Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 72 reacties
Bron: Eweek, submitter: royco_100

Afgelopen zondag is er exploitcode gepubliceerd waarmee Windows Firewall op een volledig gepatchte XP-machine kan worden uitgeschakeld. Op milw0rm.com zijn tenminste twee varianten verschenen van de code, die gebruikmaakt van een lek in de Internet Connection Sharing-functionaliteit van Windows XP. De ICS-service, waarmee een internetverbinding met pc's op een lokaal netwerk gedeeld kan worden, bevat onder andere een DNS-server. Met een speciaal DNS-request kan deze DNS-server worden platgelegd, waarna ook de firewall het begeeft. De bug kreeg het stempel 'less critical' van beveiligingswaakhond Secunia, omdat het kwaadaardige DNS-request vanaf het lokale netwerk verzonden moet worden. Bovendien is de ICS-service standaard niet actief op een Windows XP-machine.

Helemaal ongevaarlijk is de bug niet: één lekke XP-installatie in een netwerk betekent dat het hele netwerk het gevaar loopt om voor andere malware opengesteld te worden. Om problemen te voorkomen wordt aangeraden om een andere manier te gebruiken om internettoegang te delen, zodat de ICS-service uitgeschakeld kan worden; gebruikers van een firewall van een andere leverancier hoeven ook niet voor hun veiligheid te vrezen. Hoofdtechneut Stefano Zanero van Secure Network SRL raadt mensen aan om meteen over te stappen naar een hardwarerouter: 'Die zijn momenteel erg goedkoop, beter te onderhouden en vaak ook een stuk veiliger.' Ook firewalls van andere leveranciers hebben geen last van de kwetsbaarheid. TG Daily vindt verder dat de problemen niet overschat moeten worden: 'ICS is een verouderde dienst, die alleen maar wordt gebruikt door MCSE-studenten en bovenmatig nieuwsgierige mensen.' Wie in die categorie valt, moet voorlopig toch goed oppassen: er is nog geen patch beschikbaar gemaakt.

Firewall

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (72)

'ICS is een verouderde dienst, die alleen maar wordt gebruikt door MCSE-studenten en bovenmatig nieuwsgierige mensen.'
Wat is dit nu weer voor een dodo uitspraak? Ik heb 1 laptop met draadloos netwerk en een vaste pc er naast. Soms draaien er programma's niet snel genoeg op de laptop en lus ik het internet door naar de normale pc. Ik ben niet bovenmatig nieuwsgierig en MCSE is een certificaat...

Daarnaast wordt er even heel gauw over het feit heen gestapt dat de firewall uitgeschakeld kan worden door een DNS request (!). Een firewall die aanstaat mag nooit en te nimmer uitgezet kunnen worden via een netwerk... het is wachten op een volgende en betere exploit die van buitenaf de firewall kan uitzetten.
:+

Lesje begrijpend lezen:

Uitleg citaat
Er wordt bedoeld dat ondertussen iedereen wel weet dat ICS vrij ruk is. In de meeste gevallen hebben mensen die het dan ook draaien een goede reden, óf ze zijn "bovenmatig nieuwsgierig".
De gekozen bewoording van dit laatste is op twee manieren te interpreteren:
- letterlijk: ze willen het geprobeerd hebben en gebruiken het tijdelijk;
- figuurlijk: ze zijn niet goed bij hun hoofd, maar het staat zo kut als je dat zo direct zou zeggen.

Verder geeft Mr. Ed nog een voorbeeld van een excuusje: mensen die bezig zijn zich laten certificeren voor MCSE moeten om deze reden bekend raken met ICS.

Door ook nog eens te stellen dat routertjes werkelijk geen drol kosten, wordt geïmpliceerd dat je in alle andere gevallen wel echt een enorme beunhaas moet zijn als je alsnog ICS gebruikt.

Toepassing op Motrax' casus:
Motrax bevindt zich in de uitzonderlijke positie dat hij én een pauper is met draadloos internet, maar zonder draadloze internetkaart voor zijn PC (die ook geen koeienvlaai meer kosten), én, uitgaand van dit geval, een goed excuus heeft om alsnog ICS te gebruiken.


Motrax, sorry als je dit beledigend opvat. Het is maar voor de vorm. Niet al te serieus nemen dus!

Oh ja, en Motrax: Sweex PCI wifi kaartje E19,95 bij de Computerland.
... Eventueel in USB-stick uitvoering voor hetzelfde bedrag.
figuurlijk: ze zijn niet goed bij hun hoofd, maar het staat zo kut als je dat zo direct zou zeggen
Zo te zien heb je toch enig probleem met zelfstandig nadenken omdat er echt nog wel andere situaties zijn te bedenken dan in jouw "ruk" en "kut" voorbeeld staan.
Het is (natuurlijk) een uitspraak van een spindoctor die denkt dat 'ie met 'playing down' de schade kan beperken.
Een firewall die aanstaat mag nooit en te nimmer uitgezet kunnen worden via een netwerk...
Ik zal je een geheimpje vertellen. De meeste firewalls die ik ken zijn configureerbaar via het netwerk (eigen interne webserver). En laten goede firewalls nu vaak de mogelijkheid hebben om het Wan verkeer ongecontroleerd te forwarden naar het interne netwerk (voornamelijk bedoeld om te debuggen, maar ook om te kunnen functioneren als een "gewone" router)

De mogelijkheid om een firewall via het netwerk uit te kunnen zetten is dus de gewoonste zaak van de wereld. Dat dit het gevolg is van een foutief DNS request is wel ernstig.
Onderschat de draadloze netwerken niet, veel van deze netwerken zijn nog niet goed (genoeg) beveiligd en als zo'n dns request hier op uitgevoerd wordt zijn de pc's wel degelijk kwetsbaar.
Wel is het natuurlijk de vraag waarom iemand deze service wil laten draaaien als hij al een wireless router heeft? Maar toch. . .
En hoeveel draadloze netwerken gebruiken dan ICS?
De meeste mensen met een onbeveiligd draadloos netwerk hebben waarschijnlijk een routertje en dan gebruik je geen ICS.
Maar hebben wellicht wel de service aan staan. Of remote assistance zonder wachtwoord.
Een beveiligd of onbeveiligd netwerk is in dit geval niet echt relevant.

Het probleem komt om de hoek kijken op het moment dat je met een "draadloze pc" je internet signaal wilt delen met de pc's die in dezelfde ruimte staan. Op dat moment gebruik je je pc als ICS station.

Een oplossing zou kunnen zijn om alle PC's van wifi te voorzien, maar ja, daar hebben ze geen ICS voor uitgevonden.
Een draadloze switch of router zou natuurlijk de oplossing zijn.... maar ja die zijn er (nog) niet.

De "clark-dozen" en andere linux (router) oplossingen die je eventueel op een dedicated pc zou kunnen draaien is technisch gezien vast wel grappig, maar vergt aan onderhoud stukken meer dan een losse draadloze switch of draadloos werkstation.
Toont meteen aan waarom het zo slecht is dat mircosoft aanbieders van firewalls en virusscanners uit de markt probeerd te duwen, je kan gewoon niet op een enkele oplossing vertrouwen.

Verder vind ik het te makkelijk om te zeggen koop dan maar een hardware firewall of een firewall van een andere aanbieder. Je koopt toch ook niet iedere keer als iets kappot is in je auto een niewe auto.

Als een product een fout heeft moet dat gewoon binnen hele korte tijd worden opgelost, en dat een hardware firewall veiliger is is misschien waar, toch ben ik van mening dat als een software firewall je niet de veiligheid kan geven die je nodig hebt om normaal gebruik van je PC te maken dat die firewall dan niet op de markt zou mogen zijn en zeker niet in een pakket als windows zou moeten zitten aangezien je dan mensen alleen maar een vals gevoel van veiligheid geeft.

Verder hebben hardware firewalls nog het probleem dat ze vaak nog goed moeten worden ingesteld om of helemaal veilig te zijn of om alle diensten te laten werken wat voor de gewone jan met de pet toch nog vaak kan beteken dat die firewall gewoon uit word gelaten zodat ten minste bestanden versturen via msn goed werkt om maar wat te noemen.
"Verder vind ik het te makkelijk om te zeggen koop dan maar een hardware firewall of een firewall van een andere aanbieder. Je koopt toch ook niet iedere keer als iets kappot is in je auto een niewe auto."

Vindt ik een kromme vergelijking. Als je firewall het laat afweten koop je ook geen nieuwe PC. Als je auto alarm het laat afweten, koop je een nieuw/ander alarm (als je uberhaupt nog een auto hebt).

"... die firewall dan niet op de markt zou mogen zijn en zeker niet in een pakket als windows zou moeten zitten ..."

Op de markt wil ik niet zeggen, maar dat de koppelverkoop met Windows niet zou mogen ben ik het 100% mee eens.

"Verder hebben hardware firewalls nog het probleem dat ze vaak nog goed moeten worden ingesteld om of helemaal veilig te zijn of om alle diensten te laten werken wat voor de gewone jan met de pet toch nog vaak kan beteken dat die firewall gewoon uit word gelaten zodat ten minste bestanden versturen via msn goed werkt om maar wat te noemen."

Hardware firewalls of software firewalls, Jan met de pet snapt van beide niet veel. Maar vaak is het zo dat zowel hardware als software firewalls al voorgeconfigureerd zijn om de meest gebruikte applicaties toegang te bieden. Wil je er veranderingen in aanbrengen? Dat mag, maar lees eerst even te handleiding (en zorg ervoor dat je voldoende verstand van zaken hebt en niet even alle inkomende poorten opent). Dat deze stap voor het gemak in 99% van de gevallen overgeslagen wordt, tja ...

@bericht: ik vind het toch wel raar dat een firewall zichzelf uitschakelt wanneer een vuil DNS request binnenkomt. Zou eigenlijk niet mogen.
het gaat om het feit dat de ICS service vatbaar is voor een exploit en niet om de firewall zelf.. De titel is dan ook weer misleidend.. alsof de xploit direct de firewall verneukt.. Dat de firewall van microsoft misschien niet de beste is zal ik niet ontkennen maar de fout zit in de ICS service en niet in de firewall
Pak gewoon het standaard sweex routertje en je bent van het hele probleem af...

En daarbij, tegenwoordig geven veel ISP's al standaard routers bij een internetverbinding...
Een sweex-router kan niet op proces-niveau poorten blocken. Dat kan een software-firewall wel...
Wie wil er nou in Zeus'-/Artemis'-/Allah's-/Godesnaam op softwareniveau internetcontact blokken?

Een sweex routertje doet aan NAT. Door de manier waarop NAT werkt, wordt al het inkomend verkeerd dat van buiten het LAN wordt geïnitieerd geblokt.

Met andere woorden: je computer moet al vanuit binnen het netwerk geïnfecteerd zijn voordat je op proces-niveau wilt gaan blokken.
...Behalve natuurlijk als je zelf software hebt geïnstalleerd, waaraan je het internettoegang wilt weigeren. Maar wie zou dat soort software nou installeren? Toch?
ALS er een trojan of andere smerige code op je PC komt, dan heeft die meuk in elk gevaal geen toegang naar het interent, tenzij je dat aangegeven hebt. Voor luisteren op poorten geldt hetzelfde, tenzij je een NAT-router hebt en geen DMZ ingesteld hebt.

Een NAT-router is dus zeker niet zaligmakend. Zeker niet voor een Jan met de Pet.
ALS er een trojan of andere smerige code op je PC komt, dan heeft die meuk in elk gevaal geen toegang naar het interent, tenzij je dat aangegeven hebt.
Oke, ik had een wat voorzichtigere formulering moeten gebruiken. Maar als je een trojan of andere smerige code op je PC hebt, wordt die er (als het goed is) af gehaald door je anti-virus programma. (En anders komt ie vast ook wel langs je Windows Firewall) En dit nieuwsbericht bevestigt dat je beter een externe software firewall kunt gebruiken, dan de Windows Firewall.

Elke router die internet deelt heeft NAT. Dat is het idee van een router die internet deelt. DMZ is voor gevorderden, die wel servers draaien, maar dit niet in hun NAT-tabel kunnen/willen aangeven.

Natuurlijk is een NAT-router niet zaligmakend. Maar ICS + Windows Firewall helpt verder ook voor geen reet.
@_Thanatos_:
In mijn ervaring draait 'Jan met de Pet' volledig door van een software-firewall.

Help! Ik krijg weer zo'n venstertje, en dan klik ik altijd op 'nee', en dan werkt $programma niet! (Of nog leuker, mensen die overal op 'ja' klikken.)

Kan je 100 keer uitleggen dat de gestelde vraag 9 van de 10 keer een direct gevolg is van een aktie van de gebruiker, en dat ze zouden kunnen redeneren wat er gebeurt ('goh, ik startte Outlook op, zou dat inderdaad internettoegang zoeken?'), en of er dan op 'ja' geklikt mag worden. Maar virusscannerupdates, al die programma's die bij opstarten controleren of je wel de nieuwste versie draait, programma's zonder duidelijke naam, maken het ze niet echt makkelijker.

Neemt niet weg dat een software-firewall, mits goed geconfigureerd, en met iemand die weet wat hij/zij doet een stuk broodnodige veiligheid biedt. Maar als de gebruiker niet weet wat er gebeurt, doen ze meer kwaad dan goed.
Een sweex-router kan niet op proces-niveau poorten blocken. Dat kan een software-firewall wel...
Heb jij nog enig vertrouwen in een software firewall op het moment dat er een virus actief is op je PC?
Een firewall houdt geen virussen tegen.
Duh, dat probeert ie ook niet te zeggen. Hij bedoeld dat als je een virus hebt, je firewall het niet meer doet. Dit geld natuurlijk niet voor een router.
Neem dan in ieder geval geen Sweex.
Wat hij probeert aan te geven is dat zelfs met een sweex routertje (goedkope kwaliteit) je pc al veilig is 8-)
Sweex is geen goedkope kwaliteit; dat is goedkope brol :P
Jij probeert waarschijnlijk te zeggen:
1. Goedkoop
2. (en dus) van mindere kwaliteit

:P
Gewoon een trust! Ik vertrouw trust altijd.
Een van de sponsors van Jos Verstappen is Trust, en trust apparatuur gaat bij mij net zo snel kappot als Jos de grindbak in reed.
Je weet huis wel dat dat voor het gros van de thuisgebruikers geen optie is.
Start maar alvast een bedrijfje op om mensen ouder dan 50 cursussen te geven , en werf mensen aan met VEEL geduld }>
Ik denk juist dat je iemand die nog nooit achter de computer heeft gezeten net zo makkelijk de Gnome/KDE interface als de Windows interface kan leren...
precies, daar ga je al.. de thuisgebruiker die nu al een jaartje of wat ingeburgerd is met windows xp heeft niet zoveel meer aan die hypothetische situatie waarin hij geen kennis heeft van een gebruikersinterface..
Pak gewoon een
Cisco PIX , ASA of een Checkpoint Firewall. Dus weg met de andere zooi. :+

Dit heeft niet met een ander OS te maken. Zo`n standaard opmerking altijd al er iets met Windows aan de hand is. Er zijn genoeg goede Firewals op de markt die geen geld kosten.

bijv. Kerio (Sunbelt) Personal Firewall, Sygate
Waar kan ik die exploit krijgen? 8-)
Ik zou nl graag van dat onding af zijn :-) en als je hem zelf uit zet blijft hij zeuren, hallo ik sta uit... |:(

@fastex:
Ik zit helemaal niet te zeggen dat windows een wanproduct is. ik zeg alleen dat ik die eeuwige, je firewall staat uit, je netwerk kabel zit los, je updates staan klaar, weet kje dit zeker? meldingen storend vind :-)
Je kan in Windows meldingen van het beveiligingscentrum uitzetten ;)
Sorry voor de dubbelpost, maar martijn, ik snap jou niet.

Volgens mij loopt echt 80% van alle Windows gebruikers te zeiken over dat windows zo onveilig is enzo.

HEY! je hoeft het niet te gebruiken hoor!

Eindelijke luistert Microsoft naar het publiek en gooit erin een firewall in, Windows Defender, Security Center, Live OneCare. Allemaal uitstekende tools om je pc in orde te houden...
En nog zeiken.... Unfucking believeable.
je moet wel windows gebruiken. iedereen stuurt elkaar word attachments, powerpoint presentaties, gebruikt MSHTML en ActiveX op hun website, en nog erger: we vinden dat Linux dat allemaal op precies dezelfde manier moet doen.

Linux is nu in heel veel opzichten net zo ver of verder als XP, maar voordat mensen overstappen moet Linux nog veel verder zijn dan XP, omdat ze dat gewend zijn.

Linux heeft niet eens een firewall nodig...
Sir Axe
en waarom zijn er minder exploits voor linux? omdat het veel minder gebruikt wordt, tis niet interessant om virussen te schrijven voor linux als er nauwelijks mensen mee geïnfecteerd worden... als de massa 'domme' (ff lekker stereotype) thuisgebruikers van windows xp op ubuntu (of een andere out-of-the-box gebruiksvriendelijke distro) overstapt zullen daar ook vast ook wat meer exploits voor geovnden worden..
Deze mythe berust 100% op de aanname dat de mensen die exploits zoeken hun afzetmarkt willen vergroten. Dit gaat alleen op als hun afzetmarkt gelijk staat aan de gebruikers.
Deze mythe gaat alleen op voor mensen die de exploits willen exploiteren, want zij zijn de enigen bij wie de afzetmarkt gelijk staat aan de gebruikers. In feite vinden deze 'hackers' misschien wel exploits, maar zullen zij hiermee niet naar buiten treden, en zouden we dus niet weten dat er meer/minder exploits zijn.

De mensen die wel met exploits naar buiten treden richten zich niet direct op gebruikers, maar meer op de mensen er omheen. Zoals de techneuten die werken met/aan het product, of de exploit-zoekende community (ze willen aanzien).
Waarom een mythe? Feit is dat er veel meer mensen bezig zijn met Windows Security dan Unix/Linux/BSD/OSX of whatever. Of je je nu richt op het verdienen aan exploits of op "aanzien", in beide gevallen bereik je meer met een exploit voor Windows dan voor bv Linux. Dit is de meest logische verklaring voor de verschillen aangezien er geen structurele zwakheden in Windows zitten in vergelijking met andere OSen.
Linux heeft niet eens een firewall nodig...
Niet?
Dat is dan zeker nieuw ?
Of zou de verwarring bij jou komen omdat standaard alle porten dicht staan. Zoek voor de gein eens op IPTABLES
Kijk, het punt is natuurlijk dat het grootste deel van de mensen die hier komen, zelf al lang een andere firewall hebben staan. Ze zijn kennelijk niet blij met de oplossing die Micro$choft :7 levert.

Maar je hebt gelijk, als je zo een hekel aan windows hebt, waarom draai je dan geen Ubuntu of koop een mac. Ik zit zelf in een situatie dat ik wel windows moet gebruiken en eigenlijk te lui ben om Ubunto of zo te gaan draaien, anders zou ik al lang naar een mac zijn geswitched.
Als ik nog weer een keer een nieuwe laptop ga kopen omdat ik geld te veel heb, zal het vast wel een powerbook worden.
Nee, je hoeft Windows niet te gebruiken nee. En als een overvaller een pistool tegen mijn hoofd zet dan hoef ik hem ook mijn geld niet te geven. :7
De waarschuwing is van het Security Center, en die kan je gewoon aanpassen, op mijn computers staan alle 3 de waarschuwingen uit (firewall, anti-virus en updates)

Firewall doe ik hardware matig (router), anti-virus software is onzin, wij krijgen vaak virussen op onze honeypot die door geen één anti-virus scanner wordt gedetecteerd voor vele uren (user == weakest link) en de updates waarschuwingen lopen via MSN Alerts van Microsoft TechNet vele malen sneller en bevatten ook de security alerts waar geen update voor is, maar wel een workaround.
Ja het fijne is, als jij je firewall uitzet, en de alerts, dan merk je niet als de firewall er weer op springt.

Ik weet namelijk uit ervaring dat sommige updates de firewall wel weer eens aan willen zetten, zonder daar ook maar 1 melding over te geven. Dat is best irritant, want daar kom je bijna altijd achter op het moment dat je die firewall niet uit kan zetten(niet achter je pc zit).
Als je van die irritante balonnetjes afwil, even een kleine tweak in je register

\[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000

En weg zijn ze
hi im a PC, hi i am a mac.
PC: itool itool itool...
mac: so your finally seeing what you are.
PC: 1,5+1,5=3
mac: eeuhhhh

nieuws: Afrondingsfouten in MacOS X 10.4.8
Sorry, moest even.. ;)
die meldingen kun je gewoon afzetten
Maar als ik bij services kijk. Is ISC dezelfde service als de windows firewall. Dus is iedereen die deze firewall aan heeft staan kwetsbaar
Geen last van hoor dat die blijft zeuren, je moet natuurlijk wel de melding uitzetten van die Firewall he !

Heb zelf ZoneAlarm nergens geen problemen mee** : Trojan Horses, Hackers en al die andere ongedierte... foetsie !

ff afkloppen **
Beetje slim persoon heeft Windows Firewall uitstaan en een andere firewall geinstalleerd, die zowel in- als uitgaande verbindingen controleert, want als ik me niet vergis, controleert Windows Firewall alleen ingaande.
Beetje slim persoon heeft Windows Firewall uitstaan en een andere firewall geinstalleerd
..en een nog iets slimmer persoon draait een andere firewall naast de firewall van XP.
En een nog slimmer persoon laat Windows helemaal niet zijn firewall beheren :+
En de meest slimme persoon zit zonder internet toegang in een grot. Daarmee natuurlijk niet suggererend dat Usama en de meest slimme persoon is
Is het wel een goed idee om links in artikelen te plaatsen naar sites die exploitcode publiceren? (of is deze site wel te vertrouwen)
Ja, dat is enigsinds verstandig. Of wou je wachten tot de volgende patch ronde van Microsoft? Als de exploit wijd verspreid is op internet heeft Microsoft bijna geen andere keus dan hun patch vrij te geven of snel met een patch te komen.

Wat ik eigenlijk mis aan informatie is wanneer deze bug is aangemeld bij Microsoft. In het originele eWeek arikel staat alleen dat de bug op 31 oktober is bevestigd.

Persoonlijk vind ik dat je een exploit pas openbaar mag maken nadat de maker(s) de mogelijkheid heeft gehad om hun software te repareren.

Ik vermoed omdat de bug lastig te misbruiken (local exploit) microsoft er geen prio aan heeft gegeven.
@domolanglekker:

Dat lijkt me ook een beetje kort door de bocht...

Het lijkt me dat het exploit juist wel in de Firewall zit. Dat ICS crashed tot daar aan toe, maar ik zie daarin absoluut geen aanleiding voor de Firewall om dan ook maar te crashen. Een bug in ICS dus, die een exploit in de Firewall aan het licht brengt.
maar ik zie daarin absoluut geen aanleiding voor de Firewall om dan ook maar te crashen.
Ik kan me goed voorstellen dat ICS en de firewall nogal innig zijn, dus gezamenlijk crashen is eigenlijk heel logisch.
Mocht je VPC geinstalleerd hebben, dan kanje ook last hebben van deze exploit. Met VPC wordt vaak ICS gebruikt, omdat je dan niet afhankelijk bent van de (brakke) implementatie van VPC's netwerk adapter. Als die namelijk gekoppeld is aan je hardware adapter, wil VPC zijn connectiviteit verliezen. ICM een loopback adapter heb je dan ICS nodig.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True