Nederlandse tiener ontdekt lek in Microsofts Live-dienst

Een 16-jarige Nederlander heeft een cross-site-scriptinglek in Microsofts Live-diensten ontdekt waarmee een hacker de inlogcookie van bijvoorbeeld een Hotmail-gebruiker kan stelen. Voorwaarde is dat het slachtoffer ertoe bewogen kan worden op een speciale link te klikken die de MSN-pagina opent waarop de exploit kan worden uitgevoerd. Vervolgens kan de cookie van het Live.com-domein worden opgevraagd en naar een domein van de hacker worden weggeschreven. De exploiteerbaarheid van het lek is door Tweakers.net geverifieerd. De ontdekker, Adriaan Graas, heeft een pagina aan het lek gewijd, waarop wordt uitgelegd hoe het werkt. Graas stelde Microsoft op 27 juni op de hoogte, waarbij hij aangaf bovengenoemde pagina na verloop van een 'redelijke termijn' online te zullen zetten. Het leverde hem het volgende retourmailtje op:

Hi Adriaan, Thanks very much for your report. I have opened case 6678 and the case manager, Scott, will be in touch when there is more information. In the meantime, we ask you respect responsible disclosure guidelines and not report this publicly until users have an opportunity to protect themselves (as you have mentioned). You can review our bulletin acknowledgment policy at
http://www.microsoft.com/technet/security/bulletin/policy.mspx and our general policies and practices at
http://www.microsoft.com/technet/security/bulletin/info/msrpracs.mspx. If at any time you have questions or more information, please respond to this message.

De jongen vertelde Tweakers.net dat Microsoft naar zijn mening niet snel genoeg reageerde op zijn melding van de kwetsbaarheid, en vond dat de 'redelijke termijn' na vijf dagen wel was verstreken. Volgens hem is publicatie de beste manier om het softwarebedrijf te bewegen snel actie te ondernemen; hij stelt op basis van niet nader gespecificeerde vergelijkbare gevallen te verwachten dat het bewuste lek binnen een of twee dagen gedicht zal zijn. 'Anders blijft zo'n lek een maand openstaan', aldus Graas.

Microsoft Nederland zegt in een reactie dat het de zaak onderzoekt naar aanleiding van de publicatie van het lek en de weergave daarvan op diverse Nederlandse sites. Een woordvoerder vertelde Tweakers.net dat er bij Microsofts Security Response Center aan de bel is getrokken, maar vanwege de Amerikaanse onafhankelijkheidsviering zou er niet ogenblikkelijk op antwoord worden gerekend.

IT-banen

Reacties (81)

Sorcerer8472 4 juli 2006 15:41

5 dagen is kort voor MS hoor

SPee @Sorcerer8472 • 4 juli 2006 15:49

Ik denk dat het te kort is voor elk bedrijf met een website in die grootte.

Het ontwikkelen van de oplossing duurt al enkele dagen, daarna nog testen. En dan het upgraden van de vele machines zonder dat de vele gebruikers er niets van merken.

Naar mijn mening heeft hij het te vroeg vrijgegeven en had hij een maand moeten wachten ipv 5 dagen. Ook een harde deadline voor MS zou beter zijn geweest. Nu was het een 'redelijke termijn', maar die definitie verschilt wel tussen hem en MS. Hij ziet minder de grootte en complexiteit van de gehele website en komt tot een lagere aantal als 'redelijk' dan MS die wel de complexiteit weet.

Hoewel, als een 16-jarige dit kan vinden, kan een professionele hacker dat ook.

enigmafan @SPee • 4 juli 2006 16:27

Hoewel, als een 16-jarige dit kan vinden, kan een professionele hacker dat ook.

16 jarigen zijn toch de professionele hackers?

Verwijderd @SPee • 4 juli 2006 16:36

Dit lek was al lang bekend, weliswaar in een iets andere vorm, maar MS had het al lang moeten fixen.

Tuurlijk, van scratch beginnen en updaten, dat doe je niet binnen vijf dagen. Maar omdat al bekend was dat dit ongeveer mogelijk was, hadden ze allang een structurele oplossing moeten hebben.

Ik vind het zwak van MS.

Pietervs

Bedrijfsnieuws

@OpenMinded • 5 juli 2006 13:48

Meen eens dat 5 dagen wel vrij kort is, maar wat wil je als je een reactie van M$ krijgt of je even wil wachten om iedereen te beschermen?
Dat is toch een normale vraag van MS? Wat hadden ze dan moeten zeggen? "Dank voor het melden van het probleem, zodra we tijd hebben gaan we ermee aan de slag?" Dan weet je helemaal zeker dat mensen naar de pers gaan rennen om de exploit bekend te maken...

bierdop @Sorcerer8472 • 4 juli 2006 16:10

De jongen vertelde Tweakers.net dat Microsoft naar zijn mening niet snel genoeg reageerde op zijn melding van de kwetsbaarheid, en vond dat de 'redelijke termijn' na vijf dagen wel was verstreken

Och, volgens mij gaat het hier niet om de tijd waarop Microsoft in staat is om het lek te dichten, maar om in het nieuws te komen

Als hij echt zo begaan was, dan had hij het niet vrijgegeven maar voor zichzelf gehouden en eventueel alleen naar Microsoft geroepen dat hij het zou doen.

Wat mij betreft puur een kwestie van aandachtstrekkerij!

Verwijderd @bierdop • 4 juli 2006 18:37

En dan had iemands anders de lek wel gevonden en er een exploit voor geschreven en die op een pron/crack site gezet.

Wat trouwens wel netjes zou zijn van MS is de koekjes even uitzetten voordat er nog meer hacker(tjes) toehappen

john_ven24 @bierdop • 4 juli 2006 19:57

Dit is de vriend van m'n broer, haha, microsoft overweegt nog of ze hem hiervoor gaan vervolgen, ik denk dat dat nou een stuk dichterbij komt, ook wel te verwachten dat het hem gelukt is, al die tijd dat hij achter de computer zit ipv zijn vwo PTA's te leren. Hij is met dit nieuws trouwens ook al op radio caz en radio 1 geweest vandaag

MrE @Sorcerer8472 • 5 juli 2006 11:08

Precies mijn gedachte.

Waarom bepaalt iemand die een fout heeft gevonden wat een redelijke termijn is?! Kan hij meekijken in de keuken van ms? ging de exploit zo ver?
Stel dat ms bezig is met de oplossing van een veel groter probleem, en dit voor hun een relatief klein probleem is?

Het gaat hier om een exploit (zover ik begrijp) waarbij een gebruiker op een speciale link moet klikken, en waarmee zijn hotmail gegevens kunnen worden opgevraagd?

Don't get me wrong, het is een knappe ontdekking (hey, ik zal 'm nooit vinden), maar het lijkt mij eerder dat de ontdekker niet kon wachten tot hij zijn fifteen minutes of fame kon gaan cashen, en daarom zelfstandig bepaalde dat vijf dagen wel voldoende zou zijn.

Verwijderd @Raziel • 5 juli 2006 10:08

Daar ben ik het dus niet mee eens: Microsoft wist al van dit lek voordat die jongen het erachter kwam. Microsoft moet gewoon eens leren dat die zaken die zo essentieel zijn tijdig worden verbeterd. In mijn ogen heeft die jongen dus gelijk om na 5 dagen de zaak bekend te maken. Misschien dat Microsoft behalve een rechtzaak te willen gaan starten, zich beter kan concentreren op het dichten van het lek.

En ja ik gebruik zelf heel wat (legale) producten van Microsoft en ben daarom van mening dat lekken tijdig moeten worden gedicht.

Verwijderd 4 juli 2006 18:58

Ik heb het daarnet even geprobeerd met een vriend

(Hij wist wat ik probeerde dus 't was onder het motto: "alles voor de veiligheid") Werkte perfect en is niet zo moeilijk als je een beetje kan scripten. En iedereen die zich onveilig voelt; de oplossing is heel simpel: klik niet op links die verwijzen naar msn.com en toevallig wat javascript bevatten

Overigens blijf ik hotmail gebruiken, ik vink gewoon de mogelijkheid om email en paswoord te gebruiken af, iets wat ik al een tijdje doe

john_ven24 @Verwijderd • 4 juli 2006 20:01

Je kan het in zomaar iedere pagina proppen als je deze automatisch laat doorwijzen naar de pagina waarin deze code staat.

koelpasta 4 juli 2006 19:19

uit het artikel:
"Een woordvoerder vertelde Tweakers.net dat er bij Microsofts Security Response Center aan de bel is getrokken, maar vanwege de Amerikaanse onafhankelijkheidsviering zou er niet ogenblikkelijk op antwoord worden gerekend."

Of je doet aan global economy, of je viert independance day..

Mizitras @koelpasta • 4 juli 2006 19:41

Zegt Condoleesa Rize tegen George Bush en het hoofd van de NSA:"Jongens, de Empire State building is ingestort. We moeten naar Defcon 5 !"

Bush:"Relax rize, don't do it."
NSA chief:"Have a break Con, have a kit kat."

scorpie 4 juli 2006 15:40

http://www.hackers4hackers.nl/reader.php?h4h=12&page=05

Dit was al erg lang bekend, het lek in de hierboven genoemde link is weliswaar gedicht, maar niet op een goede wijze. Na wat kleine aanpassingen was de site alweer lek.

Maargoed, leuk voor die jongen.

Verwijderd 4 juli 2006 15:48

niet netjes dat hij gelijk een hele handleiding maakt voor zo hotmail-accounts in handen te krijgen!

Upsilon @Verwijderd • 5 juli 2006 01:44

Daarom lijkt het mij ook niet meer dan logisch dat Miscrosoft hem hiervoor vervolgt. Redelijke termijn is bij mijn weten drie weken (in NL iig).

Verwijderd 4 juli 2006 16:17

Volgens hem is publicatie de beste manier om het softwarebedrijf te bewegen snel actie te ondernemen; hij stelt op basis van niet nader gespecificeerde vergelijkbare gevallen te verwachten dat het bewuste lek binnen een of twee dagen gedicht zal zijn. 'Anders blijft zo'n lek een maand openstaan', aldus Graas.

Je kunt je afvragen wat nu veiliger is: het lek niet bekendmaken en stilletjes na een maand laten dichten of wél publiceren, 'hackers' een paar dagen de tijd geven om zoveel mogelijk van het lek gebruik te maken, waarna MS gedwongen wordt het snel te dichten. Ik zou toch voor de eerste optie gaan.

Verwijderd 4 juli 2006 19:48

Het is de bedoeling van die jongen niet dat microsoft dit lek in 5 dagen dicht, het is de bedoeling dat zei in 5 dagen hem een strak antwoord geven met iets waarin staat dat ze het GAAN fixen.

Annie @Verwijderd • 4 juli 2006 21:23

Mwoh, ik denk eerder dat het zijn bedoeling was om zo snel mogelijk stoer te kunnen doen naar zijn (online) vriendjes.

Indy-Jones @Annie • 4 juli 2006 21:43

Allemaal van die mensen die het woord strand niet kennen en "buiten" afzweren in de zomer

JJ Le Funk 4 juli 2006 16:21

Natuurlijk waren 5 dagen te weinig voor MS. Adriaan heeft gewoon zijn '2 minutes of fame' opgeëist. Als hij een maand gewacht had en MS had de patch onzichtbaar voor de buitenwereld doorgevoerd dan was er geen enkele publiciteit/roem meer te behalen geweest voor hem.

mgreving2 @JJ Le Funk • 4 juli 2006 16:47

Dat is niet helemaal waar, melden en een antwoord krijgen betekend niet dat er daadwerkelijk ook wat gedaan wordt.. Hiermee wordt er wel druk gezet, een wat vreemde maar toch gezonde druk.. zoals we weten zijn er ontzettend veel gebruikers op Hotmail die al lange tijd risico lopen.. dat moet nou eens afgelopen zijn.. en het kan gewoon met een IP check op cookies oid.

Inflatable @mgreving2 • 6 juli 2006 12:25

Kan dus kennelijk niet.. Of het kan wel, maar men wil het niet.. Zoals hierboven al gemeld werd, veel mensen hebben een dynamisch IP, en de mens is van nature lui en wil dus niet constant moeten inloggen.. Gemak dient de mens, maar dat brengt dus ook bepaalde risico's met zich mee blijkt maar weer eens..

DRAC303 4 juli 2006 15:41

ik hoop niet voor hem dat ms er een zaak van maakt, want zijn ouders zouden er niet zo blij om zijn ...
Maar ondertussen toch "famous for 5 sec's"

Mbyte @DRAC303 • 4 juli 2006 15:46

Hoezo een zaak van maken, zoals MS al zegt is het een "unwritten" rule dat een security expert een lek niet openbaar maakt. Voordat je wordt aangeklaagd kan worden zal er toch een "written" wet moeten zijn op basis waarvan jij kan worden aangeklaagd.

Ik moet zeggen dat de 5 dagen ook genoeg zijn, het excuus dat het op miljoenen pc's moet werken en dat het daarom zo lang duurt gaat niet op bij een online dienst.

Guru Evi @Mbyte • 4 juli 2006 22:46

Wel, ik ben een old-school hacker (uit de tijd van en voor Mitnick) en het is volgens mij een unwritten rule bij echte hackers (niet crackers of script-kiddies) dat je een lek DIRECT bekendmaakt aan de beheerder alsook direct voor peer review ter beschikking stelt.

Ik vind het ook normaal. Als ik een enorm groot lek vind in de TCP/IP stack van BSD die een computer doet crashen en ik vertel dit enkel in het geheim aan Microsoft, dan zal Microsoft dit oplossen in hun implementatie van de BSD TCP/IP stack en kunnen ze daarna (ze zijn toch al evil) alle computers van de concurrentie (die zich baseren op FreeBSD) platleggen waardoor zij kunnen zeggen: maar het gebeurt niet met ons, wij zijn beter beveiligd etc.

Dat er script-kiddies ten over zijn die dit misbruiken, dat is spijtig maar er zullen altijd slechte mensen in de wereld zijn, zowel online als offline.

SPee @Mbyte • 4 juli 2006 15:56

Het is niet op 1 webserver geinstalleerd, maar op 10-tallen. Die moeten elk ge-upgrade worden.

En omdat miljoenen er gebruik van maken, moet het ook nog eens zonder down-time gaan.

Het is geen huis-tuin en keuken website

i-chat @SPee • 4 juli 2006 16:24

tis inderdaad niet erg aardig van deze jonge, - maar als ik hierboven mensen over een maand hoor praten zakt mijn broek wel echt af... ik denk dan ook dat een periode van 10 werk dagen het maxiumen zo moete zijn... en zeker voor een dergelijke security-lek...

R3dJ3 4 juli 2006 15:49

Het aparte is dat dit wel vrij bekende exploits zijn.

het inloggen en vervolgens wordt je cookie gestolen via een java script.
dat Microsoft hier geen IP binding aan heeft gegeven (aan de cookie) dat verbaast me zeer.

stomme fout wat makkelijk voorkomen had kunnen worden.
ik geeft deze jongen groot gelijk het online te zetten.

Wolfboy @R3dJ3 • 4 juli 2006 17:33

De reden dat Microsoft geen IP binding geeft aan zo'n cookie is omdat er heel wat mensen zijn met een dynamisch ip adres, en mensen zijn lui dus om elke keer opnieuw in te loggen zullen ze ook niet blij mee zijn.

kimborntobewild @Wolfboy • 6 juli 2006 01:58

Leuk verhaal, maar veiligheid is belangrijker dan wat triviale functionaliteit. Als 't niet veilig kan, moet je 't gewoon niet doen.
Cookies zijn ondingen. Dat elke willekeurige website zomaar een privacy-gevoelig bestandje op je PC kan zetten én veranderen én later weer lezen deugt sowieso niet.

Inflatable @kimborntobewild • 6 juli 2006 12:30

Beetje naieve gedachte om te denken dat in de hevige concurrentie strijd van allerlei diensten op het internet het niet steeds moeten inloggen een triviale functionaliteit is..

Gemak dient de mens, al brengt het dus wel meer risico's met zich mee.. Risico's die kennelijk te overzien zijn, en eventueel gefixt kunnen worden.. Er worden overal op allerlei niveau's van dat soort afwegingen gemaakt..

SPee @R3dJ3 • 4 juli 2006 15:53

Het probleem is dat MS het niet aan 1 IP kan binden, is omdat ze 10-tallen servers hebben ivm loadbalancing voor de miljoenen gebruikers. Dus zouden ze het aan al die 10-tallen IP adressen moeten binden, welke niet eens onder hun beheer staan !

fraaije @SPee • 4 juli 2006 16:02

1) Wat heeft het ip van de server hier nou weer mee te maken

Er word bedoelt dat het ip adres van de bezoeker gekoppeld word aan de sessie. Op deze manier heb je er niks aan om de cookie te stelen omdat het ip adres wat opgeslagen staat in de sessie op de server niet overeenkomt met het ip van de cookie "lener"

2) IP adressen van alle servers kunnen simpel vervangen worden door 1 adres dmv proxy's

3) Weet wel zeker dat Microsoft wel deglijk hun eigen ip-adressen/subnets beheren

R3dJ3 @SPee • 4 juli 2006 16:06

@edit:
zelfde als evopower.

Verwijderd @R3dJ3 • 4 juli 2006 16:14

En dan nog ?

Ze kunnen dat niet aan de client IP binden want er bestaan nog steeds ISP's die hun proxy aanraden of zelfs verplichten en daardoor kan je tijdens dezelfde sessie soms toch met verschillende ip's op de server terechtkomen.

siepeltjuh @R3dJ3 • 4 juli 2006 16:19

En dat past dan weer bij de (oude) microsoft filosofie. Alles voor gebruikersvriendelijkheid.

Geen cookie, is gegevens nog een keer invullen.

GrooV @R3dJ3 • 4 juli 2006 16:19

De meeste proxyŽs van ispŽs zijn niet anoniem...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (81)

Sorteer op:

Weergave: