoiets als per ongeluk in een live-database gaan lopen verwijderen. Maargoed, gelukkig heb je geen problemen ermee gehad omdat je hebt gewacht.

rooicity
@BWzes03 • 30 juni 2004 07:50

Bij een beetje bedrijf hebben ze daar een oplossing voor ... OTAP heet het ....

Ontwikkel
Test
Acceptatie
en dan pas Produktie

vanDee898
@BWzes03 • 30 juni 2004 13:26

Het systeem blijft wel werken, maar het zijn vaak niet-microsoft applicaties die na een patch / service pack niet meer werken.

Ik heb het zelf meegemaakt dat een DLL na het installeren van Service Pack 2 (Win2k) niet meer werkte.

0 kroeske
@BWzes03 • 30 juni 2004 01:33

@ godyvdb:
wat is dat dan weer voor onzin? ik neem aan dat als jij een product koopt, en de daarbij behorende updates aangeleverd krijgt, dat je er dan ook vanuit mag gaan dat die updates het doen, en dat je oude systeem het ook blijft doen zoals je gewend bent?

als je nou beta tester zou zijn of iets dergelijks, dan lijkt het me nog tot daar aan toe, maar om nou als end-user te gaan zitten wachten tot de bugs uit de bugpatches zijn verdwenen gaat me wel heel erg ver....

+1 raptorix
@boesOne • 30 juni 2004 00:25

Je kan in ieder geval instellen dat ie de updates automatisch download, en een notifier geeft als er belangrijke updates zijn, in dat geval heb je alles in je eigen hand, en mis je niet per ongeluk een essentiele patch.

+2 LeHeraut
29 juni 2004 18:06

Ach zo lang de meeste mensen er niet van snappen dat ze hun gegevens kwestbaar zijn en het idee hebben dat ze goed beschermd zijn omdat windows automatisch update en ze een virusscanner hebben die ook automatisch update vinden ze het al best. Pas als de gemiddelde consument wat kritischer gaat worden dan zal MS gestraft worden voor het beleid dat ze nu voeren

berend_engelbrecht
@LeHeraut • 29 juni 2004 19:44

In dit geval zou het probleem er juist niet geweest zijn als Windows Update wel automatisch uitgevoerd zou zijn op de besmette servers. Zoals bekend is de fout die de IIS server hack mogelijk maakt opgelost in update 835732, die in april 2004 gepubliceerd is.

Ik ben het onmiddelijk met je eens als je zegt dat Windows een product is dat veel fouten bevat, maar feit is ook dat er veel vaker problemen ontstaan doordat er grote groepen mensen zijn die niet snel genoeg de aangeboden updates uitvoeren en ook nog eens geen virusscanner hebben of niet beseffen dat ze die moeten bijhouden, dan dat er problemen ontstaan door het wel uitvoeren van de updates. Waren er dus maar meer mensen die "het idee hebben dat ze goed beschermd zijn omdat windows automatisch update en ze een virusscanner hebben die ook automatisch update", dan waren we al een hele stap verder.

+2 DavidAxe
@berend_engelbrecht • 30 juni 2004 00:11

Daar heb je inderdaad gelijk in, maar dat maakt het gebruik van Windows servers wel erg duur omdat er dus eigenlijk continu iemand op moet letten. Ik ben benieuwd of deze kosten ook worden mee gerekend als Microsoft Linux met Windows vergelijkt.
Een automatische update feature kan natuurlijk nooit op een server draaien tenzij je er geen problemen mee hebt als een bepaalde server ineens niet meer naar behoren werkt. Een OS patch verandert dingen in een OS en daardoor kan het gebeuren dat bepaalde applicaties niet meer werken.

spoor12b
29 juni 2004 18:35

Ik denk dat auto - windowsupdate zwaar op digitale certificaten gebouwd is. Dat hack je gelukkig niet zomaar...

bitflusher
@spoor12b • 30 juni 2004 01:41

i second that.

ik heb al eens problemen met windows update (automatisch en niet automatisch) gehad. certificaat service liep niet dus geen updates.

een inside job met een foute update met certificaat van ms eraan is theoretisch mogenlijk maar weinig reeel

0 Floor
@bitflusher • 30 juni 2004 12:28

Ben ik paranoide?

Als je bekijkt hoe 9-11 is voorbereidt dan is het zeker niet onmogelijk. Eerlijk gezegd denk ik dat mensen die bij MS aan zulke kritieke informatie kunnen dan ook zwaar gescreend worden.
Er hangt teveel van af bij MS om "klakkeloos" mee om te gaan.

Synthiman
29 juni 2004 21:09

Na de laatste waarschuwingen en het lezen van de remedie die door Microsoft wordt aangeraden: Standaard security level op "high", waardoor je telkens weer effe voor sommige sites het level weer lager moet zetten, ben ik toch maar eens overgestapt op Opera. Mijn eerste bevindingen zijn zeer goed. Kwestie van effe wennen en de GUI aan je eigen smaak aanpassen. Na enkele dagen moet ik zeggen: Het bevalt uitstekend!

Wel weet ik nog niet hoe het zit met de veiligheid.
Als er mensen zijn met ervaring mbt veiligheid en Opera, dan zou ik graag nog wat feedback krijgen.

@ LiefLief: Zo als jij het voorsteld werkte ik ook, maar voor enkele aardige sites waar ik dagelijks rondneus, was het noodzakelijk om toch gewoon het Standaard level even aan te passen, daar bij opbouw een wisselende Mirror gebruikt wordt. Ik zie dan dus wel IP nummer van die site, maar hij bouwt niet op omdat standaard level te hoog is. Als ik dan vervolgens dat IP nummer (of URL) toevoeg aan bijv "Vertrouwde Sites" en dan "Refresh" dan springt die naar een andere Mirror.
Bovendien zeg je het zelf al:

Teveel werk om alles werkend te krijgen voor een simpele bezoek aan een site.

+1 LiefLief
@Synthiman • 29 juni 2004 22:15

de remedie die door Microsoft wordt aangeraden: Standaard security level op "high", waardoor je telkens weer effe voor sommige sites het level weer lager moet zetten

Waarom maak je niet gebruik van de verschillende Internet-zones (4 in totaal: Internet, Lokaal Intranet, Vertrouwde Websites, Beperkte Toegang) en pas je voor elke zone de geavanceerde beveilingingsinstellingen handmatig aan (in plaats van met dat n00b-schuifbalkje

).

Zo had ik (had, omdat ik al een tijdje Mozilla Firefox gebruik) voor de Internet-zone alles wat met ActiveX en Scripting te maken heeft uitstaan, en sites die Flash of Java nodig hadden in de Lokaal Intranet-zone gedumpt en de instellingen voor op afgestemd.

Windows Update bijv. heeft ook wat mildere instellingne nodig, dus die e.a. heb ik in de Vertrouwde Websites-zone neergeploft.

Voordeel van dit alles: de zone waarin een tot nog toe onbekende site in terecht komt is een veilige, haast machteloze zone, met alles op streng. Pas als je ziet dat de site andere functies nodig heeft (Java, ActiveX, JavaScript, etc.) voeg je het toe aan een andere zone (ik gebruikte daar altijd een registerbestand-template voor: alles al ingevuld behalve de site en zone).

Nadeel: Teveel werk om alles werkend te krijgen voor een simpele bezoek aan een site. Daarom uiteindelijk overgestapt op Mozilla Firefox, en ben nu wel tevreden.

0 HenkSchouten
29 juni 2004 20:02

Wat wordt er weer heerlijk op MS afgegeven. En dat waarschijnlijk door gebruikers die zelf ook windows op hun machine hebben staan. Wat wil je, als je het meest gebruikt wordt, word je ook het meest gehacked. Voor bijv Linux loont het amper de moeite om een virus te maken, de groep gebruikers is dusdanig klein dat ze niet serieus te nemen zijn wat dat betreft.
Verplichte automatische update is niet echt handig. Sommige patches vereisen een bepaalde status van de hardware. Wij hadden nl een patch op een Compaq Proliant DL380 die de machine om zeep hielp. Reden: Firmware van de raidcontroller te oud.
Ok, ok onze fout, maar toch. Nu bij een server, bij automatische update op 50 servers of meer.

+2 TheAnimaL
@HenkSchouten • 29 juni 2004 20:14

Ho Ho! ( ietswat off-topic )

De misvatting dat het de moeite niet loont om voor linux een virus te maken heeft niet alleen ( eigenlijk helemaal niet ) te maken met het feit dat er minder gebruik van linux wordt gemaakt. Kijk naar het aantal webserver welk edraaien op Linux. Kijk naar mailservers, kijk naar dns servers, kijk naar database clusters.. Een Linux distributie verschilt van de andere distributie. De ene distributie bevat fouten welke in een andere niet voorkomen. De ene distributie gebruikt andere software keuzes dan de andere. De ene Linux distributie draait op een powerpc, de andere op een sparc platform en weer een andere op IA32.

Dit is een doorbraak van de monocultuur waarover ik eerder sprak. Dit is een van de redenen waarom het niet loont om een succesvol virus te schrijven voor Linux of andere Unix derivaten. Daarbij komt ook nog dat de strikte scheiding tussen gebruikers accounts en administrator accounts ervoor zorgt dat een gewone gebruiker onmogelijk het systeem kan vern*ken.

En ja, ook in de Linux kernel komen bugs voor, al zijn deze vaak echter alleen te exploiten als men root rechten kan bemachtigen.

+1 PatMan
@HenkSchouten • 30 juni 2004 01:09

Wat wil je, als je het meest gebruikt wordt, word je ook het meest gehacked.

Dit wil Microsoft je inderdaad doen geloven met hun FUD campagne ("Get the facts"). Lees anders eens dit artikel) van een voorstander van open source. Een citaat:

Can you explain why Windows IIS websites are cracked or defaced more often than Apache ones, despite the fact that IIS runs less than a third the number of sites Apache does?

Maverick
29 juni 2004 18:44

Ik snap niet dat microsoft zijn beleidt mbt patches nog steeds niet bijgesteld heef, hoop dat dit met longhorn wel veranderd. want in 99/100 gevallen vindt microsoft het lek en brengt een patch uit met uitleg wat het lek was. hierop gaan de exploits pas komen, en pakken dus de mensen die niet patchen.

Waarom doen ze het niet zo dat zo OF altijd automatisch lekken laten dichten, gewoon zorgen dat dit moeilijk uit te schakelen is, waardoor alleen mensen die weten wat ze doen het uitzetten, en gewoon bugfixes uitbrengen zonder te zeggen wat ze dichten. dan weten de mensen met kwade bedoelingen ook het lek niet meteen te vinden. evt allebei voor de beste veiligheid.

Of zitten hier juridische dingen aan ten grondslag, dat microsoft verplicht is te lekken te melden

XyritZz
@Maverick • 29 juni 2004 19:36

Nog beter: de gebruiker een melding geven dat er een patch is, met als ze willen technische details over wat er gepatched wordt en wat nou de preciese fout was.

Besluit de gebruiker de patch niet te installeeren: Windows blokkeert al het internet verkeer.

In het geval van een cruciale windows patch: windows geeft bij opstarten een melding om de patch te downloaden, wordt deze genegeerd: PC wordt automatisch afgesloten.

Dan wil iedereen ineens wel die patches gaan installeeren.

crisp
@XyritZz • 29 juni 2004 22:59

Er zijn genoeg gevallen bekent waarbij je na het installeren van een patch ook niet meer kon internetten, maar naar een mooi BSOD kon kijken - ik meen dat MS04-11 ook dergelijke uitwerkingen had op sommige XP systemen (dat is dus de patch die genoemde lekken in IIS dicht - de IE exploits die door de Russen zijn misbruikt zijn nog steeds niet gepatched).

+1 Iblies
29 juni 2004 18:39

Deze openingen werden al op zes juni ontdekt, maar zijn volgens Symantec nog niet door Microsoft gepatcht.

Weer een reden om er voor te zorgen dat een ander niet-microsoft bedrijf zorgt voor anti-virus want anders krijgen we de volgende situatie,

nieuw virus/trojan;
microsoft update de viruslijsten<nieuwste rage, automatische update van viruslijst uitzetten, of zorgen dat hij niet meer werkt, weinig mensen die er zich zorgen om maken totdat alles stopt>;
eind van de maand krijgen we een nieuwe update om het te patchen.

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers