Microsoft: 'lek in Windows XP SP2 DEP is geen lek'

Afgelopen zondag schreven wij dat een Russisch securitybedrijf een mogelijkheid had gevonden om het in Windows XP Service Pack 2 geïntroduceerde Data Execution Prevention (DEP) te omzeilen. Microsoft heeft hier afgelopen dinsdag op gereageerd, zo meldt C|Net. Volgens het bedrijf uit Redmond is het door de Russen gepresenteerde lek geen lek in de software, omdat het niet mogelijk is om deze methode zèlf te misbruiken om kwaadaardige code in het geheugen te laden. Daar komt bij dat de technologie nooit was bedoeld als 'foolproof', maar juist om het ontwikkelen van aanvallen moeilijker, en dus niet onmogelijk, te maken. Microsoft heeft aangegeven de Data Execution Prevention-technologie te blijven ontwikkelen, waardoor dit probleem mogelijk in de toekomst toch opgelost zal worden.

Peter Lindstrom, onderzoeker bij Spire Security, meent dat het probleem met DEP niet volledig op het conto van Microsoft komt. Volgens de onderzoeker heeft dit probleem namelijk meer te maken met een gebrek in het securityontwerp van softwareapplicaties dan dat Microsoft een lek heeft laten zitten. Hij meent overigens wel dat het Redmondse softwarebedrijf hier steken heeft laten vallen om Windows beter te maken, maar dat betekent niet direct dat er sprake is van een lek. Het Russische Positive Technologies heeft het 'lek' gepubliceerd nadat Microsoft had aangegeven niet direct met een oplossing te komen. Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen, aldus de Russen.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 02-02-2005 11:38 51

02-02-2005 • 11:38

51

Bron: C|Net

Lees meer

Twee varianten 'Zotob'-worm losgebroken
Twee varianten 'Zotob'-worm losgebroken Nieuws van 15 augustus 2005
Windows XP SP3 komt eerder dan Longhorn
Windows XP SP3 komt eerder dan Longhorn Nieuws van 3 mei 2005
Niet-Microsoft software wordt vaker doelwit van hackers
Niet-Microsoft software wordt vaker doelwit van hackers Nieuws van 2 mei 2005
SP2 uitsluiten van automatische updates niet meer mogelijk
SP2 uitsluiten van automatische updates niet meer mogelijk Nieuws van 13 april 2005
'Meerderheid bedrijven pikt Windows XP SP2 niet op'
'Meerderheid bedrijven pikt Windows XP SP2 niet op' Nieuws van 5 april 2005
Traditionele worm verdwijnt uit viruslandschap
Traditionele worm verdwijnt uit viruslandschap Nieuws van 19 maart 2005
Windows XP SP2 Data Execution Prevention is te omzeilen
Windows XP SP2 Data Execution Prevention is te omzeilen Nieuws van 30 januari 2005
Microsofts 'Titan' zal tien virussen elimineren
Microsofts 'Titan' zal tien virussen elimineren Nieuws van 11 januari 2005
Nieuwe exploits voor Windows als kerstcadeau
Nieuwe exploits voor Windows als kerstcadeau Nieuws van 25 december 2004
Kritieke configuratiefout opgelost in XP SP2 firewall
Kritieke configuratiefout opgelost in XP SP2 firewall Nieuws van 17 december 2004
Release candidates voor Windows-updates vrijgegeven
Release candidates voor Windows-updates vrijgegeven Nieuws van 8 december 2004
Microsoft waarschuwt voor lekken en brengt patches uit
Microsoft waarschuwt voor lekken en brengt patches uit Nieuws van 13 oktober 2004
Celeron D met XD-bit op de markt verschenen
Celeron D met XD-bit op de markt verschenen Nieuws van 11 oktober 2004
Microsoft en beveiliging, de planning na Windows XP SP2
Microsoft en beveiliging, de planning na Windows XP SP2 Nieuws van 23 augustus 2004
Eerste lekken in Windows XP SP2 gevonden
Eerste lekken in Windows XP SP2 gevonden Nieuws van 18 augustus 2004
Ondersteuning NX-bit in SP2 positief voor marketing AMD
Ondersteuning NX-bit in SP2 positief voor marketing AMD Nieuws van 10 augustus 2004
Meer producten en artikelen
Software

Reacties (51)

-Moderatie-faq
51
41
26
9
0
4
Wijzig sortering
a.prinsen 2 februari 2005 11:42
Microsoft heeft aangegeven de Data Execution Prevention-technologie door te ontwikkelen wat betekent dat dit probleem in de toekomst toch opgelost zal worden.
Nee het is geen lek, maar we zullen het in de toekomst toch maar verhelpen... een feature zullen we het dan maar noemen....

Het is een security optie die misbruik van apps moet voorkomen. Als deze security optie (met voorkennis) gemakkelijk omzeilt kan worden dan werkt hij toch niet? en is dus als dusdanig LEK, het maakt de misbruiker niet eens moeilijker, het zorgt er alleen voor dat hij een aangepaste procedure moet gebruiken om je PC te hacken!.

Als ik deze crap van die PR mannen van Microsoft (of PR mannen in algemeen, immers maken veel bedrijven zich hier aan schuldig) hoor kan ik me goed voorstellen waarom Microsoft door veel mensen graag door het slijk wordt gehaald.
Ik denk dat ze toch een aandere PR strategy op zouden moeten nahouden. Want hun huidige strategy is duidelijk de full-american aanpak.. deze is zeker niet zo populair hier in europa of in asie.
Eric Oud Ammerveld @a.prinsen2 februari 2005 11:51
Ik wordt inderdaad doodmoe van die "nee, dat is geen lek" berichten.

Als een applicatie of gebruiker code kan uitvoeren / geheugen lokaties kan benaderen etc. wanneer dit volgens de basis van het systeem niet zou mogen, is het een BUG. En dus moet er een update voor komen.

In software zitten nou eenmaal bugs, dit is niet (zomaar) te voorkomen.
Je kan geen applicatie van een dergelijke omvang maken zonder bugs omdat software nog altijd wordt ontwikkeld door mensen en mensen maken fouten.
Het voordeel daarvan is dat ze d'r van leren om dergelijk fouten in de toekomst niet meer te hoeven maken.

Een tipje voor Microsoft: Zorg dat je ontwikkelafdeling gerichter en sneller updates kan uitbrengen voor dergelijke "bugs" en dat de eindgebruiker er niet maanden op moet wachten.
Daarnaast is een zeer nauwe samenwerking tussen de testers en ontwikkelafdeling geen overbodige luxe.

Hier een interessant artikel over bugs in commerciële en niet-commerciële applicaties.
Vunzz @Eric Oud Ammerveld2 februari 2005 12:27
Zoals je zelf al aangeeft is het geen LEK, maar een BUG. Da's heel wat anders!
Anoniem: 21352 @Vunzz2 februari 2005 17:00
Een bug betekend dat de software niet goed functioneerd (vastloopt verkeerde akties neemt).
Een lek is een fout in de software waardoor er extern iets gedaan kan worden (iets uilezen , opstarten , Code in het geheugenplaatsen)

Een BUG hoeft dus niet persee een lek te zijn .
Metal Baron @Vunzz2 februari 2005 18:42
@ Torch: maar een lek wel een bug, dat was geloof ik waar het even om ging.
Eric Oud Ammerveld @Vunzz2 februari 2005 12:53
Een LEK verkregen via een BUG is en blijft een al dan niet indirect LEK.

Als iemand bij jou boot vergeten is een stop op de
zelfhozer te maken is dat een bug.
Het effect is en blijft dat je boot zo lek als een
mandje is en dus vol loopt met water.

Daardoor impliceert een bug dus een lek.
84hannes @Vunzz2 februari 2005 14:20
Wat is een lek anders dan een bug in de beveiliging?
curry684 @a.prinsen2 februari 2005 13:13
Nee het is geen lek, maar we zullen het in de toekomst toch maar verhelpen... een feature zullen we het dan maar noemen....
Ik proef enige vorm van sarcasme.... mag ik vragen waarom?

Er is een tekortkoming van in doorontwikkeling zijnde software geconstateerd die niet exploitable is en die niet het functioneren van het systeem belemmerd. Ik zie het probleem niet dat ze dan gewoon netjes zeggen dat dat 'lek' dat de publiciteit gehaald heeft geen lek is?
Eric Oud Ammerveld @curry6842 februari 2005 14:43
D'r is nergens aangetoond dat dit "lek" / deze bug niet exploitable is.
Hierdoor kan een lekke applicatie zelfs met DEP ingeschakeld nog steeds misbruikt worden om tot 1016 bytes naar een willekeurig geheugenadres te schrijven, willekeurige code uit te voeren en DEP uiteindelijk zelfs volledig te omzeilen.
Als je al naar een "willekeurige" geheugenlokatie kan schrijven kan je heel veel bereiken. Maar dat hoef ik jou niet uit te leggen, denk ik.

Echter gezien de omvang en achtergrond van dit "lek" / deze bug kan ik begrijpen dat MS er zelf geen ophef over maakt.
Als je de kans tot inbraak hebt gereduceerd (wat in principe d.m.v. Data Execution Prevention gerealiseerd is) heb je goed werk verricht.
Nu alleen nog zaak om het verder te verbeteren.
kodak @Eric Oud Ammerveld2 februari 2005 15:43
@TheDuke: Eric heeft wel degelijk goed gelezen. Want sinds wanneer kan een exploit alleen misbruikt worden in de vorm van een worm of virus?!
TheDuke @Eric Oud Ammerveld2 februari 2005 15:34
't lezen gaat je goed af
Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen, aldus de Russen.
leuk_he @a.prinsen3 februari 2005 10:38
Nee, het is geen feature die meteen gexploiteerd kan worden. Het is alleen een manier om om "DEP" en aanverwante SP2 features heen te gaan.

Als er (weer) een echte buffer/heap overflow error wordt gevonden blijkt nu vaak dat windows2000 wel gevoelig is, en XP SP2 niet. Dat komt door DEP en andere features die zijn toegepast in SP2. (onder SP2 zal het programma enkel crahsen,onder SP1 kan een hacker code uitvoeren op je pc).

Echter een exploit in combinatie met wat die russen gevonden hebben maakt SP2 weer bijna net zo gevoelig als een volledig gepachte windows 2000.

Eigen applicaties zijn ook gevoelig totdat je ze compileerd met die opties die ook zijn gebruikt voor SP2.
Anoniem: 76149 @Anoniem: 391162 februari 2005 18:43
Ik vind het altijd zo grappig dat altijd gezegd wordt dat Windows structureel insecure is, maar dat nooit precies uitgelegd wat structureel of welke structuur nou precies insecure is.

Er zijn 2 argumenten die altijd voorbij komen, namelijk:
- De eerste user is administrator
- Internet Explorer is geintegreerd in het OS.

Het eerste argument is niet eens een structurele fout. Het gaat hier om gemakzucht van de gebruiker en 3rd party developers.

Het tweede argument is wel structureel, maar in zijn huidge opzet hoeft deze niet insecure te zijn. Dat deze het wel is, komt omdat het concept gewoon niet zo goed geimplementeerd is.

Dus als iedereen voortaan gewoon zegt dat Windows slecht geimplementeerd is, in plaats van structureel slecht in elkaar zit, ben ik gelukkig. Tenzij ze natuurlijk aan kun geven wat er nou echt structureel fout zit...
Anoniem: 17264 @Anoniem: 761492 februari 2005 19:10
Maar niet alleen Third party developers gaan hiermee de mist in ook Microsoft zelf.

Probeer onder Windows 2000 of XP maar eens als beperkte gebruiker plaatjes in paint of Microsoft Photo editor te openen. Dit gaat niet. Je hebt hier hoofdgebruiker rechten voor nodig. Daar gaat dan het goede beveiligingssysteem alweer.

Microsoft geeft dus ook niet bepaald het goede voorbeeld. Hoe kan je het dan van de andere verwachten.
BoGhi @Anoniem: 391162 februari 2005 22:55
Je kunt heel goed een sluitende driehoek om een vierkant heen leggen hoor.. ;)
the_stickie 2 februari 2005 11:45
Waar zit dan het "veiligheidslek" al het niet misbruikt kan worden door derden :?

Voor de eigenaar van een computer is er sowieso de mogelijkheid DEP (net zoals andere securtity features zoals de firewall, virusscanner,...) uit te schakelen. Is dat dan ook een lek?

Imho heeft dat russisch bedrijf (je?) de media willen gebruiken als marketinginstrument. Zij zijn het immers die bij dit nieuws steeds met naam en toenaam genoemd worden ;)
boesOne @the_stickie2 februari 2005 11:52
Duh, Je kan ActiveX ook disablen.. dus is er geen probleem met ActivX..
Mars Warrior 2 februari 2005 12:26
Ff goed lezen hoor:

Volgens het bedrijf uit Redmond is het door de Russen gepresenteerde lek geen lek in de software, omdat het niet mogelijk is om deze methode zèlf te misbruiken om kwaadaardige code in het geheugen te laden.

...en...

Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen, aldus de Russen.

Dus:
- Microsoft zegt dat het lek onbruikbaar is
- De Russen zeggen hetzelfde...

Als Amerikanen en Russen het met elkaar eens zijn, waar wordt dan zo'n drukte over gemaakt???
Anoniem: 98889 @Mars Warrior2 februari 2005 13:15
Omdat er mogelijk morgen een ander gat gevonden wordt waardoor dat DEP 'probleem' misschien wel te misbruiken is...
Anoniem: 132291 2 februari 2005 11:44
Lek is geen lek,

"wat betekent dat dit probleem in de toekomst toch opgelost zal worden"
"Daar komt bij dat de technologie nooit was bedoeld als 'foolproof', maar juist om het ontwikkelen van aanvallen moeilijker, en dus niet onmogelijk"

Het loopt iig niet over van duidelijkheid. Dit lijkt meer op een goedmaak praatje. Feit blijft dat ze zelf al aangeven dat het niet foolproof is... Dan is het dus toch lek.....
a.prinsen @Anoniem: 1322912 februari 2005 11:59
Foolproof zal het nooit zijn en hoeft het ook niet te worden.
Als iemand DEP uit zet dan zel DEP het niet doen. (dus het zal nooit foolproof zijn zolang mensen het kunnen instellen.)
Maar het moet wel doen wat het hoort te doen als het goed is ingesteld. Dat doet hij dus nu niet.
Fairy @a.prinsen2 februari 2005 13:00
Een virus schrijven dat middels een macrootje de DEP uitzet is zo gemaakt. Ik vind het niet echt een beveiliging...
Anoniem: 45450 @Fairy2 februari 2005 14:24
Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen.
Als virussen geen gebruik kunnen maken van dit lek, waarom zouden ze het dan activeren? :?
Metal Baron 2 februari 2005 18:47
Daar komt bij dat de technologie nooit was bedoeld als 'foolproof', maar juist om het ontwikkelen van aanvallen moeilijker, en dus niet onmogelijk, te maken.
.

Nou, ik moest toch wel even lachen toen ik dit las, want op die manier kan je elk lek wel afdoen als onbelangrijk. Gaat MS straks bij security patches soms ook zeggen: "Het lost het probleem niet op, maar we hebben het wel weer iets veiliger gemaakt"?
Anoniem: 76149 @Metal Baron2 februari 2005 18:56
Hoewel ik niet exact weet wat de exploit inhoud, heb ik het sterke vermoeden dat we hier spreken over een local exploit.

Local exploits kunnen een priviligde escalation veroorzaken, of als de user al administrator is, deze rechten gebruiken om kwaadwillende dingen met het systeem te doen. Het is overigens belangrijk om te realiseren dat als je een beperkte user bent, je ook kwaadwillende dingen kan doen (zonder priviligde escalation).

Waarom ze dit als geen lek maar wel belangrijk om te fixen classificeren, is omdat het niet remote exploitable is. En als het niet remote exploitable is, dan kan je er geen worm voor schrijven, wat de nuttigheid van deze lek sterk verminderd.
Belboer @Anoniem: 761492 februari 2005 19:38
Het is geen exploit. Met DEP wordt beoogd het uitbuiten van bestaande exploits in andere programmatuur tegen te gaan door stack manipulatie onmogelijk te maken. Of de exploit local of remote is maakt hierbij niet uit.
Nu is gebleken dat DEP te omzeilen is waardoor je toch bepaalde exploits kan uitbuiten. Microsoft zegt dat er geen lek is. Dat klopt opzich als je het vertaald met "er is geen exploit in DEP". Echter de DEP doet ook niet (goed) waar het voor bedoeld is.

Samengevat: DEP was bedoeld om lekken te dichten en doet dat niet goed. Dat betekend niet dat er nieuwe lekken zijn maar dat oude lekken niet gedicht zijn.
Siluro 2 februari 2005 11:47
Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen, aldus de Russen.
Dan is het toch verder niet gevaarlijk, dus lijkt mij er ook geen noodzaak om het direct op te lossen.
Anoniem: 124882 2 februari 2005 12:49
Dit schreeuwt gewoon om iemand die het lek benut om het tegendeel te bewijzen }>
To_Tall 2 februari 2005 13:20
ach ja de oorlog tussen deze 2 reuzen zijn net over. wij bakelijen er weer over, ja/nee speletje.

LEK in de software moet worden opgelost, misch in de toekomst dat de lek wel gebruikt kan worden. vandaar.
Anoniem: 47898 3 februari 2005 00:48
Misschien mierenneukerij maar :
omdat het niet mogelijk is om deze methode zèlf te misbruiken om kwaadaardige code in het geheugen te laden.
dit is niet de juiste letterlijke vertaling, namelijk ;
"An attacker cannot use this method by itself to attempt to run malicious code on a user's system," Microsoft said in a statement.
Harm Hilvers schrijft alsof het om de gebruiker gaat,
maar het stukje verwijst naar de aanvaller de "attacker".

Zoals MS zelf zegt :
"There is no attack that utilizes this, and customers are not at risk from the situation."
Mischien was het beter te zeggen dat het nog niet zover is. }> ....


}> }>
WinL @Anoniem: 1188292 februari 2005 14:22
In hoeverre het een bug of feature is, kun je je afvragen. Wel is en blijft het een verbetering, eerst was er geen DEP. Daarbij kan alleen processor implementatie de echte uitkomst bieden.
Maar als iemand mij wat meer preciese achtergrond informatie kan verstrekken ben ik hem of haar heel dankbaar.

@ Q187
Gaan we weer.
Dit is een 'drogreden', een overhaaste generalisatie. Jij zegt dat wanneer 1 Chinees restaurant slecht is, dat alle dat zijn. Dit is gewoon onzin. Het kan een uitzonderingen zijn, en slechte zaken hoeven niet weder te keren.
Dit Win95 wat minder lekker liep, wil nog niet zeggen dat WinXPsp2 ook zo slecht is.

Jij bent gewoon een rund dat je daaruit durft te concluderen dat WindowsXPSP2 slecht is.
Daarbij rap jij ook niet over Win2K, ook zeer stabiel.
Onderbouw dan je argumenten, haal geen oude koeien uit de sloot (die toch niet van toepassing zijn) en probeer eens WinXPsp2 en Win2003 op een professioneel niveau uit.

Excuses mede tweakers dat ik het scherm weer vul met letters. Maar sommige dingen moeten gewoon even recht gezet worden.
ThunderNet @Anoniem: 1188292 februari 2005 14:57
@Win L: Amen! :Y)
kon er wel weer effe een of ander scriptkiddy een of ander Sub7 hack tooltje in elkaar toveren en wat geintjes uithalen zolang er nog geen virus defenities van zijn..
@Q187
Mmz bij Sub7 was nog altijd zo dat je zelf eerst een executable moet runnen voor dat er wat gebeurde.... |:(

Daarnaast hoe wil je het onderscheid gaan maken tussen een "hack" programma als Sub7, waarmee je de computer kunt besturen etc.
En iets als PCanywhere of een dergelijk programma... Aangezien veel van de functie gelijke implementaties hebben?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq