Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties
Bron: eWeek, submitter: Atmosphere

Dinsdag 13 december is het weer patchdag voor de Microsoft-klanten, maar momenteel zit de softwaregigant met een lek in zijn maag waarvoor de pleisters mogelijk eerder zullen worden verspreid. Microsoft heeft het bericht nog niet officieel bevestigd, maar de nood lijkt hoog: nadat vorige week door onder andere de Britse site ComputerTerrorism bekendgemaakt was dat er een fors gat in de beveiliging van Internet Explorer was ontdekt, is er malware opgedoken die gebruik van de exploit maakt. 'Een naar stukje software', aldus Alex Eckelberry van antivirusbedrijf Sunbelt Software. 'Je hoeft alleen een besmette site te bezoeken en je hebt een trojan te pakken die de controle over je machine weggeeft.' Zelfs volledig gepatchte systemen zijn kwetsbaar, en Microsoft heeft daarom bekendgemaakt dat het bedrijf overweegt om een tussentijdse update uit te brengen, een zogenaamde 'out-of-cycle'-patch. Microsoft is uiteraard niet blij met de situatie. Het bedrijf meldde al eerder dat de publiciteit rond het lek hackers in de kaart zou kunnen spelen - hoewel de softwaremaker het lek al in mei van dit jaar boven zou hebben gekregen, en de afdeling kurkenstoppen dus ruim de tijd heeft gehad.

Lekken dichten: vergelijking houding Microsoft en ComputerTerrorism
Vergelijking van de opvattingen van Microsoft (links) en ComputerTerrorism over het bewuste lek
Moderatie-faq Wijzig weergave

Reacties (48)

Voor de absolute duidelijkheid (schande dat dit niet erbij vermeld wordt).

In mei was het lek inderdaad als low priority bestempeld omdat het toen onmogelijk leek bij het lek een exploit te maken. Na flink wat zoekwerk door computerterrorism bleek dat er toch een exploit mogelijk was.

Ze hebben dit toen direct openbaar gemaakt zonder dit eerst aan MS te melden. Hadden ze het eerst aan MS gemeld hadden ze het de fix al klaar voordat het openbaar was gemaakt.

Niet om weer de hele security through obscurity discussie op te starten, dit is gewoon MS z'n policy. Als je het er niet mee eens bent kun je ze een brief schrijven.

Ik ben overigens van mening dat voor een bedrijf zoals MS de security through obscurity strategie wel degelijk werkt gezien het voor scriptkiddies en zelfs wat betere hackers niet mogelijk was een exploit voor dit lek te maken. Nu er een voorbeeld openbaar online staat zul je zien dat gelijk 90% van de 'evil' websites zonder weinig kennis erachter deze exploit direct implementeren. Iets wat anders niet was gebeurt, het was een klein deel geweest wanneer het lek niet openbaar gemaakt was.
Niet om weer de hele security through obscurity discussie op te starten, dit is gewoon MS z'n policy. Als je het er niet mee eens bent kun je ze een brief schrijven.
Gelukkig bestaat er nog vrijheid van meningsuiting en van spreken. Dat iemand deze informatie op internet zet is zijn/haar goed recht. Nu kunnen bedrijven alvast voordat Microsoft een patch vrijgeeft zichzelf beveiligen met (bijvoorbeeld) een zelfgemaakte patch. :Y)

[edit en off-topic]
Wat was Thorchar snel naar +4 (Informatief) gemodereerd en de rest zo snel naar beneden... zit hier een hele bende Microsoft-fanboys/employees ofzo? :+

[edit2]
@Thorchar
Vrijheid van meningsuiting en van spreken als in: er mag over het onderwerp gesproken worden, maar ook over het feit dat iemand de informatie over de exploit op internet zet.
Ik zeg ook niet dat je de discussie niet mag houden, ik zeg alleen dat mijn post niet bedoelt is om die discussie weer op te starten.

In mijn ogen is het net een soort discussie als Linux vs Windows of "Waarom bestaat de mensheid?" etc. Het is gewoon een eindeloze discussie die al honderden keren herhaald is en waar eigenlijk geen einde aan komt.

Daarnaast is het in mijn ogen nutteloos de discussie te houden gezien het Microsoft's keuze is, wil je dus iets eraan veranderen ga dan naar Microsoft en ga niet hier discussieren erover.

Beetje raar dat als iemand een statement met daarin zijn mening en intenties maakt hij gelijk vrijheid van meningsuiting naar z'n hoofd krijgt...
Maar als je het goed aanpakt, dicht je toch alle lekken? Niet alleen die waarvan je zeker weet dat ze gevaarklijk zijn? Ik vind het erg slordig van Microsoft, ook al zijn ze in het algemeen vrij goed bezig kwa veiligheid de laatste tijd.
Dat is nogal naief.

Je patcht eerst de zaken die ernstig zijn en pas als je tijd over hebt ga je je zorgen maken over de minder ernstige zaken. Een bug met een lage prioriteit kan dus wel eens héél lang blijven liggen. In praktijk kun je er dan ook vanuit gaan dat er in geen enkel product alle bekende lekken gedicht zijn. Of dat nu Windows, OS/X of Linux betreft, er zullen altijd issues open staan. Maar meestal dus geen ernstige.
Ze hebben dit toen direct openbaar gemaakt zonder dit eerst aan MS te melden. Hadden ze het eerst aan MS gemeld hadden ze het de fix al klaar voordat het openbaar was gemaakt.
Dat MS niet in staat is de priority/severity van een bug goed te beoordelen is toch niet de fout van ComputerTerrorism?

Het is nu zeven maanden later en nog is zo'n bug niet gefixed.
Wat verwacht je dan, dat microsoft ieder lek dat op het eerste gezicht low priority heeft maanden gaat onderzoeken om op een of andere manier er toch een groter gat van te maken?

Volgens mij heb jij niet helemaal door hoeveel low priority gaatjes zo'n programma wel niet kan hebben.

Het is nu zeven maanden later en nu pas hebben ze een manier gevonden om iets serieus van het gat te maken.
Wat verwacht je dan,
Dat MS ieder lek in minder dan zeven maanden dicht.
Volgens mij heb jij niet helemaal door hoeveel low priority gaatjes zo'n programma wel niet kan hebben.
Ik geloof het ook niet nee. Maar ik ben niet tevreden met een browser die inderdaad veel 'low priority' gaten heeft.
Het is nu zeven maanden later en nu pas hebben ze een manier gevonden om iets serieus van het gat te maken.
Je gaat toch niet wachten met fixen totdat er een exploit is?
@Olaf:

Het is echt niet realistisch te verwachten dat ze voor een oud product als IE low-priority bugs binnen 7 maanden fixen. Het was echt maar een heel klein dom gevalletje wat in een uiterst geval (eigenlijk alleen wanneer er opzet in het spel was) tot een crash kon komen.

Daarnaast heeft MS niet als enige de bug als low-priority bestempeld, ook degene die het ontdekt heeft en iedereen anders die van de bug een melding gemaakt heeft. Veel mensen nemen de rating van MS over, maar dat is natuurlijk geen punt wat je MS kwalijk kan nemen.

Ze hebben bij MS de bug echt wel onderzocht en zelfs heel precies in kaart gebracht wat er precies mis gaat en waarom. Dat hebben ze ook keurig openbaar gemaakt. Het is pas vele maanden later geweest dat iemand na veel graven en zoeken tot een exploit is gekomen. Een exploit met behoorlijke limitaties en nog geen 75% slagingskans.

Ze wachten echt niet met fixen tot er een exploit is, maar ze gaan het ook niet fixen als de bug geen kwaad kan en er nog een stapel medium en high priority bugs klaar liggen.

Kritiek hebben is o zo makkelijk, maar blijf ajb wel realistisch
Het is echt niet realistisch te verwachten dat ze voor een oud product als IE low-priority bugs binnen 7 maanden fixen.
Hoe bedoel je oud product? IE is toch vandaag en morgen nog gewoon in de winkel te koop?
Ze wachten echt niet met fixen tot er een exploit is, maar ze gaan het ook niet fixen als de bug geen kwaad kan en er nog een stapel medium en high priority bugs klaar liggen.
Dat MS zo'n stapel bugs in de queue heeft zitten kan ik natuurlijk ook niet helpen.
Kritiek hebben is o zo makkelijk, maar blijf ajb wel realistisch
Wat is er onrealistisch dan?
Dat MS ieder lek in minder dan zeven maanden dicht.
Tot een paar weken geleden wist alleen niemand dat het lek was. De bug had een lage prioriteit gekregen omdat in eerste instantie gedacht werd dat alleen maar een crash kon veroorzaken op een raar gebouwde website.
omdat in eerste instantie gedacht werd dat alleen maar een crash kon veroorzaken op een raar gebouwde website.
Elke bug die remote getriggered kan worden is een potentieel lek.
Aannemen dat het niet uitgebuit kan worden kan, maar ja, dan neem je het risico dat je met dit soort gevolgen zit.

Maar zelfs een bug die een crash veroorzaakt verwacht ik toch binnen zeven maanden gefixed te zien.
Ze hebben echt niet blind aangenomen dat het niet uitgebuit kon worden |:(

Ze hebben de bug uitgebreid bestudeerd en toen tot de conclusie gekomen dat het zo goed als onmogelijk was gebruik te maken van deze bug. Laat staan deze bug te gebruiken om ook echt malware op de PC te laten runnen.

Er zijn meerdere partijen die dit gechecked hebben en ze zijn allemaal tot die conclusie gekomen. Nu na vele maanden en heel wat zoekwerk heeft computerterrorism toch een exploit gevonden. Welke behoorlijke limitaties heeft en niet eens in alle gevallen werkt.

Je kunt niet stellen dat iedere bug die remote getriggered kan worden een potentieel lek is (en dus een beveiligingsrisico). Het gaat hier om een javascript implementatie icm goed uitgedachte HTML code om op die manier de juiste code op de juiste plaats in het geheugen te krijgen. Het is dus in feite niet remote maar gewoon lokaal, het wordt opgehaald via een pull methode en dus niet via een remote push methode.

Als je verwacht dat MS een low priority bug binnen 7 maanden oplost denk ik dat het tijd wordt je verwachtingen bij te stellen.

\[off-topic:]

Amazing dat een an sich positief bericht vanuit MS dat ze de patch eerder als gepland willen releasen weer in de reacties en de media wordt opgevat als een enorm negatief verhaal waarbij MS de grote boeman is.

Natuurlijk hebben ze de bug er zelf ingestopt, maar goed iedereen maakt fouten. Zullen we de schrijver van die 2 regels code maar ophangen? Dan hebben we gelijk de schuldige te pakken.

Computerterrorism heeft deze kans gewoon aangepakt om MS zwart te maken en zelf lekker in het nieuws te komen en dat is in mijn ogen gewoon niet ok.
Inderdaad, ik kan me niet voorstellen dat 7 maanden na ontdekking van het lek er nog sprake kan zijn van 'openbaar bekendmaking'.

Waarschijnlijk kon Microsoft geen gevaar ontdekken destijds en heeft het links laten liggen en gewoon rustig gewacht tot een of andere IE programmeur op zijn gemakje een patch had uitgewerkt. Een programmeur is goedkoper dan een team dat direct het gevaar moet dichten binnen 24 uur.

Overigens vind ik het wel triest dat het zo gelopen moet zijn. Ik ben het ook volledig met Thorchar eens dat als ze een duidelijke brief aan Microsoft geschreven hadden en het risico van het lek en de bekendmaking hiervan geaccentueerd hadden, er nooit sprake van een 'epidemie' aan slechte sites geweest was.

Een beetje jammer dat een website Computerterrorism, groot of klein, hier niets van aantrekt en de schuld volledig op zich neemt door met de eer te gaan strijken met een zeer gevaarlijk lek omdat zij het uiteindelijk gepubliceerd hebben.

Jammer, maar vergeeflijk.
ik heb op verschillende sites een voorbeeld exploit getest maar bij mij kwam er echt geen calc.exe maar slecht een crashend windows popup met prompt.
En ik krijg hier van mijn virusscanner gewoon een melding van een geinfecteerd bestand in mijn Temp. internet files, waarna ik hetzelfde krijg als jij.
Mijn browser crasht dan wel ook nog,
maar opent daanra gewoon terug alle vensters (Maxthon).
Mits een goede virusscanner is er dus niet zoveel aan de hand, hooguit even vervelend als je op zo'n site komt. ;)

Waarmee ik dus duidelijk wel NIET mee wil zeggen dat deze bug niet asap zou opgelost mogen worden,
ik wil alleen aantonen dat het niet noodzakelijk catastrofale gevolgen moet hebben
Bij mij ook niet, maar misschien heeft dat iets te maken met het feit dat AVG de bug ook al gepatched heeft. :Y)

screenie

edit:
net te laat |:(
ik heb op verschillende sites een voorbeeld exploit getest maar bij mij kwam er echt geen calc.exe maar slecht een crashend windows popup met prompt.
Bij mij dus ook; op 3 verschillende WinXP SP2s geprobeerd. Allen crash'te, zonder calc.exe. Vraag me af hoe dat nou komt ... allen waren gewoon Engelstalige WinXP SP2s, zonder AV of enige andere vorm van anti-spyware, en wel met admin-rechten. Nu ben ik een fanatieke 'tweaker', maar zoveel schokkende instellingen heb ik nu ook weer niet gewijzigd. Zou het een IE-instelling zijn (ik draai altijd custom-configs) of bv. de mdm.exe van Visual Studio (2005) ? Of zou het misschien de IE DevToolbar (beta 2) zijn ?

Het is geen structurele oplossing, maar als er blijkbaar een manier is om die exploit 'deels te blokkeren' (lees: IE crasht, maar geen .exe die opgestart wordt), dan zou het fijn zijn als deze bekend is ... wie voelt zich geroepen ?:P
Ik had dat ook maar na het direct nogmaals te proberen op dezelfde site open Calc.exe wel bij mij.
Wat moet je precies doen met die explorer user prompt, waar computer terrrism (UK) Ltd - Internet Explorer Vulnerability in staat? Want ik loop de hele tijd op ok te klikken maar er gebeurt niets...

Internet Explorer lijkt het alleen even moeilijk te hebben als ik ok klik alsof ie druk bezig is en dan na enkele seconden werkt ie weer normaal en kan ik weer op ok of cancel drukken.

Lekkere proof of concept is dit
Ik had dit probleem ook, ik wist dat ik mijn pc niet up2date had gebracht 1x. Op het moment van "niet up2date" liep IE vast.

Na een update met alle benodigde features (zoals herstart) heb ik het nogmaals geprobeerd. Toen kreeg ik WEL een calc venster.

In mijn geval was het dus onveiliger om met een up2date computer te werken :z
Gaat om WinXP SP2 Eng, zie ook dit topic voor een exactere beschrijving van de update.
Vandaar dat IE zo vaak crashed bij mij ;)
Volgens microsoft zou het openbaar maken van de lek door de computer-informatie website de hackers in de hand spelen... maar wat nou als een kwaad-bewuste hacker deze lek als eerste had gevonden. Ik vind dat ze de lek wel eerder hadden mogen dichten in dit geval.

Dankzij deze website die de lek gepubliceerd heeft, komt de patch nu wel 'zo spoedig mogelijk'....
helaas is dit niet de eerste keer :/ ik vraag me dan ook af wanneer MS zich realiseert dat dit soort grappen niet kan en hoelang ze 'Safety voor alles' nog durven op te houden. MS doet wel zo breed met we doen alles aan de veiligheid maar in de tussentijd doet men niets aan lekken, potentiele lekken of verandering in software structuur
en welk stukje malware maakt je kwetsbaar voor deze exploit..?
Geen enkel; kwetsbaar ben je al door IE te gebruiken aldus dit bericht.
Denk dat hij op dàt stukje software doelde :)
Microsoft is uiteraard niet blij met de situatie.
Nee, de gebruikers wel... :Y)
Hoeveel patches zijn er eigenlijk nog nodig om Good Old XP WaterProof te krijgen? Of zal dit nooit lukken? Hoeveel (gekende) lekken zijn er nu nog in Windows? Is het nu echt onmogelijk om je PC en je gegevens safe te houden als je gewoon gebruik maakt van XP en Internet Explorer? :?
1 patch, je patchpunt van je netwerkaansluiting, kabeltje eruit en niet meer er in doen :P

Maar serieus, een heleboel inmiddels, imo is het ook hoog tijd voor een servicepack 3 maar daar zal Microsoft mee wachten totdat Internet Explorer 7 officieel uit is. Als je op dit moment een installatiecd hebt zonder servicepack moet je eerst windows installeren, dan sp2 erop zetten, daarna updates installeren met in totaal iets van 5x opnieuw opstarten (ja, ik weet dat je alles kunt slipstreamen maar dat weten de thuisgebruikers niet ;)) en dan heb je nog geen veilig systeem.

Het wordt hoog tijd dat het rechten systeem in Windows eens compleet op de schop gaat, Ik draai zelf inmiddels al een jaartje of 2 zonder administrator rechten. Heb ik deze tijdelijk nodig dan start ik een Internet explorer venster in de C: op met de administrator rechten. Ik internet met Firefox, ik update Windows eens per maand (de dag na de 2e dinsdag in de maand) omdat het dan weer enigzins rustig is op de update servers en je dan toch redelijk snel je spullen geupdate hebt.

Als ze nu er eens voor zorgden dat er een aparte console in kwam waar je administrator rechten in hebt dmv een wachtwoord, Administrator account VERPLICHT met een wachtwoord uitrusten en elke nieuw aangemaakte gebruiker een gebruiker maken en geen administrator. Meer het idee zoals Linux zeg maar.

Al met al heb je dan op zichzelf al een vrij veilig systeem. Ik heb zelf nooit een virusscanner of antispyware programma draaien, mijn huidige Windows installatie is ruim een jaar oud en loopt als een tierelier. Firewall heb ik overigens wel en deze heb ik ook geconfigureerd. Laatst eens McAfee anti virus en Microsoft anti spyware geïnstalleerd, geupdate en beide in veilige modus laten draaien, en ze hebben beide niets gevonden.

Natuurlijk, als iedereen met user rechten gaat draaien dan zullen de aanvallen veranderen, maar de schade die aangericht kan worden zal vaak vele malen kleiner zijn en het zal sowieso moeilijker zijn om op een systeem te komen, omdat het nauwelijks mogelijk is om fatsoenlijk een exploit op zo'n pc te zetten.

Met Windows Vista zet Microsoft een stap in de goede richting met het hele elevator principe, je kunt programma's in een soort van lift opwaarderen in rechten.
Laatst naar een lezing geweest over Vista... wat ik ook leuk vind is dat je een normale user ook gewoon in de Windows-directory en Program Files e.d. kan laten schrijven met behulp van virtualisatie. Je denkt in de echte systeemdirectories te schrijven terwijl het in feite kopieën zijn waar de ander users niets van zien.

Voordeel hiervan is dat paupersoftware die daar perse hun configuratie e.d. wil neerzetten nog steeds werkt zonder dat je mensen teveel rechten moet geven, en er dus geen enkele reden meer is om altijd als beheerder in te loggen. Iedere user heeft zijn/haar eigen virtuele directory en dus eigen settings in dat geval.

En standaard ook de beheerder limiteren is ook een leuke feature voor Jan de Boerenlul die bij het woord 'security' je aankijkt alsof hij water ziet branden :)
In (bijna) ALLE software bevinden zich wel manieren om het te exploiten. Je kan nooit een compleet OS/browser maken zonder fouten erin. Je moet echter wel zorgen dat zogauw de gaten ontdekt worden, ze snel worden opgelost, dit doen ze bij Mozilla wel.
een OS/stuk software is NOOIT WaterProof..
simpel...
dus patches zullen altijd uit blijven komen :)

ik krijg met dit berocht trouwens het idee dat computerterrorism beter microsoftterrrorism kan heten, ze hebben dit kunstje (eerst exploit uitbrengen, dan pas melden)volgens mij al mvaker geflikt...
Gewoon SurfRight van Hitman Pro aanzetten. Hoef je nergens meer bang voor te zijn.
Of linux gebruiken, of een macintosh, of firefox of niet internetten tot 14 december.
Of die pagina niet bezoeken
die foto is geniaal met het commentaar erbij :+
Ik had een foto uit 'Jaws' beter gevonden ;-)
En realistischer ook...
zel hebben 50 Miljard en maken 80% winst en dan nog niet op tijd patchen |:(
Hier stopt Norton de proof of concept hack van deze lek: Bloodhound.Exploit.54

Maja didn't knew dat lekken deze acties mogelijk maken (data downloaden en starten). Heb dit namelijk wel veel vaker gezien (van minder plesante sites) dus waarschijnlijk is het niet het enige lek wat nog gedicht moet worden :Y)

22 november was er de proof of concept (als bericht op tweakers iig) dus heel mooi dat Microsoft in hun eerste updaterondje (en zelfs eerder) dit gat gedicht wil hebben. Maar ik twijfel of dit het geval was geweest als er niet publiekelijk kenbaar was gemaakt dat er misbruik gemaakt kan worden van dit lek.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True