Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties
Bron: eWeek

Windows security (klein)Twee dagen geleden heeft Panda Software bekendgemaakt twee Trojaanse paarden te hebben ontdekt, deze stukken malware zijn verstopt in Windows Media Video-bestanden. Deze bestanden zijn beveiligd via Digital Rights Management (drm) en om de video's af te spelen is het dus noodzakelijk dat er licenties gedownload worden. In plaats van de benodigde licentie werden er echter virussen en spyware gedownload en geïnstalleerd. Microsoft heeft laten weten geen plannen te hebben om aanpassingen door te voeren aan de manier waarop Windows Media Player omgaat met downloads van drm-licenties. Volgens het softwarebedrijf is er namelijk geen sprake van een lek in de software. Er is daardoor ook geen technologische oplossing voor handen, aldus Mike Coleman, lead productmanager van Microsofts Windows-divisie. Het is belangrijker om gebruikers voor te lichten en duidelijk te maken wat goed gedrag is bij het downloaden van bestanden. Daarnaast wijst Coleman op securityfeatures in Windows XP Service Pack 2, die het onmogelijk maken dat popups geopend worden en ActiveX-objecten zonder tussenkomst van de gebruiker geïnstalleerd worden.

Moderatie-faq Wijzig weergave

Reacties (53)

Kan iemand mij nu uitleggen in hoeverre dit een bug in de code is?
Als het geen bug is dan kun je het vergelijken met spam die je zelf installeert. Het OS weet niet of het een nieuwe versie van patience is, ofdat het spyware is.
Het kan ook zijn dat het een echte bug is die aangepast zou kunnen worden.
Wel is het zo dat de meeste gebruikers van WM10 ook de beschikking hebben over WinXPSP2. Als deze risico's inperkt (of helemaal weghaalt) is het ook goed.
Ik vind het artikel maar wazig, het is niet echt concreet over gevolgen en risico's.
Kan iemand bij enige technische verduidelijking in normaal Nederlands geven, graag?
Naar mijn weten is dit meer een "exploit" / "feature" en dus geen bug per definitie.in plaats van naar de codec site te gaan gaat ie naar een andere site met malware/virusen etc...
Vergelijk het met een url die in het bestand gewijzigd word van www.microsoft.com/codecs/ naar iets van www.pornandvirus.com
Het is belangrijker om gebruikers voor te lichten en duidelijk te maken wat goed gedrag is bij het downloaden van bestanden.
PARDON..?!? Met andere woorden, WMP gaat nogal slordig met het downloaden van licensies om, maar het is de fout van de gebruiker?

Volgens mij is het eerder andersom, Microsoft heeft de expertise in huis, de gebruiker niet. Zij maken een OS dat zich richt op mensen die de computer gebruiken zoals ze een TV en een Magnotron gebruiken. Nu draaien ze de rollen ineens op, schuiven ze alles op de gebruiker af (dat deze de kennis maar moet hebben), en beweren ze dat Microsoft zelf niet verantwoordelijk is.


toevoeging: met SP2 heeft Microsoft een hoop beveiliging aangescherpt, waarschuwings schermen toegevoegd, etc.. om te voorkomen dat de gebruiker domme dingen doet.. Nu lijkt de wereld weer ff helemaal omgekeerd.
verklaar u eens nader, want de redenering klopt niet, MS maakt niet alle licences, dus programma X gaat z'n licence downen op site Y, hoe moet WMP nu na gaan of site Y legitiem is? een lijst aanleggen is een mogelijkheid, maar om nu te zeggen dat het MS z'n fout is?

volgens mij hebben ze toch wat gelijk, vele mensen zitten maar wat te klikken zonder de boodschappen te lezen en gaan achteraf klagen...
Waarom the fuck kan er software geinstalleerd worden als je een licentie wilt hebben? Een licentie is geen uitvoerbare code!
Dit lijkt mij een fout in het ontwerp van de licentiemethode van WMP.
ja, dat wijst op een of ander gat in de software, wat microsoft dus wel moet fixen.
WMP gaat een licentie downloaden, dat is dus gewoon een file, in een of ander format wat in de DRM specificaties is vastgelegd. Je zou verwachten dat die licence file dan ergens wordt opgeslagen en alleen maar als input geopend wordt dopor WMP om te lezen. Geen kans op uitvoering van wat voor code dan ook, tenzij er een buffer overflow of zo'n soort bug in WMP zit.
Wat ook kan, is de slordigheid waarmee windows applicaties in elkaar zitten: WMP download de license file, maar ipv hem zelf meteen als input te openen, voert hij hem aan Windows, in de trant van "ik heb deze file, voer maar uit zoals dit filetype uitgevoerd hoort te worden", en dan blijkt het ding een executable te zijn, dus windows denkt, "mooi, die voeren we uit". Zo werkte diverse mail-exploits, en het zou me niets verbazen als dat met WMP net zo goed het geval is.

Dus wat moet er aan DRM toegevoegd worden (als je al DRM wilt maar dat is een heel andere discussie). Licenties zouden bv met een SSL certificate beveiligd moeten worden en er zou de gebruiker een dialoog getoond moeten worden: dit en dit gedownload van die en die site, wilt u dit installeren?
En dan vervolgens er ook voor zorgen dat wat het ook voor file is, de file alleen neergezet wordt in de directory met DRM licenties, en niets wordt er uitgevoerd.

Maar ja, ze zullen DRM wel gebouwd hebben dat het zo hoort dat een deel van de licentie uitvoerbare code bevat om iets "leuks" te doen...

Edit: foutje, de licenties werken al met certificate signing, alleen zoals anderen al opmerken: iedereen kan een certificaatje kopen, dus het zegt niet zo veel als iets gesigned is. Blijft natuurlijk dat de software na downloaden moet kijken wat de gedownloade file is en of het wel een geldige DRM licentie file is, en anders meteen de prullenbak in.
Ze moeten toch zelf ook hun zooi kunnen installeren om automagisch je illegale MP3's te verwijderen?
Ten eerste zijn het WMA's, en geen MP3's (tot zover het mierenneuken). En verder blijven de WMA's zover ik weet (ik heb der ook nog nooit een gezien ofzow :)) gewoon op je schijf staan, maar speelt ie gewoon niet meer af na een tijdje. Lijkt me apart dat je door je explorer venster aan het bladeren bent en opeens allemaal bestanden ziet verdwijnen...
verklaar u eens nader, want de redenering klopt niet, MS maakt niet alle licences, dus programma X gaat z'n licence downen op site Y, hoe moet WMP nu na gaan of site Y legitiem is
Misschien door:
- alleen bestanden te downloaden die ook echt een licensie zijn..?
- of niet automatisch openen in IE?
- of de default optie "nee" maken? (als je op enter drukt)
- de URL weergeven waar de licensie van gedownload wordt? (weet de gebruiker ook dat deze niet naar een exe file verwijst)

dat is nog het minst wat ze kunnen doen. Het alternatief is immers dat WMA niet meer veilig afgespeeld kan worden.. |:(
volgens mij hebben ze toch wat gelijk, vele mensen zitten maar wat te klikken zonder de boodschappen te lezen en gaan achteraf klagen...
Als je dat weet, kun je daar toch op anticiperen? ipv het op deze manier "afstraffen"?

Verder, zie onderdaan de reactie van 'ebx' :)
MS maakt niet alle licences, dus programma X gaat z'n licence downen op site Y, hoe moet WMP nu na gaan of site Y legitiem is?

Inderdaad, daar zit 'm het hele probleem. Met andere woorden: dit systeem werkt niet en zal nooit werken. Dat had Microsoft zich natuurlijk ook van te voren kunnen bedenken, en daarom is het Microsoft's fout. Het is gewoon een onveilig ontwerp, net zoals Active X een onveilig ontwerp is.

Wat wel werkt is "trusted computing", maar dat betekent dat Microsoft alles controleert wat er op mijn PC gebeurt en daar zit ik niet op te wachten. Het lijkt wel alsof Microsoft ons met deze flaters probeert warm te maken voor trusted computing: "als je van al die virussen af wil: verkoop je ziel aan ons en wij zorgen dat ze weg gaan".
Het lijkt wel alsof Microsoft ons met deze flaters probeert warm te maken voor trusted computing
en dat noemt men bij microsoft dus gewoon marketing


:r :r :r
verklaar u eens nader, want de redenering klopt niet, MS maakt niet alle licences, dus programma X gaat z'n licence downen op site Y, hoe moet WMP nu na gaan of site Y legitiem is? een lijst aanleggen is een mogelijkheid, maar om nu te zeggen dat het MS z'n fout is?

MS maakt inderdaad niet alle licenties. Het systeem is erop gebaseerd dat licenties worden gedownload bij vertrouwde partners. Of iets dergelijks. Eenieder kan verzinnen dat dit niet zo'n heel goed systeem is, want wat nou als de partner in kwestie niet zuiver op de graat is?

En jawel, op een gegeven moment gaat het fout.

Het is dus wel degelijk de fout van MS. Het systeem dat ze hebben verzonnen is namelijk niet goed. Dat wil zeggen, voor MS is het een prima systeem, maar het beperkt de mogelijkheden van de gebruiker en stelt deze bovendien bloot aan veiligheidsrisico's.

Maar goed, dat is natuurlijk niets nieuws. :)
Inderdaad wel grappig. Ik stap naar VeriSign, ik krijg een licentie en klaar. Ik misbruik 't ding totdat het wordt ingehouden en vraag een nieuwe aan. Andere naam, ander adres misschien, who cares? Alles verloopt toch virtueel.
De spreekwoordelijke spijker op z'n spreekwoordelijke kop. :)
Net zoals firefox, gewoon verplichten naar de juist site te gaan andere compleet weren.
Waarom mag een licentie een executable zijn? Da's de eigenlijke vraag.

Mij lijkt het, dat er alleen een code hoeft te worden ontvangen en niet een programma dat de rechten heeft om onzin uit te halen met systeembestanden.
Precies!

Uiteindelijk zal deze houding MS de nek omdraaien, en dan gaan mensen naar alternatieven (MAC OS of Linux (voor de techneut/tweakers/etc)) kijken.
Er is een reden waarom ze dit niet fixen. Dat kan namelijk wel eens de bruikbaarheid van alle in het wild uitgezette met DRM beveiligde wmv-bestanden om zeep helpen.

Dus doet repareren meer pijn dan de zaak zo laten. Oplettende gebruikers kunnen immers toch ruiken dat er iets niet in de haak is. :Z

De werkelijkheid kan wel eens zijn dat wmv/wma een slechte naam krijgt en open alternatieven hier ook een buitenkansje krijgen alla Firefox.
Nu zijn ze zelf gestopt met het patchen van gekende bugs, ziet er weer goed uit voor MS :)

De hele bug draait rond het feit dat als ik nu een WMV maak, daar een DRM opzet, en als verifiactieurl eens een url opgeef dat eigelijk geen licentiefile, maar een kwaadaardige code is, dan hang je, ook al draai je het wonderveilige SP2.

Het enigste wat MS moet doen is een eenvoudige controle, nl. of de gedownloade licentiefile ook wel een licentiefile is. Dan zou het opgelost zijn :s

* aan boner, zo'n aanpassing kost geen miljoenen

En als ze daarop reageren met het antwoord dat ze eerst een SP2 opgepast popup gaan krijgen, vind ik dat vrij zwak, aangezien je bij SP2 voor alles een opgepast popup krijgt ..
En gelijk hebben ze. Er zijn oplossingen genoeg om dit soort aanvallen tegen te gaan. Dus waarom dan vele miljoenen uitgeven om iets aan te passen. En dan heb je ook nog iets als backward compatibility problemen. Dus zou je jezelf alleen maar verzwakken voor niks.
Inderdaad, waarom zou je van die rechten beperkende DRM toestanden kopen en gebruiken als er ook fatsoenlijke alternatieven zijn.
Ik vind dat een groot deel van de entertainment industrie zich tegenwoordig echt niet meer redelijk gedraagt tov hun klanten. Ik hoef gewoon geen muziek waarvan de verkoper zegt dat ik er maar een maand naar mag luisteren en andere vergelijkbare toestanden.
Ik hoef geen muziek waarvan de uitgever bij voorbaat al meent dat ik een potentieel crimineel ben, die tegen zichzelf beschermt moet worden.
FrankL
Dan koop je zeker ook geen kleding die in de winkel met anti-diefstal-tags is beveiligd?
Of boeken met een anti-diefstap-strip?
Zolang ze die tags maar verwijderen of deactiveren nadat je betaald heb :+
Dan koop je zeker ook geen kleding die in de winkel met anti-diefstal-tags is beveiligd?
Of boeken met een anti-diefstap-strip?
Ik HOEF wel muziek die ik een maand mag gebruiken, maar dan wel tegen huurtarieven E 0.10 tot E 0.25 per nummer dus. Kan je muziek uitproberen en later besluiten of je het wel of niet koopt. Maar ja, dat kost MS klanten (platenmaatschappijen) natuurlijk klanten, omdat die geen bagger muziek meer downloaden omdat ze van te voren al weten dat het bagger muziek is, en hiermee kost het MS ook weer klanten...
Er zijn oplossingen om kwaadwillende software te stoppen, maar in dit geval is de software zelf niet kwaadwillend. De enige oplossing is het niet gebruiken van de automatische licentie update feature.
Virusscanners, ad-ware en andere beveiligingssoftware worden ineens een stuk kritischer.

Normaal kun je veel ellende voorkomen door niet op foute sites te komen, maar met dit soort bestanden kun je dat al niet meer voorkomen.
Daarnaast staat IE nu niet bekend om de veiligheid, en zover ik weet gebruikt WMP automatisch IE voor dit soort geintjes. Firefox of Opera kunnen je ook niet helpen.

* 786562 TheGhostInc
dat is niet helemaal waar, WMP heeft zijn eigen webengine :D en die lijkt let wel *lijkt* veel op IE. Daar wordt het natuurlijk niet veiliger op ;)
Dus het is niet vreemd dat iets dat bedoeld is om licenties te controleren ook gebruikt kan worden om, zonder tussenkomst van de gebruiker, software te downloaden en starten?
Daarnaast wijst Coleman op securityfeatures in Windows XP Service Pack 2, die het onmogelijk maken dat popups geopend worden en ActiveX-objecten zonder tussenkomst van de gebruiker geïnstalleerd worden.

Toch jammer als je geen Windows XP hebt.......
Als je geen windows gebruikt heb je sowieso geen last van ActiveX, en als je een oudere versie van windows gebruikt, dan sta je ook vrij om niet-verouderde browsers te gebruiken; er zijn er genoeg (opera, mozilla, enz), dan heb je ook geen last meer van ActiveX.
geinig hoor, je verstuurt een paar van die bestanden per email, er zijn altijd een paar idioten die het openen, van daaruit installeer je een wormvirus op de pc en laat je de file vanaf hen het verder spreiden. Een mediafile wordt nog steeds makkelijk geopend, het is immer geen script of programma?

En als je een kritsich aantal downloads van je mailers hebt gedowned kan je uiteraard andere backdoors laten ophalen voor andere spamactiviteiten bijvoorbeeld. Dan kan je er nog aan verdienen ook.

edit
was als reactie op boner bedoeld
/edit
Sja, gewoon geen windows mediaplayer gebruiken, maar een ander programma, die gewoon begint met afspelen ipv eerst allerlei dingen op internet op te zoeken...
Ja, maar dat gaat met die drm bestanden dus niet werken...

Die zijn Windows Media player only.
Als we allemaal afspreken ze niet te gebruiken draait MS snel genoeg bij. Jammer alleen dat de gebruikers hier niet hecht genoeg voor georganiseerd zijn.
En ook jammer dat ze het toelaten om het systeem zo 'ziek' te laten worden. Besmet, maar niet zichtbaar/merkbaar.. 'U mag de buurman geen hand meer geven, want dat vergroot de kans op griep'.

Zo goed, Big Brother?
Tja, als straks op deze manier een of andere worm verspreid wordt om bv. een dDoS op Microsoft uit te voeren, dan zullen ze het wel ineens willen aanpassen }>
Dat hele DRM is toch vrij nutteloos voor gebruikers. Het is min of meer opgelegd door de platenindustrie, die bang zijn voor illegale kopiën. Als gebruiker ben je beter uit met Ogg Vorbis of MP3, zowel qua vrijheid, geluidskwaliteit en nu dus ook veiligheid.
ID3 tag virusjes? Tja, als gebruiker ben je écht véél veiliger.
Om even toetelichten wat hier gebeurd en uitteleggen dat dit geen bug is zoals men nu gelijk weer roept pfff....

Stel men heeft een xxx.wmv :
Men opent die file WMP vraagt er is een licentie nodig voor dit betsnad en gaat dus opzoek. dan komt hij met een .EXE of .CAb etc. en vraagt of je die wilt downloaden en installeren en geeft precies dezelfde melding als er in je browser een exe gedownload word die niet gesined is.

Klik je dus ja bij de onbvekende download van een vage server en dan istaleer je dus spyware op een zelfde manier als somige download sites dat doen.

Het si dus user interaction/onwetenheid en geen programeer fout.
Het verbaast mijn dat dit zolang geduurd heeft want zelf had ik er 4 jaar geleden al aan gedacht.

Met name van pr0n movietjes had ik dit wel verwacht.
Dus stop maar met flamen allemaal...
je maakt dezelfde denkfout als de securityafdeling van MS: een active-x component signen kan jij ook, met je eigen certificate, gekocht voor een paar euro (99 dacht ik). Dat maakt de code IN het component nog niet valide! Diverse spy/malware is gesigned tegenwoordig om toch mee te komen met installaties.
Downloaden van programma's en instaleren en meldingen geven zecht niet over de inhoud van de software..

Kijk maar naar het grootste voorbeeld daar van Kazaa, helemaal vol met spyware en iedereen installed het.. :Z
Klik je dus ja bij de onbvekende download van een vage server en dan istaleer je dus spyware op een zelfde manier als somige download sites dat doen.

Het si dus user interaction/onwetenheid en geen programeer fout.

Jij kent dus alle servers waar wel legitieme dingen worden opgehaald uit je hoofd? Of heb je daar een lijst van, die je raadpleegt als je zo'n boodschap krijgt?

Het is inderdaad geen programmeerfout, immers het systeem werkt zoals het zou moeten werken. Het systeem is alleen slecht. Het legt de verantwoordelijkheid voor iets waar de gebruiker niet om gevraagd heeft en wat niet in het belang is van de gebruiker bij diezelfde gebruiker.
Om even toetelichten wat hier gebeurd en uitteleggen dat dit geen bug is zoals men nu gelijk weer roept pfff....
Jouw verhaal zou natuurlijk wel kunnen kloppen, maar heb je je wel eens afgevraagd waarom het wel goed gaat als ze gewoon geen executables toestaan maar alleen licentiebestanden? Heel roerend dat je zo'n domme bug gaat proberen te verdedigen, maar helaas, het blijft een bug. Zelfs eentje die MS al zo ontzettend vaak aan de hand heeft gehad dat je zolangzamerhand toch zou denken dat ze het op tijd zouden merken.

Indien er een moderatie -1 inzichtsloos zou bestaan, zou ik die uitgedeeld hebben, dat scheelt weer typen ;-)
Daarnaast wijst Coleman op securityfeatures in Windows XP Service Pack 2, die het onmogelijk maken dat popups geopend worden en ActiveX-objecten zonder tussenkomst van de gebruiker geïnstalleerd worden.
Mja, als microsoft het blok beton dat voor hun harses hangt niet verwijdert wordt het alleen maar erger ben ik bang. Ik bedoel, wat deze meneer roept is maar 1 kant van de medaille: je kunt geen unsigned active-x object installeren automatisch. Inderdaad. Echter, het punt is dat iedere gek een certificate kan kopen en zn active-x component kan signen (wat ook gebeurt: coolwebsearch, een malware, is signed). Als dat gebeurt, zal IE doodleuk roepen: "Is gesigned, dus valide, ga gerust verder!", en de ellende begint.

Bij microsoft kiest men nog altijd voor 'ja maar Jantje Debiel gaat dan huilen dat het zo lastig is na de security fixes, dus laten we het maar wat makkelijker maken'... Ipv dat ze ActiveX uit IE halen by default. (dus dat je expliciet in een policy moet aanvinken dat je ActiveX in IE wilt). Men doet dat niet want dat geeft ellende... mja, dit ook. Het verschil is dat deze ellende (met malware exploits etc.) bij de gebruiker ligt, en dat is toch altijd wat makkelijker, dat kost nl. geen helpdesk kosten.
ow... Ik krijg in IE 6 SP2 steeds een melding (als ik iets met activex wil insen) of er nou een geldige licentie is of niet. Acepteer met een klik op het 'balkje' en klik daarna op Installeren......

En ja, iedereen kan iets signen... maar of je die sign accepteerd is een tweede. Daarnaast is activex een goed systeem, alleen wordt het te veel geexploid.

MS heeft 2 opties:

1. gooi DRM er uit (hopelijk doen ze dat :P)
2. doe niets. (waarscheinlijk doen ze dat)
Mja, als microsoft het blok beton dat voor hun harses hangt niet verwijdert ..
Mwa, niet te subtiel, hè
ROFL :9 :P
It's not a bug, it's a feature!

Na vrijwel alle office bestanden zijn dus nu de media-bestanden aan de beurt om virussen in zich te gaan herbergen. Dank je wel Microsoft :(
Wat is de volgende stap? Automatisch url's gaan openen in plain text documenten?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True