Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties
Bron: Microsoft

Volgens Microsoft en het Sans Internet Storm Center richten hackers hun pijlen op een lek in de dns-service in Windows 2000 Server SP4 en Windows Server 2003 SP1 en SP2. Via workarounds kan worden vermeden dat kwaadwillenden systemen overnemen.

Er is nog geen patch beschikbaar voor het euvel, dat aanvallers in staat stelt om de controle over een server over te nemen door er een speciaal rpc-pakketje naartoe te sturen. Wel geeft Microsofts advisory een aantal workarounds; zo kan het beheer op afstand voor rpc worden uitgeschakeld, kunnen de door rpc gebruikte poorten, 1024 tot en met 5000, worden geblokkeerd of kunnen aanvallers door het inschakelen van geavanceerde tcp/ip-filterinstellingen het bos in worden gestuurd.

www keys Ondanks dat het aantal aanvallen momenteel beperkt lijkt, is het lek potentieel zeer ernstig te noemen, zegt dns-grondlegger Paul Mockapetris. Hij wijst erop dat dns-servers, die domeinnamen in ip-adressen omzetten en vice versa, vertrouwd moeten kunnen worden om bijvoorbeeld phishingaanvallen af te kunnen slaan - immers, een gehackte dns-server kan een computeraar van het vertrouwde bankdomein naar het ip-adres van een kwaadwillende doorsluizen. Nu is het wel zo dat de meeste isp's Unix- of Linux-servers gebruiken voor hun dns-servers, zegt Mockapetris, maar veel grote organisaties gebruiken Microsoft-serversoftware voor hun intranet en/of als gateway naar het internet. Daar liggen volgens de dns-ontwikkelaar dan ook de kansen voor het hackersgilde, en de eerste slachtoffers die door het Sans Internet Storm Center gemeld worden zijn inderdaad een aantal Amerikaanse universiteiten.

Moderatie-faq Wijzig weergave

Reacties (61)

Ik begrijp niet dat een systeem dat ip nummers moet bieden bij domeinnamen, een van de oer-services van internet, nog steeds niet geperfectionneerd is. Wat ik dan ook niet begrijp hoe men dat in hemelsnaam realiseerd, zon server filtert toch wel eerst op bepaalde tekens?
Wie is slim en heeft het niet te warm om me deze vragen te 'resolven' ;)
een van de oer-services van internet, nog steeds niet geperfectionneerd is.
Dat is een fundamenteel verkeerde stelling. Er is niks mis met DNS, er is iets mis met (de DNS implementatie van) Windows 2000 Server SP4 en Windows Server 2003 SP1 en SP2. Andere besturingssystemen zijn (blijkbaar) niet getroffen, dus de fout ligt bij Windows. Niet bij DNS, en blijkbaar hebben de ontwikkelaars van het veruit meest gebruikte bind (huidige versie 9; DNS server voor Linux en *BSD, BIND verscheen voor het eerst begin jaren 80) niet dezelfde fout gemaakt. BIND heeft een hele historie van gevaarlijke lekken gehad in de jaren 80 en 90 (versie 4 en 8 ), en is daarom volledig herschreven om dit te voorkomen. Voor zover bij mij bekend schrijft Microsoft nog niet zo lang DNS-servers.

Windows Server 2000 is geen oer-OS. Het is gebaseerd op Windows NT (5.0 om precies te zijn). Windows NT werd geschreven door van OpenVMS overgekochte programmeurs, en was in 1993 klaar; de naam Windows NT werd vervangen door de naam Windows 2000 in 1998. Windows DNS is geforkt van (lek als een mandje) ISC's bind4(.3).
Dat klopt wel zo ongeveer, maar de DNS implementatie van MS is de afgelopen jaren anders juist wel redelijk 'veilig' gebleken, er zitten (zaten ?) amper security-bugs in, zeker in vergelijking met Bind. Zo slecht is MS DNS dus eigenlijk helemaal niet ...

PS: Ik vind het eigenlijk wel erg lang geduurd hebben voordat er een exploit voor gevonden is in een dergelijk 'oude' code. Soms duurt het uren en soms dus blijkbaar jaren :Y)
BIND is open-source (dus fouten vinden is makkelijk en kost niet veel tijd), MS-DNS is tegenwoordig closed-source (dus fouten vinden is moeilijk en kost veel tijd).
Het aantal gevonden fouten hoeft dus niet per definitie iets te zeggen over hoeveel fouten ergens in zitten, het kan ook zijn dat er in beiden evenveel fouten zaten, maar dat het moeilijker was om ze in close-source te vinden. Anderzijds kan dat het weer wel zeggen, maar omdat het closed-source is zullen we dat waarschijnlijk nooit weten.
Ik doelde meer op het feit dat de code al jaren op wereldwijde schaal 'in het wild' gebruikt, geanalyseerd en aangevallen wordt. Gezien het 'track record' van MS DNS is de software 'dus' niet slecht, wat voor spaghetti-code het eventueel ook zou mogen zijn.

In die context gaat het closed-source vs. open-source verhaal trouwens niet 100% op, want broncode van Windows 2000 is zo ongeveer op google te vinden. :7

PS: Misschien een leuk afstudeer-onderwerp: Code analyse van MS DNS vs. Bind ?

EDIT @Parasietje hieronder: absoluut niet; er zijn nog altijd miljoenen MS DNS servers op de wereld ... de quote impliceert alleen dat het niet de meest gebruikte software is, maar dat betekent nog niet dat het niet veel gebruikt wordt :7
(Reactie op SKiLLa @ 23:53)
Ik denk dat je je onderzoek moet richten op het werken met shared libraries (DLL's) en statisch gelinkte code.
Als je met shared libraries werkt dan kan een aanpassing die je in een DLL voor programma A doet grote gevolgen hebben voor programma B die toevallig ook die DLL gebruikt (zie ook de problemen die de patch voor het "cursor-lek" veroorzaakte).

Ik ga trouwens niet zeggen dat statisch gelinkte code heilig is. Daar zitten net zo goed nadelen aan en kun je ook voor grote verrassingen komen te staan.
In TFA wordt je stelling ontkracht:

SKiLLa schreef:
"De code wordt al jaren op wereldwijde schaal gebruikt, geanalyseerd en aangevallen."

TFA:
Nu is het wel zo dat de meeste isp's Unix- of Linux-servers gebruiken voor hun dns-servers, zegt Mockapetris
Microsoft Server 2000 & 2003 gebruikt overigens een zwaar gepatchte Bind 4.7 als DNS server. Ze hebben daarvoor namelijk licentie enz op de commerciŽle variant z'n code voor genomen... ongetwijfeld hebben hun patches bind al wat gedestabiliseerd en 4.7 was al niet zo'n veilige variant.
Hoezo, 'ongetwijfeld' ? De DNS implementatie van windows 2000 en 2003 is zeer afwijkend t.o.v. de Unix variant, omdat het de basis is voor Active Directory. Wellicht dat ze initieel gestart zijn met een BIND source, maar door de noodzakelijke aanvullingen om AD te supporten lijkt het me onwaarschijnlijk dat er nog veel BIND code ongemoeid is gelaten in de DNS sourcecode.
@EfBe: Volgens mij leunt AD niet op de DNS implementatie, maar op een LDAP server.
ik denk dat niemand begrijpt waarom dezelfde heren meer dan 10 jaar nodig hebben om een besturingsysteem te maken die ook niet geperfectioneerd is. ;)
Dat is een belachelijke redenatie.

Auto's bestaan al 100 jaar en nog steeds zijn er problemen met motors / ophangingen / electronica.

Een perfect OS bestaat niet , niet op Windows en niet op Linux / Unix. De tijd is toch voorbij van Windows 9x/Me dat een Windows zo onstabiel is en dat Linux hier een goede voorsprong in had. Tegenwoordig zijn deze aan elkaar gewaagd ( Windows XP / Linux - Vista heb nog geen ervaring mee )
Blue screesn krijgen we toch ook nog maar zelden. Het is in ieder geval lang geleden dat ik er 'e'en gezien heb (of een spontane reboot gehad heb) Dus verbeteringen in de core zijn er wel zeker.

Vraag me toch altijd af waarom computers altijd met auto's vergeleken worden :?
Jij vergeet dat er bij auto's nog maar zeldzaam echte zware ontwerpfouten gemaakt worden. Defectoorzaken zijn eerder materiaalfoutjes, mechanische slijtage en bezuinigingen. Vergelijken van hardware en software slaat als een tang op een varken wat dit betreft.
Dat is een belachelijke redenatie.

Auto's bestaan al 100 jaar en nog steeds zijn er problemen met motors / ophangingen / electronica.
Maar globaal genomen is die auto er in 100 jaar enorm op vooruit gegaan. Met een beetje normale rijstijl kan je makkelijk 200 of 300.000km met een motor halen terwijl het verbruik stukken lager ligt. De 'core' is wel degelijk enorm veel beter geworden.

Dit in tegenstelling tot MS produkten waar na al die jaren zelfs de core nog steeds niet deftig werkt. En dan zwijgen we maar helemaal over de toeters en bellen die errond hangen...
Zo moeilijk is dat niet te begrijpen.

Bij Microsoft heeft ontwikkeling van nieuwe features en programas nu eenmaal voorrang boven het perfectioneren van bestaande. Want dat verkoopt nu eenmaal.

Alleen wie er nu zit te wachten op "Yet Another Great OS" ontgaat me een beetje.
Hoe kunnen mensen, die zelf niet perfect zijn, een systeem ontwikkelen die wel perfect is? Juist, inperfectie brengt inperfectie voort..........hoe mensen ook hun best doen.
Dat vind ik nou zo een ontzettend slecht excuus. Je kan toch ook een brief tikken zonder fouten te maken?
Ik weet dat het schrijven van een softwareprogramma een moeilijkere klus is, maar professionals mogen zich in mijn mening niet achter een dergelijk smoesje verschuilen.
@Parasietje: Tot zo ver de theorie, het is een utopia dat je 40+ miljoen regels code (neem hier het aantal regels code voor Win2K als voorbeeld) 'bugvrij' kunt ontwikkelen en houden tijdens de life-cycle. Dat heeft niets met luiheid te maken, maar met de complexiteit.

De complexiteit van software neemt niet lineair, maar eerder exponentieel toe en dus gaat je verhaal niet op bij echt grote code-bases, tenzij je 50+ jaar ontwikkeltijd wel realistisch vindt (nog even los van de kosten) :z
@iKiddo:

Nee, ben ik het niet mee eens.
Ik ben zelf ook software ontwikkelaar en bij sommige projecten heb je zoveel mogelijkheden en oneindig veel kansen op een foutje, dat het praktisch onmogelijk is om in een redelijke tijd ALLE bugs te verwijderen. Lees: ALLE!

Dat kan gewoon niet, er zullen (bij grotere projecten) altijd fouten blijven zitten. Als een module van een bepaald project al 300000 regels code bevat, dan kun je dat simpelweg niet uitsluiten. We blijven mensen en we hebben geen 10 jaar om een opdracht af te maken.
Een groter project kan je opsplitsen in kleine projectjes. Modularisatie is door te trekken tot op het kleinste niveau. Als je goed programmeert met een Object-oriented houding, kan je elk klein stukje code minitieus testen.

Neen, bugs is niets anders dan luiheid. Het is perfect mogelijk om bug-vrije software te maken, maar commerciele bedrijven hebben tijdsdruk die het hen onmogelijk maakt om bugvrije software te maken. Iemand zal geen 4x duurder software-pakket kopen omdat het gegarandeerd bugvrij is.
Als software nou niet gebruikt zou worden door mensen, dan werkt de software perfect!

The weakest link is altijd de mens in een ict oplossing. Dus ik stel voor laten we de mensen uitroeien om problemen met ict oplossingen te voorkomen!
@parasietje: Jij hebt dus blijkbaar totaal geen idee wat softwaredevelopment werkelijk is.. Wat jij denkt hoe het moet is een utopie die niet werkt.. Tevens kan jouw programma dan wel perfect zijn, maar er kunnen bv problemen in de compiler zitten, of er kunnen problemen zitten in libraries waar jij gebruik van maakt (per slot van rekening gaat men steeds vaker gebruik maken van external libraries).. En je vergeet dat bijna in elke branche de regel geldt: Het moet gisteren af zijn...
*** No address (A) records available for geperfectioneerd
er staat duidelijk dat de DNS service over poort 54 niet vulnerable is.
Als je ms dns draait als internet dns server is er niets aan de hand.
De vulnerability zit in de RPC interface van de MS DNS server waarmee je hem op afstand kunt beheren.
Als je zo'n server aan internet hangt dan zet je die poorten zowiezo al dicht. RPC over internet is toch super traag :)
Jamaar, daar zeg je zoiets. Alleen al om de workaround uit te voeren heb ik rpc nodig. De meeste van onze dns-servers worden remote over rpc beheerd.

Tot voor kort werd rpc als algemeen veiligd bestempeld (toch in de MS certified cursussen).

Die workaround is voor mij dus compleet niet werkbaar. 'Trek de netwerkkabel uit' doet hier voor mij net hetzelfde.
was het niet blaster die juist de RPC misbruikte om je pc af te sluiten na een halve minuut?

was natuurlijk makkelijk tegen te houden door " shutdown /a " uit te voeren en dan te patchen, maar ik heb vťťl volk zien langskomen waarvan hun pc "spontaan" afsloot :+
Dat was nog in de tijd dat iedereen ťťn PC op het internet aangesloten had, middels een USB-modem.

Hierbij stonden alle poorten van de PC vrolijk open en bloot op internet.

Sinds de opkomst van routers is dit niet meer mogelijk :)
Tot voor kort werd rpc als algemeen veiligd bestempeld (toch in de MS certified cursussen).
En wc-eend adviseerd wc-eend
er staat duidelijk dat de DNS service over poort 54 niet vulnerable is.
even een kleine opmerking: DNS draait op poort 53, niet op poort 54.
er staat duidelijk dat de DNS service over poort 54
Uhhm... Mag dat poortje 53 zijn?
Windows Server 2000 is geen oer-OS. Het is gebaseerd op Windows NT (5.0 om precies te zijn).
Volgens mij klopt deze stelling niet helemaal. Of je zegt Windows 2000 (oftewel Windows NT 5.0) OF je zegt Windows 2000 (gebaseerd op Windows NT 3.1).

Misschien een detail maar Windows NT 5.0 en Windows 2000 zijn dezelfde OSen, alleen een andere naam (als ik mij niet vergis) dus ze kunnen NIET op elkaar gebaseerd zijn.

Voor de geinteresseerden onder ons :
http://nl.wikipedia.org/wiki/Windows_NT
Tja, 2k = nt 5.0, XP = nt 5.1, 2k3 = nt 5.2 en Vista = nt 6.0

Ik dacht dat dat bij Tweakers algemeen bekend was ;)
Ik heb er gisteren al wat over gelezen maar een ding is me nog niet duidelijk:
Als ik een bedrijfje of een andere kleine organisatie heb met een eigen DNS-server in het intranet die alleen dient om externe adressen te resolven voor interne gebruikers, loop ik dan risico voor een aanval van buitenaf of gaat het alleen om risico's door aanvallen vanuit de eigen organisatie?
Het hangt eraf of je server een RPC poort (boven poortnummer 1024) open heeft staan, die ook van buiten het intranet te bereiken is.
Als dat zo is, kan iemand een TCP connectie maken met de desbetreffende RPC-poort, en verwerft daardoor kennelijk bepaalde rechten waarmee hij / zij effectief gezien kan 'inbreken'. bron
Om dat te voorkomen kan je, zoals in het artikel gezegd, RPC uitzetten, de poorten boven 1024 voor verkeer van buitenaf blokkeren (als je de mensen op je intranet wel vertrouwt), of een firewall gebruiken.
Niet gezegd dat dat internet moet zijn.

Wanneer een virus deze exploit code loslaat op het MKB zijn de rapen gaar... er zijn zat mensen die vanuit kantoor wat internet bankieren in de pauze. Tegelijkertijd is in het MKB bijna per definitie een DNS server (immers is AD afhankelijk van DNS, en de gemiddelde DC in zo'n omgeving ook DNS server, en daarmee gevoelig voor deze bug...)

Je hoeft de ISP dns dozen niet te hebben, als je de corporate dns servers kunt infecteren :(
Wie zet er in godsnaam poort 135 open naar binnen toe? |:( Naar mijn bescheiden mening heb je een verdomd slecht beheerde firewall als je die workarounds nu nog moet gaan toepassen. Dat moest namelijk al zo zijn van bij de initiŽle setup.
Uh.. De default met SP1 en 2 Ūs dicht, tenzij je bij het configgen anders aangeeft.
De security config tool doet 't keurig, alleen wordt die te weinig gebruikt om servers te beveiligen.
Geen enkel programma zal poort 135 voor communicatie naar buiten toe gebruiken!
Veel poeha om niks. De mensen die een dns server van Microsoft hebben draaien en die toevallig open en bloot aan het internet hangen hoeven allen maar even een reg bestandje te laden, even dns service restarten et voila.

Maar via poort 53 kan je niet geexploit worden, echter vanuit binnen wel, dus is het wel verstandig om je rpc van je dns even op local te zetten, en dus zo de eventuele aanval af te slaan. Kleine moeite veel plezier.

En wat betreft MS draaien op corporate (multinational) niveau..... Prima, tegenwoordig, werkt als een zonnetje, net zoals *ux ook goed draait.
Als dat zo 1-2-3 makkelijk is, geef dan even een link!

Dit zoeken kost nl. veel tijd. Vooral het doorlezen van de documentatie of er dingen kunnen breken in je system (niet ieder bedrijf heeft elke belangrijke computer in tweefout).
1) Perfectie bestaat niet

2) dit soort software word ook bijgewerkt om gebruik te maken van de nieuwste technologiŽn en word ook geŲptimaliseerd voor nieuwe hardware en het steeds groeiende gebruik van het net.

-edit-

was reactie op DaaNMageDDoN
Dus als je server achter een firewall staat - waarop die poorten geblokkeerd zijn - is er eigenlijk niets aan de hand. Tenzij iemand van binnuit het netwerk dus die server wil hacken, maar dat zou betekenen dat iemand z'n eigen server hackt.

Daarnaast, het euvel zit in DNS, maar begrijp ik het goed dat het dus niet eens uitmaakt of je poort 53 wel of niet open hebt staan?
Elk groot bedrijf dat een MS-DNS server gebruikt die van buitenaf toegankelijk is neem ik al niet serieus. Echte DNS servers draaien op *ux.
Ben ik het niet helemaal mee eens.

Daarnaast heeft *ux ook veel lekken alleen om dat deze machines niet main stream zijn blijven deze grotendeels buiten schot.

Zie de Ipod virus. iedereen heeft zo'n ding Ik heb een Samsung japp en daar zijn geen virussen voor.

Daarnaast als jij DNS server alleen voor intern gebruik heb en een Goede Router naar buiten (oke deze zijn *ux versies) dan is er niets aan de hand.

Je hoort je eigen DNS naar binnen te routen en niet naar buiten. daar heb je andere services voor.

Edit-
Veel grote bedrijven kiezen voor 1 systeem dit is goedkoper in onderhoud. Daarnaast is MS server beter geintergreed in een Windows omgeving dan een omgeving met alleen UNIX omgevingen.
Ja *UX versies hebben veel voordelen voor bepaalde doeleinden.

En ik doel op midden/klein bedrijf. deze gaan echt geen iters inhuren voor beheer van hun windows servers en dan ook nog eens aparte mensen voor *ux servers. deze houden alles bij windows. Op een CISCO switch/router na.
Daarnaast heeft *ux ook veel lekken alleen om dat deze machines niet main stream zijn blijven deze grotendeels buiten schot.
Kom op nou modders, waar blijft die +2 Grappig :+

* Jungian vind het niet zo fijn dat hij al klokkeluider altijd de klappen vangt. Achja karma en andersoortige puntjes, wat heb je er toch aan.
unix niet mainstream?

wtf!

Sun draaide tot 5 jaar terug alle TLD dns servers van de wereld op solaris.
*ux niet mainstream?
yeah right.
bijna 3/4 van alle servers zijn unix-based...

[edit]te laat..
Er is een iPod virus, maar dan moet er wel linux (podzilla ofzo) op draaien. Er waren wel een paar iPods op de markt gekomen met een virus dat windows pc's kon besmetten.
*double offtopic* iedereen die zegt dat ze een bedrijf niet serieus nemen omdat ze een MS - DNS server draaien - neem ik niet serieus! */double offtopic*

Bent wel een echte professional als je dat zegt, maak je het voor jezelf commercieel gezien wel heel erg moeilijk. Want je moet dan wel consistent blijven en ook zeggen dat je niet voor dergelijke bedrijven wil werken of werk voor wilt uitvoeren.

Is ook lekker, heb je een windows based bedrijf een of andere nerdo komt het bedrijf binnen zegt we moeten een *ux based dns server hebben. Zit je dus lekker met je windows based professionals. Fijn heel fijn die nerdo's!
Dat ze MS DNS willen gebruiken, prima. Maar dat ze dat niet op een bastion host in een DMZ doen waar alle RPC verkeer keihard wordt afgeblokt...geen excuus voor.
2000 heeft geen DOS kernel, 2000 heeft een NT kernel, dat is iets heel anders.

/edit:
Verkeerd gelezen...
Elk groot bedrijf dat een MS-DNS server gebruikt die van buitenaf toegankelijk is neem ik al niet serieus. Echte DNS servers draaien op *ux.
Om de een of andere reden vind ik dit altijd zulk zielig commentaar...
Dit las ik een week geleden al ergens op internet.
Tweakers.net word er niet sneller op sinds de overname door VNU.

Tja dit zal wel weer een -1 flame worden.
Dat ligt niet aan Tweakers maar aan de tijd die nodig was om meer over het lek te weten te komen.

7 April werd door SANS dit probleem al onderzocht.
Men wist toen nog niet zo goed hoe het in elkaar zit.
Later bleek dat er door uitbuiting van dit probleem op 4 April al een gelukte aanval gedaan is.
Op 12 April kwam Microsoft met een advisory, en op 15 april met een update waarin stond wat je het beste kon doen.
Tussen de eerste bekende exploit en de Microsodft-'omzeil'adviezen zit dus 11 dagen, en het wachten lijkt me op de patch. Als die tussentijds (ipv pleister-dinsdag) is volgt vast weer een mooi Tweakers artikel. Hopen dat de patient dan nog niet doodgebloed is;)
Dit las ik een week geleden al ergens op internet.
Tweakers.net word er niet sneller op sinds de overname door VNU.

Tja dit zal wel weer een -1 flame worden.
Heb je dan ook de moeite genomen om even de nieuws submitter te gebruiken? Als niemand nieuws submit is het ook moeilijk om tijdig wat nieuws te brengen. De CERT announcement is ook maar 2 dagen oud, alles wat daarvoor gezegt wordt kun je makkelijk als 'unconfirmed' beschouwen. De Melding van MS zelf is 3 dagen oud op dit moment... dus zo extreem traag is tweakers ook niet, zeker niet als je kijkt dat het op dit moment weekend is, en de tweakers crew zal ook vast wel een priveleven hebben.
kunnen de door rpc gebruikte poorten, 1024 tot en met 5000, worden geblokkeerd
Wat is dat nou weer voor workaround... Als je al je poorten gaat blokkeren kun je net zo goed je server uit zetten.
* kozue raad iedereen die van hackers af wil aan om poorten 1-65535 in z'n firewall volledig te blokkeren, garandeert geen hackers meer.
Ja, het is een workaround van Microsoft, dan kun je zulke wartaal verwachten. Volgende patchdag komt de patch die dit voor je doet :D

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True