Microsoft verwacht wormuitbraak

Afgelopen dinsdag is door Microsoft een patch, genaamd MS06-040, vrijgegeven voor de Server Service in alle recente Windows-versies. In dat stukje software bevindt zich namelijk een door Microsoft als kritiek bestempeld lek dat door kwaadwillenden misbruikt kan worden om op afstand code te laten uitvoeren. Volgens Microsofts Security Response Center zijn er exploits opgedoken waarin gebruikgemaakt wordt van code die het lek uitbuit, wat betekent dat een wormaanval aanstaande is, aldus de Redmonders. Volgens Dave Aitel, onderzoeker bij securitybedrijf Immunity, is het lek 'too easy to exploit' en is een werkende worm dus een kwestie van tijd. Ook Gartner-analist John Pescatore denkt dat een wormuitbraak aanstaande is, gezien het feit dat exploitcode zo wijdverspreid is.

Om weinig last te ondervinden van een eventuele wormaanval zal het in de meeste gevallen voldoende zijn om de patch te installeren en het externe verkeer op de TCP-poorten 139 en 445 te blokkeren in de firewall. Volgens Pescatore heeft het lek veel weg van Blaster, dat in 2003 ronddwaalde, maar zal de impact een stuk kleiner zijn. Dat wordt vooral veroorzaakt door het feit dat er sindsdien veel is veranderd: er wordt door thuisgebruikers veel meer gebruikgemaakt van automatische updates en bij bedrijven wordt actiever aan de verdediging tegen malware gewerkt. Als er een wormaanval komt, zal deze qua grootte te vergelijken zijn met Zotob, die het in 2005 op Windows 2000-systemen voorzien had. De patch is ondertussen ruim 100 miljoen maal gedownload, aldus een woordvoerder van het bedrijf.

Reacties (50)

TvL2386 11 augustus 2006 12:52

Alle mensen die een router hebben zijn toch automatisch beveiligd? Ik bedoel, je router weet toch niet wat hij moet doen met inkomend verkeer op poorten die niet worden geforward naar PC's achter de router.

Theadalus

11 augustus 2006 22:11

Microsoft verwacht wormuitbraak

* Theadalus pakt hengel...

AllSeeyinEye 11 augustus 2006 12:48

Dan is het voor de niet-tweakers maar te hopen dat ze een goeie antivirus / firewall geinstalleerd hebben, die het eventuele verkeer over TCP 139 en 445 automatisch blokkeert, anders zouden er alsnog een boel mensen met een mooie infectie komen te zitten...

Apart dat ze niet de XP firewall, die toch bij veel mensen actief staat, gelijk meepatchen zodat die standaard dat verkeer tegenhoudt...

[Roland] @AllSeeyinEye • 11 augustus 2006 13:54

Dan is het voor de niet-tweakers maar te hopen dat ze een goeie antivirus / firewall geinstalleerd hebben, die het eventuele verkeer over TCP 139 en 445 automatisch blokkeert, anders zouden er alsnog een boel mensen met een mooie infectie komen te zitten...

In nederland zit bijna iedereen tegenwoordig via NAT te internetten, dus is een firewall niet eens nodig.
Alleen de mensen met inbelverbinding of met computers rechtstreeks op het internet zullen last ondervinden. Groep is tegenwoordig erg klein, en de mensen die bewust rechtstreeks op het internet zitten hebben wel maatregelen genomen (zijn zich daar wel van bewust als ze bewust rechtsreeks op inet zitten).

]Byte[ @[Roland] • 11 augustus 2006 16:11

In nederland zit bijna iedereen tegenwoordig via NAT te internetten, dus is een firewall niet eens nodig.

Ik weet niet onder welke steen jij de afgelopen 15 jaar heb gezeten, maar dit is een opmerking die niet gehinderd is door enige kennis van zaken.
Misschien moet je je eerst eens gaan verdiepen in de materie!
NAT (/router) is GEEN GEGARANDEERDE bescherming tegen aanvallen!!
Je hebt daarvoor gewoon een goed geconfigureerde firewall voor nodig.
En ik zeg bewust "goed geconfigureerde firewall" want een vergiet als firewall is geen firewall.

Sfynx @]Byte[ • 11 augustus 2006 17:10

Volgens mij weet jij juist niet hoe NAT werkt. Een eigenschap van NAT is dat de router niet weet naar welke PC een inkomend pakketje moet en deze gewoon negeert, tenzij:

- deze deel uitmaakt van een al bestaande verbinding, de juiste PC kan dan in de NAT-tabel worden opgezocht
- er een port forwarding is naar de betreffende PC

Dus alleen wanneer je zelf TCP 139 en 445 forwardt naar een lekke PC loop je gevaar met een NAT router, omdat de worm van buitenaf een connectie probeert te maken.

Zodra iemand een besmette PC in je lokale netwerk hangt ben je zonder firewalls op iedere PC of in de switch natuurlijk wel de lul omdat het verkeer dan niet langs je NAT router gaat... maar daar heb je al veel meer controle op.

]Byte[ @]Byte[ • 11 augustus 2006 21:19

Ach Henno ik zou zeggen lees de reactie van labtech hieronder eens.
Dan krijg je een idee waar een grote gros gebruikers last van hebben.
Ik heb het nog altijd niet over de (boven?) gemiddelde tweaker hier.
Het je ook enig idee hoeveel routers er door de (onwetende) gebruiker alles forwarden omdat ze toch maar 1 PC hebben?
Je wilt niet weten wat sommige mensen voor capriolen uithalen zonder te weten wat de impact is.

labtech @[Roland] • 11 augustus 2006 20:01

Vergis je niet. Er is een (zeer) grote groep gebruikers van USB-adsl modems en modems die om de een of andere reden in bridge-mode staan (o.a. kabelmodems, maar ook ADSL klanten). Deze zijn, indien niet gepatched, dus allemaal kwetsbaar

Verwijderd @AllSeeyinEye • 11 augustus 2006 13:10

Mijn ouder zijn 'niet Tweakers' en daar staat de pc standaard ingesteld op het automatisch downloaden van patches....

Afgelopen dinsdag zetten ze hun pc uit en voordat de pc helemaal afsloot werd de patch gedraaid.

Ik heb er niets voor hoeven instellen of doen... mijn ouders hebben bij de wizard van Dell gewoon Ja gezegd tegen auto updaten... Klaar

FoolZero @AllSeeyinEye • 11 augustus 2006 12:52

Dan is het voor de niet-tweakers maar te hopen dat ze een goeie antivirus / firewall geinstalleerd hebben, die het eventuele verkeer over TCP 139 en 445 automatisch blokkeert, anders zouden er alsnog een boel mensen met een mooie infectie komen te zitten..

Het is eerder voor de wel tweakers te hopen, dat de niet-tweakers gedegen maatregelen treffen.
Wij zitten immers weer met stuiterende firewall's en log's die overstromen van alle overhead, die daar bij komt kijken.

s441558 @AllSeeyinEye • 11 augustus 2006 14:22

De windows firewall wordt wel aangepast. Als je bijvoorbeeld bij ICMP kijkt (advanced settings van je firewall instellingen), dan zal je zien dat voor de update "allow incoming echo requests" aan staat. Na de update staat hij uit. Ook is er iets aan de begeleidende tekst veranderd van deze optie, aangezien port 445 ineens niet meer genoemd wordt na de update (ervoor wel).

daft_dutch @AllSeeyinEye • 11 augustus 2006 15:01

Elk huishouden wat ik ken heeft een routertje. Elk stom routertje is een firewall dus men heeft niks te vrezen.

dj.verhulst 11 augustus 2006 12:57

Gaat leuk worden ,, met dat WGA shit
mensen krijgen niks meer omdat ze auto update uit hebben gezet of bepaalde wga update op hidden gezet, en als de ene er niet opstaat krijg je de andere ook niiet

Als het echt zo link is als MS zegt zullen ze hun WGA tijdelijk uit moeten zetten .... anders worden masaal alle bandbreedte opgevreten besmette systemen...

ThunderNet @dj.verhulst • 11 augustus 2006 13:04

Kritieke updates zijn ook gewoon zonder WGA te downloaden

EfBe @ThunderNet • 11 augustus 2006 13:29

Erm, nee. Ik moest gister eerst WGA installeren van Windows Update alvorens ik de patches werden gedownload. Toen maar handmatig de patches opgehaald, daar ik WGA niet wil (heb wel legale windows, MSDN)

Synthiman @EfBe • 11 augustus 2006 16:00

Van de Microsoft Update website downloaden wil soms niet lekker werken als je WGA niet accepteerd, echter de auto-update functie werkt prima en installeert de updates netjes. WGA hoef je dus niet aanwezig te hebben.....

Je kunt auto-update zo instellen dat je eerst een melding krijgt. Bij die melding kun je dan kiezen tussen "express" of "custom" install. Met "Custom" krijg je netjes een overzicht en kun je ervoor kiezen om een update, die je niet wenst, over te slaan. (WGA bijv.) Daarbij kun je dan ook aanvinken dat je voor die update geen melding meer krijgt.

Rembert @dj.verhulst • 11 augustus 2006 13:09

Ook al heb je de WGA updates niet geinstalleerd of is je systeem als 'not genuine' geclassificeerd, dan nog kun je de security updates downloaden en installeren.

Op de microsoft website in de FAQ over WGA:

Security updates are not part of WGA or OGA. You can install security updates using the Windows Automatic Updates feature or download them from the Download Center.

Verwijderd @dj.verhulst • 11 augustus 2006 13:07

Maar is het microsoft zijn schuld als jij een illigale versie hebt draaien? Daar kan microsoft niets aan doen. Jij draaid die versie immers. Dus het is dan jouw fout.

Nu weet ik ook wel dat de meeste gebruikers geen firewall en geen antivirus hebben draaien, en bijna op alles JA klikken. Maar dat is een ander verhaal

johnbetonschaar @Verwijderd • 11 augustus 2006 15:49

Maar is het microsoft zijn schuld als jij een illigale versie hebt draaien? Daar kan microsoft niets aan doen. Jij draaid die versie immers. Dus het is dan jouw fout.

Wel eens over nagedacht dat een hoop illegale Windows versies als legaal verkocht/voorgeinstalleerd op PC's worden?

Bovendien zijn ook legale Windows gebruikers, en zelfs gebruikers die met een ander OS internetten de dupe van een grote worm-uitbraak.... En ik denk dat je dat MS best mag aanrekenen ja...

MMaster23 @johnbetonschaar • 11 augustus 2006 16:20

vandaar de hele How To Tell campagne .. www.microsoft.com/howtotell

als je illegale windows hebt, en jij komt niet door WGA heen maar jij hoort gewoon legaal te hebben, moet je contact opnemen met Microsoft. Jij krijgt dan gratis een XP en het bedrijf waar jij hem hebt gekocht word helemaal platbombadeerd door advocaten.

Believe .. seen it before. Laatst waren er nog 24 bedrijven aangeklaagd voor honderden miljoenen dollars illegale windows licenties. Anti-privacy boetes moeten ergens mee betaald worden

Finraziel

@dj.verhulst • 11 augustus 2006 13:04

security updates zijn volgens mij nog steeds voor iedereen te downloaden, of je nou een officiele windows hebt of niet...

lammert @dj.verhulst • 11 augustus 2006 13:06

Essentiele updates, zoals deze, kunnen op alle (dus ook illegale) windows-installaties worden geinstalleerd.

Rene59 @dj.verhulst • 11 augustus 2006 13:11

Het is toch de wereld op z'n kop he. Niet alleen Microsoft wordt bestolen door een hoop mensen, maar door logische maatregelen om de diefstal proberen terug te dringen, worden nu de klanten van Microsoft óók de dupe van al die mensen met een illegale versie van Windows.
Je zou toch verwachten dat het op gegeven moment moreel gezien onacceptabel wordt dat je illegale software gebruikt. Wie weet...over 10 jaar?

Verwijderd @dj.verhulst • 11 augustus 2006 13:02

kb905474_1.5.540.0

Verwijderd 11 augustus 2006 19:53

Ik zit direct op het internet met een public IP via @Home, maar @Home blokkeert deze poorten al vanaf het prille begin en ik neem aan dat dat bij andere ISP's niet anders is, in Nederland dan.
Ik kan me voorstellen dat bij Uni's wel alles openstaat.

TvL2386 @Verwijderd • 11 augustus 2006 20:23

Ik kan je vertellen dat mijn firewall log aangeeft dat ik heel vaak word benaderd op zowel poort 139 en 445. Om deze poorten blijkt het te gaan volgens het artikel.

Met andere woorden, mijn doodnormale ADSL - Speedlinq - BabyXL verbinding blokkeert niet automatisch deze poorten.

Daar ben ik trouwens erg blij mee, want ik wil zelf bepalen wat ik wel en niet blokkeer.

Ik snap dat het voor de simpele thuisgebruiker makkelijk is als de ISP bepaalde threats automatisch tegengaat door poorten te blokkeren.

Voor de statistieken: In 15 uur tijd ben ik 4948 keer benaderd op poort 445 en 1693 keer op poort 139.
Deze packages zijn gedropped.

Verwijderd 11 augustus 2006 12:49

Ik zal de patch sowieso eventjes draaien. Maar wat bescherming betreft, een beetje router heeft als de poorten 139 en 445 dicht staan (althans bij mijn Draytek in ieder geval wel).

Verwijderd @Verwijderd • 11 augustus 2006 13:04

Op een NAT router moet je expliciet poorten door laten routeren naar een bepaald IP. Heb je het dus niet open gezet staat het inderdaad dicht.

Dit is het geval op alle NAT routers, het is namelijk inherent aan de gebruikte techniek. Bekijk het zo: Als er een request op een externe poort binnenkomt zou de router niet eens weten wat ermee te doen. Dat moet je em dus eerst gaan vertellen.

Verwijderd @Verwijderd • 11 augustus 2006 13:15

Tenzij de connectie van jouw kant af wordt opgezet.

_JGC_ @Verwijderd • 11 augustus 2006 13:15

Een beetje ISP filtert deze poorten ook gewoon. Als je dan zonodig remote SMB wilt doen zet je maar een VPN op ofzo.
Heb voor de servers die ik beheer de borderfirewall zo geconfigureerd dat er geen enkel verkeer op poort 135, 139 en 445 naarbinnen of naarbuiten kan (externe en interne interface, VPN uitgezonderd, gefilterd). Al zouden de webservers geinfecteerd raken met een dergelijke worm, dan kunnen ze geen servers van andere bedrijven infecteren.

Verwijderd @Verwijderd • 11 augustus 2006 12:56

idd op de oude van mij ook.

Ik heb nu een cisco pixje en daarop staat standaard alles gewoon dicht

J.J.J. Bokma @Verwijderd • 12 augustus 2006 02:37

Er lopen nog veel te veel mensen rond die als advies bij elk netwerkprobleem "alle poorten openzetten" geven. En helaas nog meer mensen die dat braaf doen.

Bierkameel 11 augustus 2006 13:03

Jullie zijn wel een beetje laat met dit nieuws, het was gisteren al op verschillende sites te lezen.

Ik heb zelf gister ongeveer 60 servers mogen rebooten, erg leuk om elke keer zoveel updates te mogen aproven in WSUS en dan de hele omgeving rebooten

EfBe @Bierkameel • 11 augustus 2006 13:30

Tenzij het terminal servers zijn, is het toch in het algemeen niet altijd nodig altijd de patches te draaien, domweg omdat mensen niet fysiek op de servers kunnen en omdat er een goede firewall in gebruik is?

arjants @EfBe • 11 augustus 2006 13:44

Dat risico zou ik niet eens nemen.
Stel dat er een latop oid in je netwerk geprikt wordt met het virus, ik heb liever al mijn servers beschermt.
Just in case...

the_stickie @EfBe • 11 augustus 2006 17:23

Patches uitvoeren doe je best _altijd_ en _zo snel mogelijk_. ze komen er niet voor niets!
Uitvluchten als "niemand kan aan die bak aan", "'t is maar een lokale server", ... komen imho uit de mond van niet professionelen. (nofi hoor)

De énige gedegen uitvlucht is dat je nog aan het testen bent in je testomgeving... en zelfs dan mag je een beetje haast maken!!!

Verwijderd @EfBe • 11 augustus 2006 13:47

Tot er iemand met een geinfecteerde laptop langskomt en een LAN verbining maakt...

Op http://www.wsus.nl/ staat een tooltje met de naam Wsuster dat je kan gebruiken om de updates op je WSUS server te approven. Naar ons idee werkt het beter dan de web interface van de WSUS server zelf.

AllSeeyinEye @Verwijderd • 11 augustus 2006 12:56

Als jij een goeie auto koopt, betaal je daar het volle pond voor. Da's logisch (tenzij je goed afdingt, dat terzijde)
Als dan later blijkt dat er een productiefout zit in bijvoorbeeld je airbag, dan zal de fabricant (via de dealers) dat gratis herstellen.
Zo ook hier met de Windows OS'sen. Je koopt het product, en eventuele fouten/beveiligings drama's (hoewel het er vrij veel zijn, maar Windows is nou eemaal groot), dan wordt dat als 't ontdekt is (in de meeste gevallen) gerepareerd.

Hertog @Verwijderd • 11 augustus 2006 12:54

Een computer is geen auto. Je kunt wel blijven vergelijken, maar het loopt altijd wel ergens spaak.

FoolZero @Verwijderd • 11 augustus 2006 12:55

Tja, dat kan gebeuren. Weet je wat ik dan doe?
Jawel, ik koop een ander merk auto. Op die manier heb ik geen last van de negatieve punten van die ene auto.
Niemand dwingt me immers om in een bepaalde auto te rijden.

Ik baal er meer van, dat ik in de file sta (lees last heb van) andere bestuurders, omdat zij niet goed met hun auto overweg kunnen.

En om uit het metafoor te stappen: Zo ook in de wereld van internet.

smokalot @FoolZero • 11 augustus 2006 13:04

was het maar zo dat niemand je dwingt in een bepaalde auto te rijden.

Scholen, universiteiten, de overheid (belastingdienst bijvoorbeeld), onmetelijk veel bedrijven, en zo'n beetje ALLE computerwinkels, allemaal dwingen ze je direct of indirect om windows te draaien.

SirBlade @smokalot • 11 augustus 2006 13:47

Alleen overheden (en door overheden gecreëerde monopolys zoals bv kabeltv-leveranciers en busbedrijven) kunnen je ergens toe dwingen, zij hebben namelijk bijna altijd een monopoly zodat je niet naar een concurrent kan gaan of erger, er is een knokploeg die je met geweld dwingt van de "diensten"gebruik te maken. Scholen, universiteiten, bedrijven en winkels hebben die luxe niet.

@LittleDragon: bij de meeste scholen hebben ze lokalen met pc's waar je kan werken, niemand die jouw dus verplicht om thuis ook die programma's te gaan gebruiken. Het is jouw keuze dat te doen omdat je dan bv op ieder moment van de dag kan werken, of omdat je dan niet hoeft te wachten op een vrije pc.

Het.Draakje @smokalot • 11 augustus 2006 15:14

Ik gebruik anders voor de Univ (legaal +gratis) studentenversie's van Windows programma's.

Uiteraard kan ik ze ook kopen 5 stuks a 4.000 dollar.

Hoezo windows niet verplicht ?

(edit : typo)

@SirBlade : Uiteraard hebben de meeste scholen dat. Maar het gebruik daarvan is maar heel beperkt mogelijk. Een student ontkomt er niet aan (zeker niet als het een IT student is) om een eigen computer aan te schaffen.

Het is echter ook mogelijk om schriftelijk een Universitaire Studie (www.ou.nl) te doen. Of als avond-studie. Bijvoorbeeld naast je baan. En die instellingen hebben geen lokalen met computers. Ik mag mijn java programma's tijdens het tentamen dus helemaal uitschrijven :-((

Maar je stapt wel heel simpel over het argument heen dat een Universiteit je wel degelijk kan dwingen om Windows te draaien/gebruiken. Niet dat dat beperkt is tot universiteiten. Mocht mijn dochter ooit besluiten om haar spreekbeurt met niet-powerpoint software te verfraaien dan lacht de leraar haar zo ongeveer uit, want dat heeft de school niet, of kunnen ze niet installeren. En uiteraard moet zal ze wel moeten verfraaien anders scheelt het in haar cijfer.

PD2JK

@Verwijderd • 11 augustus 2006 12:54

Als we nou eens met z'n allen - de hele wereld - geen rare dingen doen met Windows, zoals lekken zoeken, virussen schrijven, etc., dan is er niets aan de hand en is iedereen blij.

WinL @Verwijderd • 11 augustus 2006 12:54

Maar je krijgt nu wel SUPER X banden en mooie nieuwe bumper (met eigen sportief motief) enz... enz... Dit is appels met peren vergelijken. Een auto slijt (nieuwe banden, accu ed.) en Windows heeft updates nodig.... ook een beetje krom, maar het gaat om het idee.
Verder: Mac OSX, Linux, Unix, Windows... we kunnen nog effe doorgaan (hint).

JJ Le Funk 11 augustus 2006 13:19

[..] door Microsoft als kritiek bestempeld lek dat door kwaadwillenden misbruikt kan worden om op afstand code te laten uitvoeren [..]

Is dit niet de standaard melding die MS gebruikt voor bijna al z'n kritieke patches?

Als dit specifieke geval wereldnieuws is, zijn dan alle patches met dezelfde melding niet overdreven?

soheilmd 11 augustus 2006 15:27

en daar gaan we weer

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (50)

Sorteer op:

Weergave: