Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Bron: C|Net

Afgelopen zondag schreven wij dat een Russisch securitybedrijf een mogelijkheid had gevonden om het in Windows XP Service Pack 2 geÔntroduceerde Data Execution Prevention (DEP) te omzeilen. Microsoft heeft hier afgelopen dinsdag op gereageerd, zo meldt C|Net. Volgens het bedrijf uit Redmond is het door de Russen gepresenteerde lek geen lek in de software, omdat het niet mogelijk is om deze methode zèlf te misbruiken om kwaadaardige code in het geheugen te laden. Daar komt bij dat de technologie nooit was bedoeld als 'foolproof', maar juist om het ontwikkelen van aanvallen moeilijker, en dus niet onmogelijk, te maken. Microsoft heeft aangegeven de Data Execution Prevention-technologie te blijven ontwikkelen, waardoor dit probleem mogelijk in de toekomst toch opgelost zal worden.

Peter Lindstrom, onderzoeker bij Spire Security, meent dat het probleem met DEP niet volledig op het conto van Microsoft komt. Volgens de onderzoeker heeft dit probleem namelijk meer te maken met een gebrek in het securityontwerp van softwareapplicaties dan dat Microsoft een lek heeft laten zitten. Hij meent overigens wel dat het Redmondse softwarebedrijf hier steken heeft laten vallen om Windows beter te maken, maar dat betekent niet direct dat er sprake is van een lek. Het Russische Positive Technologies heeft het 'lek' gepubliceerd nadat Microsoft had aangegeven niet direct met een oplossing te komen. Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen, aldus de Russen.

Moderatie-faq Wijzig weergave

Reacties (51)

Microsoft heeft aangegeven de Data Execution Prevention-technologie door te ontwikkelen wat betekent dat dit probleem in de toekomst toch opgelost zal worden.
Nee het is geen lek, maar we zullen het in de toekomst toch maar verhelpen... een feature zullen we het dan maar noemen....

Het is een security optie die misbruik van apps moet voorkomen. Als deze security optie (met voorkennis) gemakkelijk omzeilt kan worden dan werkt hij toch niet? en is dus als dusdanig LEK, het maakt de misbruiker niet eens moeilijker, het zorgt er alleen voor dat hij een aangepaste procedure moet gebruiken om je PC te hacken!.

Als ik deze crap van die PR mannen van Microsoft (of PR mannen in algemeen, immers maken veel bedrijven zich hier aan schuldig) hoor kan ik me goed voorstellen waarom Microsoft door veel mensen graag door het slijk wordt gehaald.
Ik denk dat ze toch een aandere PR strategy op zouden moeten nahouden. Want hun huidige strategy is duidelijk de full-american aanpak.. deze is zeker niet zo populair hier in europa of in asie.
Ik wordt inderdaad doodmoe van die "nee, dat is geen lek" berichten.

Als een applicatie of gebruiker code kan uitvoeren / geheugen lokaties kan benaderen etc. wanneer dit volgens de basis van het systeem niet zou mogen, is het een BUG. En dus moet er een update voor komen.

In software zitten nou eenmaal bugs, dit is niet (zomaar) te voorkomen.
Je kan geen applicatie van een dergelijke omvang maken zonder bugs omdat software nog altijd wordt ontwikkeld door mensen en mensen maken fouten.
Het voordeel daarvan is dat ze d'r van leren om dergelijk fouten in de toekomst niet meer te hoeven maken.

Een tipje voor Microsoft: Zorg dat je ontwikkelafdeling gerichter en sneller updates kan uitbrengen voor dergelijke "bugs" en dat de eindgebruiker er niet maanden op moet wachten.
Daarnaast is een zeer nauwe samenwerking tussen de testers en ontwikkelafdeling geen overbodige luxe.

Hier een interessant artikel over bugs in commerciŽle en niet-commerciŽle applicaties.
Zoals je zelf al aangeeft is het geen LEK, maar een BUG. Da's heel wat anders!
Een bug betekend dat de software niet goed functioneerd (vastloopt verkeerde akties neemt).
Een lek is een fout in de software waardoor er extern iets gedaan kan worden (iets uilezen , opstarten , Code in het geheugenplaatsen)

Een BUG hoeft dus niet persee een lek te zijn .
@ Torch: maar een lek wel een bug, dat was geloof ik waar het even om ging.
Een LEK verkregen via een BUG is en blijft een al dan niet indirect LEK.

Als iemand bij jou boot vergeten is een stop op de
zelfhozer te maken is dat een bug.
Het effect is en blijft dat je boot zo lek als een
mandje is en dus vol loopt met water.

Daardoor impliceert een bug dus een lek.
Wat is een lek anders dan een bug in de beveiliging?
Nee het is geen lek, maar we zullen het in de toekomst toch maar verhelpen... een feature zullen we het dan maar noemen....
Ik proef enige vorm van sarcasme.... mag ik vragen waarom?

Er is een tekortkoming van in doorontwikkeling zijnde software geconstateerd die niet exploitable is en die niet het functioneren van het systeem belemmerd. Ik zie het probleem niet dat ze dan gewoon netjes zeggen dat dat 'lek' dat de publiciteit gehaald heeft geen lek is?
D'r is nergens aangetoond dat dit "lek" / deze bug niet exploitable is.
Hierdoor kan een lekke applicatie zelfs met DEP ingeschakeld nog steeds misbruikt worden om tot 1016 bytes naar een willekeurig geheugenadres te schrijven, willekeurige code uit te voeren en DEP uiteindelijk zelfs volledig te omzeilen.
Als je al naar een "willekeurige" geheugenlokatie kan schrijven kan je heel veel bereiken. Maar dat hoef ik jou niet uit te leggen, denk ik.

Echter gezien de omvang en achtergrond van dit "lek" / deze bug kan ik begrijpen dat MS er zelf geen ophef over maakt.
Als je de kans tot inbraak hebt gereduceerd (wat in principe d.m.v. Data Execution Prevention gerealiseerd is) heb je goed werk verricht.
Nu alleen nog zaak om het verder te verbeteren.
@TheDuke: Eric heeft wel degelijk goed gelezen. Want sinds wanneer kan een exploit alleen misbruikt worden in de vorm van een worm of virus?!
't lezen gaat je goed af
Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen, aldus de Russen.
Nee, het is geen feature die meteen gexploiteerd kan worden. Het is alleen een manier om om "DEP" en aanverwante SP2 features heen te gaan.

Als er (weer) een echte buffer/heap overflow error wordt gevonden blijkt nu vaak dat windows2000 wel gevoelig is, en XP SP2 niet. Dat komt door DEP en andere features die zijn toegepast in SP2. (onder SP2 zal het programma enkel crahsen,onder SP1 kan een hacker code uitvoeren op je pc).

Echter een exploit in combinatie met wat die russen gevonden hebben maakt SP2 weer bijna net zo gevoelig als een volledig gepachte windows 2000.

Eigen applicaties zijn ook gevoelig totdat je ze compileerd met die opties die ook zijn gebruikt voor SP2.
Ik vind het altijd zo grappig dat altijd gezegd wordt dat Windows structureel insecure is, maar dat nooit precies uitgelegd wat structureel of welke structuur nou precies insecure is.

Er zijn 2 argumenten die altijd voorbij komen, namelijk:
- De eerste user is administrator
- Internet Explorer is geintegreerd in het OS.

Het eerste argument is niet eens een structurele fout. Het gaat hier om gemakzucht van de gebruiker en 3rd party developers.

Het tweede argument is wel structureel, maar in zijn huidge opzet hoeft deze niet insecure te zijn. Dat deze het wel is, komt omdat het concept gewoon niet zo goed geimplementeerd is.

Dus als iedereen voortaan gewoon zegt dat Windows slecht geimplementeerd is, in plaats van structureel slecht in elkaar zit, ben ik gelukkig. Tenzij ze natuurlijk aan kun geven wat er nou echt structureel fout zit...
Maar niet alleen Third party developers gaan hiermee de mist in ook Microsoft zelf.

Probeer onder Windows 2000 of XP maar eens als beperkte gebruiker plaatjes in paint of Microsoft Photo editor te openen. Dit gaat niet. Je hebt hier hoofdgebruiker rechten voor nodig. Daar gaat dan het goede beveiligingssysteem alweer.

Microsoft geeft dus ook niet bepaald het goede voorbeeld. Hoe kan je het dan van de andere verwachten.
Je kunt heel goed een sluitende driehoek om een vierkant heen leggen hoor.. ;)
Waar zit dan het "veiligheidslek" al het niet misbruikt kan worden door derden :?

Voor de eigenaar van een computer is er sowieso de mogelijkheid DEP (net zoals andere securtity features zoals de firewall, virusscanner,...) uit te schakelen. Is dat dan ook een lek?

Imho heeft dat russisch bedrijf (je?) de media willen gebruiken als marketinginstrument. Zij zijn het immers die bij dit nieuws steeds met naam en toenaam genoemd worden ;)
Duh, Je kan ActiveX ook disablen.. dus is er geen probleem met ActivX..
Ff goed lezen hoor:

Volgens het bedrijf uit Redmond is het door de Russen gepresenteerde lek geen lek in de software, omdat het niet mogelijk is om deze methode zŤlf te misbruiken om kwaadaardige code in het geheugen te laden.

...en...

Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen, aldus de Russen.

Dus:
- Microsoft zegt dat het lek onbruikbaar is
- De Russen zeggen hetzelfde...

Als Amerikanen en Russen het met elkaar eens zijn, waar wordt dan zo'n drukte over gemaakt???
Omdat er mogelijk morgen een ander gat gevonden wordt waardoor dat DEP 'probleem' misschien wel te misbruiken is...
Lek is geen lek,

"wat betekent dat dit probleem in de toekomst toch opgelost zal worden"
"Daar komt bij dat de technologie nooit was bedoeld als 'foolproof', maar juist om het ontwikkelen van aanvallen moeilijker, en dus niet onmogelijk"

Het loopt iig niet over van duidelijkheid. Dit lijkt meer op een goedmaak praatje. Feit blijft dat ze zelf al aangeven dat het niet foolproof is... Dan is het dus toch lek.....
Foolproof zal het nooit zijn en hoeft het ook niet te worden.
Als iemand DEP uit zet dan zel DEP het niet doen. (dus het zal nooit foolproof zijn zolang mensen het kunnen instellen.)
Maar het moet wel doen wat het hoort te doen als het goed is ingesteld. Dat doet hij dus nu niet.
Een virus schrijven dat middels een macrootje de DEP uitzet is zo gemaakt. Ik vind het niet echt een beveiliging...
Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen.
Als virussen geen gebruik kunnen maken van dit lek, waarom zouden ze het dan activeren? :?
Daar komt bij dat de technologie nooit was bedoeld als 'foolproof', maar juist om het ontwikkelen van aanvallen moeilijker, en dus niet onmogelijk, te maken.
.

Nou, ik moest toch wel even lachen toen ik dit las, want op die manier kan je elk lek wel afdoen als onbelangrijk. Gaat MS straks bij security patches soms ook zeggen: "Het lost het probleem niet op, maar we hebben het wel weer iets veiliger gemaakt"?
Hoewel ik niet exact weet wat de exploit inhoud, heb ik het sterke vermoeden dat we hier spreken over een local exploit.

Local exploits kunnen een priviligde escalation veroorzaken, of als de user al administrator is, deze rechten gebruiken om kwaadwillende dingen met het systeem te doen. Het is overigens belangrijk om te realiseren dat als je een beperkte user bent, je ook kwaadwillende dingen kan doen (zonder priviligde escalation).

Waarom ze dit als geen lek maar wel belangrijk om te fixen classificeren, is omdat het niet remote exploitable is. En als het niet remote exploitable is, dan kan je er geen worm voor schrijven, wat de nuttigheid van deze lek sterk verminderd.
Het is geen exploit. Met DEP wordt beoogd het uitbuiten van bestaande exploits in andere programmatuur tegen te gaan door stack manipulatie onmogelijk te maken. Of de exploit local of remote is maakt hierbij niet uit.
Nu is gebleken dat DEP te omzeilen is waardoor je toch bepaalde exploits kan uitbuiten. Microsoft zegt dat er geen lek is. Dat klopt opzich als je het vertaald met "er is geen exploit in DEP". Echter de DEP doet ook niet (goed) waar het voor bedoeld is.

Samengevat: DEP was bedoeld om lekken te dichten en doet dat niet goed. Dat betekend niet dat er nieuwe lekken zijn maar dat oude lekken niet gedicht zijn.
In hoeverre het een bug of feature is, kun je je afvragen. Wel is en blijft het een verbetering, eerst was er geen DEP. Daarbij kan alleen processor implementatie de echte uitkomst bieden.
Maar als iemand mij wat meer preciese achtergrond informatie kan verstrekken ben ik hem of haar heel dankbaar.

@ Q187
Gaan we weer.
Dit is een 'drogreden', een overhaaste generalisatie. Jij zegt dat wanneer 1 Chinees restaurant slecht is, dat alle dat zijn. Dit is gewoon onzin. Het kan een uitzonderingen zijn, en slechte zaken hoeven niet weder te keren.
Dit Win95 wat minder lekker liep, wil nog niet zeggen dat WinXPsp2 ook zo slecht is.

Jij bent gewoon een rund dat je daaruit durft te concluderen dat WindowsXPSP2 slecht is.
Daarbij rap jij ook niet over Win2K, ook zeer stabiel.
Onderbouw dan je argumenten, haal geen oude koeien uit de sloot (die toch niet van toepassing zijn) en probeer eens WinXPsp2 en Win2003 op een professioneel niveau uit.

Excuses mede tweakers dat ik het scherm weer vul met letters. Maar sommige dingen moeten gewoon even recht gezet worden.
@Win L: Amen! :Y)
kon er wel weer effe een of ander scriptkiddy een of ander Sub7 hack tooltje in elkaar toveren en wat geintjes uithalen zolang er nog geen virus defenities van zijn..
@Q187
Mmz bij Sub7 was nog altijd zo dat je zelf eerst een executable moet runnen voor dat er wat gebeurde.... |:(

Daarnaast hoe wil je het onderscheid gaan maken tussen een "hack" programma als Sub7, waarmee je de computer kunt besturen etc.
En iets als PCanywhere of een dergelijk programma... Aangezien veel van de functie gelijke implementaties hebben?
Ondanks dat het niet mogelijk is om een worm of virus te ontwikkelen die gebruikmaakt van dit lek is het wel belangrijk om het probleem op te lossen, aldus de Russen.
Dan is het toch verder niet gevaarlijk, dus lijkt mij er ook geen noodzaak om het direct op te lossen.
Dit schreeuwt gewoon om iemand die het lek benut om het tegendeel te bewijzen }>
ach ja de oorlog tussen deze 2 reuzen zijn net over. wij bakelijen er weer over, ja/nee speletje.

LEK in de software moet worden opgelost, misch in de toekomst dat de lek wel gebruikt kan worden. vandaar.
Misschien mierenneukerij maar :
omdat het niet mogelijk is om deze methode zŤlf te misbruiken om kwaadaardige code in het geheugen te laden.
dit is niet de juiste letterlijke vertaling, namelijk ;
"An attacker cannot use this method by itself to attempt to run malicious code on a user's system," Microsoft said in a statement.
Harm Hilvers schrijft alsof het om de gebruiker gaat,
maar het stukje verwijst naar de aanvaller de "attacker".

Zoals MS zelf zegt :
"There is no attack that utilizes this, and customers are not at risk from the situation."
Mischien was het beter te zeggen dat het nog niet zover is. }> ....


}> }>

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True