Microsoft heeft aangekondigd dat het aan een patch werkt om een recent ontdekt probleem in Windows XP op te lossen. Door het veiligheidslek zijn zelfs systemen met Windows XP SP2 en een geactiveerde firewall kwetsbaar voor deze remote kernel DoS-aanval. Naar verluidt zou de patch in augustus vrijgegeven worden. Hoewel er vooralsnog druk gediscussieerd wordt, zijn sommige experts van mening dat het lek, dat zich in de Remote Desktop-mogelijkheden situeert, ook misbruikt kan worden om kwaadaardige code van op afstand uit te voeren. Een Microsoft-woordvoerder bevestigde dat er aan een patch gewerkt wordt, maar zei dat het lek niet zo ernstig is als sommigen vermoeden en dat het niet mogelijk is code uit te voeren door dit lek te misbruiken.
Bug in Windows XP riskant met Remote Desktop
Lees meer
Developers moeten voorbereidingen voor IE7 treffen
Nieuws van 18 juli 2005
Windows XP crasht door te groot plaatje in browser
Nieuws van 9 juni 2005
Onderzoek: 'Red Hat riskanter dan Windows Server'
Nieuws van 25 maart 2005
Reacties (49)
Deze hackersite heeft de bug gevonden en gemeld aan Microsoft, zo zeggen ze:
http://security-protocols.com/modules.php?name=News&file=article&sid=2 783
Er zit ook een afbeelding bij:
http://www.security-protocols.com/upcoming/xp-sp2-remote.jpg
http://security-protocols.com/modules.php?name=News&file=article&sid=2 783
It's only a DoS, which is kind of boring so this is why we decided to report it to Microsoft. ;-)
Er zit ook een afbeelding bij:
http://www.security-protocols.com/upcoming/xp-sp2-remote.jpg
Wel weer typerend.
De vinder noemt het een saaie bug, en hier wordt er desondanks weer een gigantische ophef van gemaakt.
De vinder noemt het een saaie bug, en hier wordt er desondanks weer een gigantische ophef van gemaakt.
:strip_exif()/u/7013/spunky_main.gif?f=community){kind=small}
Het is een bug in software van Microsoft, da's vaak een extra reden om zo te reageren
Maar als ik zo lees wat die vinder zegt, lijkt het er meer op dat hij het een saaie bug vindt omdat er geen info van de andere computer te halen of en weinig schade aan te richten is. Dat zou je opzich al gerust kunnen stellen
Maar als ik zo lees wat die vinder zegt, lijkt het er meer op dat hij het een saaie bug vindt omdat er geen info van de andere computer te halen of en weinig schade aan te richten is. Dat zou je opzich al gerust kunnen stellen
ik geloof niet dat jullie je in deze persoon kunnen verplaatsen. Het is saai omdat het technisch geen uitdaging is, een DoS aanval, iets waar zichzelf serieus nemend persoon zich niet mee bezig houdt. Meer iets voor skript-kinderen, snap je?
En hoe moet je het als RDP gebruiker dan weten op het moment dat je RDP wil gaan gebruiken. En dat is dus 9 van de 10 keer een situatie dat je niet bij de betreffende computer in de buurt bent en dus niet ff kan kijken welke poort er nou weer gebruikt wordtMisschien een tip voor Mickeysoft om in de (automatische) patch random poort nummers in te bouwen, zodat geen enkele installatie dezelfde poortnummers gebruikt??
Het is ten alle tijden verstandig om geen standaard poorten te gebruiken:
Via: http://support.microsoft.com/?id=187623
kan je gemakkelijk de RDP poort veranderen (voor 2000, XP en 2003+), wat al erg helpt bij het uitbreken van een exploit.
En je kan altijd andere oplossingen gebruiken, zoals RealVNC, die bijvoorbeeld de ingebouwde ondersteuning heeft tot IP filtering (hoewel het gebruik ervan wel tegen de EULA van MS ingaat, zolang er geen extra licenties zijn aangeschaft)
@RefriedNoodle, ik draai zelf vele extra beveiling layers, echter ik heb nog nooit en te nimmer een portscan tegen gekomen op de alternative RealVNC poort die ikzelf gebruik, dus Security-by-obscurity mag dan inderdaad nooit als enige factor gebruikt worden, het is vaak wel al voor 99% effectief. Vooral bij een algemene exploit aanval via trojan/virus is dit zeer handig. En omdat het zo erg simpel is te doen, is het altijd aan te raden.
Via: http://support.microsoft.com/?id=187623
kan je gemakkelijk de RDP poort veranderen (voor 2000, XP en 2003+), wat al erg helpt bij het uitbreken van een exploit.
En je kan altijd andere oplossingen gebruiken, zoals RealVNC, die bijvoorbeeld de ingebouwde ondersteuning heeft tot IP filtering (hoewel het gebruik ervan wel tegen de EULA van MS ingaat, zolang er geen extra licenties zijn aangeschaft)
@RefriedNoodle, ik draai zelf vele extra beveiling layers, echter ik heb nog nooit en te nimmer een portscan tegen gekomen op de alternative RealVNC poort die ikzelf gebruik, dus Security-by-obscurity mag dan inderdaad nooit als enige factor gebruikt worden, het is vaak wel al voor 99% effectief. Vooral bij een algemene exploit aanval via trojan/virus is dit zeer handig. En omdat het zo erg simpel is te doen, is het altijd aan te raden.
Security-by-obscurity is geen security. Poortjes verschuiven is geen afdoende beveiliging.
IP filtering kun je in standaard Windows (lokaal op je werkstation, of via GPO's in je AD) ook al toepassen door de juiste policies te gebruiken... Is natuurlijk ook behelpen, maar imho veiliger dan RealVNC met z'n eigen IP filtering.
IP filtering kun je in standaard Windows (lokaal op je werkstation, of via GPO's in je AD) ook al toepassen door de juiste policies te gebruiken... Is natuurlijk ook behelpen, maar imho veiliger dan RealVNC met z'n eigen IP filtering.
of je zet gewoon een VPN tunnel open op je router (een beetje router heeft al VPN functionaliteit) en dan kan je gewoon via een lokaal ip adres RDPen....
Extra stapje maar wel een stuk veiliger. Ik vind het sowieso al niet een lekker gevoel als mn inlogschermpje voor iedereen toegankelijk is.
Extra stapje maar wel een stuk veiliger. Ik vind het sowieso al niet een lekker gevoel als mn inlogschermpje voor iedereen toegankelijk is.
Zover ik weet ga je niet tegen de EULA van MS in, om VNCserver te kunnen starten moet er al een sessie op het windowsbakje draaien en tevens kan er volgens mij maar 1 VNCserver tegelijk draaien op een windowsdoos.En je kan altijd andere oplossingen gebruiken, zoals RealVNC, die bijvoorbeeld de ingebouwde ondersteuning heeft tot IP filtering (hoewel het gebruik ervan wel tegen de EULA van MS ingaat, zolang er geen extra licenties zijn aangeschaft)
Op een unix is het een ander verhaal omdat X11 puur op client-server is gericht en eigenlijk altijd een terminal server is, welliswaar lokaal.
Ik heb een tijdje ook alleen bepaalde ip adressen toegestaan voor mijn remote desktop. Echter je geeft een hoop flexibiliteit op, als je ff ergens op bezoek bent en snel iets op je computer / server wil opzoeken of veranderen. wat naar mijn smaak zou ip filtering in de firewall op basis van LANDEN erg relaxed zijn. Een soort reverse country lookup in RRAS ofzo. (of bestaat dit al?)
/u/32287/crop5704f5348305b.png?f=community){kind=small}
Wanneer iemand op zijn server op onze universiteit een bekende service op een niet-standaard poort zet, wordt hier wat aan gedaan door de netwerkbeheerders (aanmanen, afsluiten) indien dit wordt opgemerkt door een portscan. Reden: netwerkstructuur wordt minder duidelijk en services op vage poorten duiden vaak op hacks (denk aan FTP-server op hoge poort e.d.).
Dus ik vind ook dat de poorten die zijn toegewezen aan bepaalde services gewoon daarvoor gebruikt moeten worden en de software erachter gewoon goed beveiligd moet worden. Qua security hou je met poorten-husselen misschien de scriptkiddiescanners tegen, maar netwerktechnisch is het not-done.
Dus ik vind ook dat de poorten die zijn toegewezen aan bepaalde services gewoon daarvoor gebruikt moeten worden en de software erachter gewoon goed beveiligd moet worden. Qua security hou je met poorten-husselen misschien de scriptkiddiescanners tegen, maar netwerktechnisch is het not-done.
:strip_icc():strip_exif()/u/140379/Hond_icon.jpg?f=community){kind=icon}
Vreemd, de ontdekkende researcher schijnt gezegd te hebben
"I have been working with Microsoft to get a patch out for this. I notified them 5/4/2005 about the flaw, and they have been working on it since then. Microsoft told me the patch was going to be released in August,"
Nou niet om te lopen flamen of zo, maar hoe willen ze in vredesnaam hun 'Get the facts' campagne geloofwaardig laten lijken als ze drie maanden over het uitbrengen van een patch doen? (Of loop ik nou dom te rekenen of zo?)
Was de bug soms moeilijk te dichten? Of komt het omdat hij niet zo heel ernstig was?
Edit: @abom: tussen 4-mei-2005 en 1 aug zitten 88 hele dagen
"I have been working with Microsoft to get a patch out for this. I notified them 5/4/2005 about the flaw, and they have been working on it since then. Microsoft told me the patch was going to be released in August,"
Nou niet om te lopen flamen of zo, maar hoe willen ze in vredesnaam hun 'Get the facts' campagne geloofwaardig laten lijken als ze drie maanden over het uitbrengen van een patch doen? (Of loop ik nou dom te rekenen of zo?)
Was de bug soms moeilijk te dichten? Of komt het omdat hij niet zo heel ernstig was?
Edit: @abom: tussen 4-mei-2005 en 1 aug zitten 88 hele dagen
2 maanden (in de US begint men met de de maand).
Ik vind het ook vrij lang, vooral wanneer ze ondersteuning krijgen van degene die het probleem kan reproduceren...zelfs wanneer ze van scratch zouden moeten werken zou ik het lang vinden voor zoiets veel gebruikt als RDP.
But then again, het staat standaard uit in een default Windows XP installatie...
Ik vind het ook vrij lang, vooral wanneer ze ondersteuning krijgen van degene die het probleem kan reproduceren...zelfs wanneer ze van scratch zouden moeten werken zou ik het lang vinden voor zoiets veel gebruikt als RDP.
But then again, het staat standaard uit in een default Windows XP installatie...
:strip_icc():strip_exif()/u/9434/b17_2.jpg?f=community){kind=small}
Ik vind de remote desktop mogelijkheid toch wel een van de fijnere opties van Windows 2003 Server. Het beheer wordt zo enorm makkelijk... dat is zelfs de reden geweest voor mij als particulier om een legale 2003 licentie te kopen om mijn co-located server te beheren.
Je lokale printers / drives / poorten kan je daar gebruiken... het is alsof je achter de machine zelf zit...
Je lokale printers / drives / poorten kan je daar gebruiken... het is alsof je achter de machine zelf zit...
Remote desktop is zeker handig, maar ik ken veel handigere programma's die precies hetzelfde doen. Bijvoorbeeld Remotely Anywhere: veel meer opties, vanuit elke browser te benaderen, goede beveiliging en (het belangrijkste): vele malen sneller.
Via terminal services kun je in Windows 2000 trouwens ook ongeveer hetzelgde voor elkaar krijgen, erg handig.
En ik heb ook nog nooit een illegale Windows licentie gekocht, zou ook al te gek worden
* 786562 Mecallie
Via terminal services kun je in Windows 2000 trouwens ook ongeveer hetzelgde voor elkaar krijgen, erg handig.
En ik heb ook nog nooit een illegale Windows licentie gekocht, zou ook al te gek worden
* 786562 Mecallie
/u/23785/crop5dcd5c59e07f9.png?f=community){kind=small}
Kan het nog sneller dan? Ik beheer wel eens een server over een analoog 28k8 inbellijntje en dat gaat al perfect. Daarmee is RDP de snelste methode die ik ooit gezien heb. Een heel stuk sneller dan dat ranzige VNC in ieder geval....en (het belangrijkste): vele malen sneller.
Ik betwijfel ook dat het veel sneller kan.
Waarschijnlijk heeft die tool dan waarschijnlijk al een aantal snelheidsverhogende maatregelen genomen die je bij RDP ook alsnog kunt nemen.
(zoals bv het aantal kleuren laag houden)
Waarschijnlijk heeft die tool dan waarschijnlijk al een aantal snelheidsverhogende maatregelen genomen die je bij RDP ook alsnog kunt nemen.
(zoals bv het aantal kleuren laag houden)
Ik begrijp dat je deze functie niet inschakeld als je hem niet gebruikt (standaard uitgeschakeld), maar waardeloos is deze functie zeker niet, erg handig om even iemand te helpen of te gebruiken om je servers te beheren,(in een LAN), RD is een stuk sneller dan PC anywhere, dameware e.d.Daarom is Remote Desktop dus altijd de eerste functie die ik uitschakel als ik Windows opnieuw geinstalleerd heb. Waardeloze functie sowieso trouwens.
Maar wel een gevaarlijke bug, ik geloof dat RD toch wel op veel pc's ingeschakeld staat. Hoop dat er geen gebruik van word gemaakt voordat de patch uit is.
edit.
Had onder Dabien moet hangen
edit2.
Hoe zit dit met terminal services? Is alleen winXP gevoelig? of ook de windows terminal server versies?
Volgens mij staat het standaard uitgeschakeld dus is het alleen riskant voor RD gebruikers.
:strip_icc():strip_exif()/u/122857/Ed.jpg?f=community){kind=small}
RDP staat standaard uit. jij bedoeld hulp op afstand dat standaard aanstaat.
dat zijn 2 verschillende programma's... Hulp op Afstand is via MSN te bedienen en RDP is vanaf een RDP client te benaderen zonder tussen komst van een gebruiker/
dat zijn 2 verschillende programma's... Hulp op Afstand is via MSN te bedienen en RDP is vanaf een RDP client te benaderen zonder tussen komst van een gebruiker/
/u/19474/avatar2015.png?f=community){kind=avatar}
Remote Desktop en Remote Assistance zijn exact hetzelfde protocol, met als verschil dat er voor Remote Assistance nog een stream naast loopt met chatberichten en informatie over de ticket, en aanvragen om de besturing over te nemen en dergelijke. Overigens loopt Remote Assistance niet 'vanuit' MSN, het is een los programma.
Hoe krijg je dat voor elkaar?
Door het niet aan te zetten
My Computer -> Rechtermuis -> Properties -> [TAB] Remote
Bij "Remote Desktop" ervoor zorgen dat er geen vinkje staat bij "Allow users to connect remotely to this computer".
My Computer -> Rechtermuis -> Properties -> [TAB] Remote
Bij "Remote Desktop" ervoor zorgen dat er geen vinkje staat bij "Allow users to connect remotely to this computer".
:strip_icc():strip_exif()/u/18339/rem.jpg?f=community){kind=small}
Waarom is dit een waardeloze functie? Omdat jij hem niet gebruikt?
Ik kan vanaf mijn werkplek de server waarop ik werk compleet overnemen met remote Desktop, is best handig vind ik.
Ik kan vanaf mijn werkplek de server waarop ik werk compleet overnemen met remote Desktop, is best handig vind ik.
:strip_icc():strip_exif()/u/14636/crop577420b0bec27_cropped.jpeg?f=community){kind=small}
Remote desktop is zooo handig.
PC (met grote storage) in berging + Remote desktop
Laptop @ bank in woonkamer + Remote desktop
Geen geratel van de hdd van de pc waar je mee bezig bent (DC++), geen koeler die continue staat te blazen.
Wel alle power tot je beschikking (DVD's --> DivX, etc).
Works like a charm.
Nee, ik speel geen zware spellen.
PC (met grote storage) in berging + Remote desktop
Laptop @ bank in woonkamer + Remote desktop
Geen geratel van de hdd van de pc waar je mee bezig bent (DC++), geen koeler die continue staat te blazen.
Wel alle power tot je beschikking (DVD's --> DivX, etc).
Works like a charm.
Nee, ik speel geen zware spellen.
:strip_icc():strip_exif()/u/995/webicon.jpg?f=community){kind=small}
Zit dit lek ook in de Windows 2003 versie van Remote Desktop, of is deze hiervoor niet gevoelig omdat dit een (beperkte) Terminal Server functie is?
Wanneer je mstsc uitvoert krijg je de standaard (XP) RDP client. Je kan idd ook gebruik maken van de Terminal Services van 2003, maar daar heb je beperkte mogelijkheden.
@metalant:
Ik denk persoonlijk in beide aangezien beide gebruik maken van het RDP 5.2-protocol.
@metalant:
Ik denk persoonlijk in beide aangezien beide gebruik maken van het RDP 5.2-protocol.
Zit het lek in de client of in de service?
Dat is wel van belang in dit geval.
Dat is wel van belang in dit geval.
De RDP van Windows 2003 is niet beperkt, standaard kun je het echter alleen gebruiken voor beheer. Bij aanschaf van RDP licenties is het precies gelijk met mogelijkheid voor gewone gebruikers.
:strip_icc():strip_exif()/u/12176/workrave2.jpg?f=community){kind=small}
Belal,
RDP in Windows Server xx is wel degelijk beperkt. Je krijgt namelijk minder CPU en Memory tot je beschikking in remote desktop. Terminal server in application mode krijg je alles tot je beschikking zonder beperkingen.
Verder lijkt het me niet zo riskant op terminal servers omdat deze meestal niet vanaf internet benaderbaar zijn of het moet al via een ingebelde vpn verbinding zijn en meestal hebben de terminal servers geen verbinding met internet.
RDP in Windows Server xx is wel degelijk beperkt. Je krijgt namelijk minder CPU en Memory tot je beschikking in remote desktop. Terminal server in application mode krijg je alles tot je beschikking zonder beperkingen.
Verder lijkt het me niet zo riskant op terminal servers omdat deze meestal niet vanaf internet benaderbaar zijn of het moet al via een ingebelde vpn verbinding zijn en meestal hebben de terminal servers geen verbinding met internet.
:strip_exif()/u/12147/DJ-Eraserhead.gif?f=community){kind=small}
Heb je een bron om dit te onderbouwen?, ik heb hier nog nooit van gehoord. Sterker nog, in application mode heb je juist de mogelijkheid voor strakkere application settings.RDP in Windows Server xx is wel degelijk beperkt. Je krijgt namelijk minder CPU en Memory tot je beschikking in remote desktop. Terminal server in application mode krijg je alles tot je beschikking zonder beperkingen.
Ik werk al maanden van af kantoor op mijn thuis computer via een RDP client.. daar heb je geen VPN voor nodig. alleen je FireWall moet je juist instellen. en juist Passy... Ja je kan over een internet verbinding of lan geen geavanceerde stunts uithallen zoals photShoppen.
Maar om je mail, Word doc's of onderhoud is dit goed te doen.. ook programeren en de progs testen geen probleem.. OpenGL functies werkenalleen niet.
Maar om je mail, Word doc's of onderhoud is dit goed te doen.. ook programeren en de progs testen geen probleem.. OpenGL functies werkenalleen niet.
3389 toch maar dichtzetten dan preventief?
Zie: http://www.microsoft.com/technet/security/advisory/904797.mspx
http://www.eeye.com/~data/publish/whitepapers/research/OT20050205.FILE .pdf
Een paper over Win32 Kernel modificatie. Het zal de eerste kernel exploit worden mocht het lukken. Ze zeggen dat MS liegt over de bug. Ze zeggen dat het alleen een DoS is op het moment. Er werken maar een aantal programmeurs aan de kernel van Windows. Dus nu hebben ze meer tijd om het gat te dichten. Vooral omdat het een kernel bug is.
http://www.eeye.com/~data/publish/whitepapers/research/OT20050205.FILE .pdf
Een paper over Win32 Kernel modificatie. Het zal de eerste kernel exploit worden mocht het lukken. Ze zeggen dat MS liegt over de bug. Ze zeggen dat het alleen een DoS is op het moment. Er werken maar een aantal programmeurs aan de kernel van Windows. Dus nu hebben ze meer tijd om het gat te dichten. Vooral omdat het een kernel bug is.
RDP is geweldig, ik gebruik het voor mijn server die op zolder staat continu aan! Hoef maar via RDP in te loggen en ik heb de desktop van mijn server zo op mijn bureaublad. Kan hiermee dus nagenoeg alles doen. Zonder de zolder op te moeten.
Op dit item kan niet meer gereageerd worden.