Microsoft: recent lek in Jet-database al jaren bekend

Vorige week maakte Microsoft bekend dat er een lek bestond in de Jet-databasesoftware, waarmee een hacker toegang kon krijgen tot het systeem van de gebruiker. Volgens het bedrijf was de kwetsbaarheid in 2005 al ontdekt.

'Verboden voor Word-documenten' In het persbericht over het lek vertelt de softwaregigant dat aanvallers een methode hebben gevonden om via Word toegang te krijgen tot de bug in de databasesoftware. Door het opslaan van twee documenten op de harde schijf en vervolgens een daarvan te openen, kunnen scripts binnen de documenten uitgevoerd worden met dezelfde rechten als de ingelogde gebruiker.

Microsoft bagatelliseert het gevaar door te wijzen op de verschillende handelingen die de gebruiker moet uitvoeren voordat een aanvaller daadwerkelijk voet aan de grond kan krijgen. Daarbij benadrukt het bedrijf maar weer eens dat gebruikers alleen bestanden van betrouwbare bronnen mogen openen. Het lek is gerepareerd in de nieuwere versies van Jet, die met Windows Vista en Windows Server 2003 SP2 meegeleverd worden.

Toen het lek voor het eerst werd gemeld bij Microsoft, kregen de ontdekkers te horen dat de fout niet verholpen zou worden. Mike Reavey, topman bij het Microsoft Security Response Center, laat weten dat gebruikers volgens Microsoft voldoende waren beschermd: Outlook blokkeert het openen van mdb-bestanden en Internet Explorer laat een waarschuwing zien zodra een gebruiker op een link naar een databasebestand klikt. Het bedrijf had zich niet gerealiseerd dat het lek ook via Word geëxploiteerd kon worden, aldus Reavey.

Een onderzoeker bij Symantec, Oliver Friedrichs, is niet tevreden over deze uitleg. Het is volgens hem niet de eerste keer dat Microsoft voor deze passieve aanpak kiest. "Er waren twee kwetsbaarheden ontdekt, een in 2005 en een andere in 2007, en beide bleven onaangeroerd. Dit is verontrustend", aldus Friedrichs.

Reacties (28)

hexagram @Thrillseeka • 26 maart 2008 12:26

Zou jij niet willen dan dat elk lek in je OS gedicht wordt? Ik bedoel, fouten maken enzo is menselijk, en kennelijk vormen de 'bedreigingen' ook weer niet zo'n 'bedreiging', maar een lek vinden en er vervolgens niets aan doen is gewoon pure nalatigheid.

Dat een bedrijf als Symantec zich daar over uit vind ik alleen maar positief. Of ze nou winst maken aan het geleverde product of niet.

Blokker_1999

Netwerk en systeembeheer
Privacy

@Thrillseeka • 26 maart 2008 12:28

Gaten moeten simpelweg gedicht worden. Het kan niet dat een gat in de software gewoon blijft openstaan 'omdat de gebruiker toch enkele handelingen zelf moet uitvoeren'. Zoals nu is aangetoond kent een bepaald niet gedicht lek een nieuwe aanvalsmethode. Wat als deze nieuwe aanvalsmethode nu eens eenvoudiger was. Dan hadden we een situatie gekregen waarbij een lek dat al lang gedicht had kunnen zijn ineens een kritieke status krijgt.

Voorkomen is beter dan genezen.

[Reactie gewijzigd door Blokker_1999 op 25 juli 2024 19:29]

YaPP @Thrillseeka • 26 maart 2008 12:32

snap symantec niet echt dankzij windows hebben hun een pakket kunnen maken.
Als ze dan bugs niet snel oplossen klagen ze (...)

Dat is wel erg kort door de bocht.

Als een systeem alsnog door een bug van Microsoft besmet wordt is dat natuurlijk geen goede reclame voor je virusscanner. Als je virusscanner ook nog op Microsoft bugs moet gaan controleren vraagt dit meer van je systeem en is dat ook geen goede reclame.

Dat je als bedrijf hard maakt voor een veiliger Windows is wel goede reclame.

[Reactie gewijzigd door YaPP op 25 juli 2024 19:29]

Sgreehder @Thrillseeka • 26 maart 2008 12:32

Dat weet ik niet precies, maar ik zou wel willen dat jij eens een beetje op je spelling let. Dit ziet er echt niet uit.

Een softwarebedrijf dient fouten in hun producten te repareren, zeker als deze bekend zijn. Het hoeft niet binnen een dag, maar wel zo snel mogelijk. Symantec mag hier terecht wat kritiek uiten, zeker omdat dit foutje een paar jaar is blijven staan.

Bovendien verdient Symantec niet dankzij Windows, maar dankzij een fenomeen inherent aan elke software.

jealma @Sgreehder • 26 maart 2008 12:56

Over welk fenomeen dat inherent is aan elk stukje software praat je? Mijn systeem heeft absoluut geen last van virussen en spyware (Linux). Symantect verdient niet aan een fenomeen waar elk stukje software last van heeft, maar Symantec verdient aan een OS dat slecht ontworpen en gecodeerd is, en tevens ook nog eens wordt geleverd door een bedrijf dat monopolistisch, nalatig en allesverziekend is.

Witchhammer @jealma • 26 maart 2008 13:00

Het fenomeen zijn bugs in de code een 'logisch' gevolg daarop zijn virussen en spyware. En ook Linux heeft last van bugs en security problemen.

jealma @Witchhammer • 26 maart 2008 13:07

Ja klopt, ook in een Linux systeem heb je last van bugs (daarom is er bij veel distro's een package manager waarmee je makkelijk en snel updates kunt installeren), maar virussen en spyware voor Linux heb ik nog nooit gezien. Je kunt uiteraard beargumenteren dat Linux systemen slechts een klein aandeel hebben van het totaal, maar dan nog. Windows is door design flaws vatbaar voor allerlei kwalen, waaronder virussen en spyware. Bij Linux is het domweg niet mogelijk om een virus te schrijven dat je systeem plat legt en dat ook nog eens distribueerbaar is. Dit heeft gedeeltelijk temaken met de rechten die een gebruiker heeft (en een potentieel virus dus ook, aangezien dat virus die gebruikersrechten dan "erft"). Een "virus" zou hooguit zo ver kunnen gaan om bestanden in je homedir te verwijderen of aan te passen, meer niet.

BonzO @jealma • 26 maart 2008 13:43

@jealma:
Linux is in principe net zo vatbaar als windows (vista, vooral) voor spyware (en virussen, alhoewel je die niet veel meer ziet). Wat er in windows te vaak gebeurt is dat de GEBRUIKER toegang geeft aan de spyware om zich te installeren, heel bekende voorbeelden zijn daemon tools / msn plus. Voor linux kan er ook gewoon een popup worden getoont waarin wordt vermeld dat het programma root rechten nodig heeft. Het probleem is dat de gemiddelde gebruikers die linux als werkstation hebben hierop letten en de gemiddelde windows gebruikers niet.

latka @BonzO • 26 maart 2008 13:56

Een belangrijk verschil tussen linux en windows is dan wel dat er niet 1 linux is: ik gebruik mutt om mail te lezen, mijn vrouw gebruikt opera en mijn ouders gebruiken iceweasel. Het valt dan ook niet mee om spyware te maken die altijd werkt. Het loont dus ook veel minder.
Wat dat betreft is het ook vergelijkbaar met echte ziektes waarvoor niet iedereen vatbaar is omdat iedereen, gelukkig, net iets anders in elkaar zit. Dit gaat niet op voor Windows waar iedereen outlook en internet explorer gebruikt..

kidde @BonzO • 27 maart 2008 00:55

Linux is in principe net zo vatbaar als windows voor spyware en virussen

Dat is te kort door de bocht. Veel bugs, zoals deze, maken gebruik van buffer overflows / overruns. De Linux-kernel is daartegen te beveiligen met o.a. PaX, al staat dat standaard niet aan, en door ProPolice en StackGuard te gebruiken tijdens het compileren van software. Address space layout randomization is ook een extra barriere voor buffer overflow exploits. De genoemde maatregelen zijn in Linux vrij eenvoudig te nemen; het probleem is dat niet alle applicaties ermee overweg kunnen. Daarom staat het meestal standaard ook niet aan. Kortom, de 'Linux' die de meesten kennen die zich er niet in verdiept hebben is de 'onbeveiligde standaard' variant. Vooralsnog voldoet die prima omdat Linux gebruikers niet veel problemen hebben van buffer-overrun exploits a.k.a. virussen en malware. Zouden Linux gebruikers hier last van krijgen, dan zouden ze distributeurs vragen de Linux kernel wel te beveiligen, en de distrubuteurs zouden dan van de andere softwaremakers eisen dat hun software met de nieuwe veiligheidsmaatregelen overweg kan. Vooralsnod is dit echter allemaal geen issue.

Windows heeft ook een systeem voor het tegengaan van buffer-overrun exploits, maar vanwege het ontbreken van address space layout randomization is dat systeem te omzeilen en dus vrij nutteloos. Vista heeft echter wel deze randomization, en is dus al veel beter beveiligd. Zoals ik beweerde: Dusdanige veiligheidsmaatregelen worden in Linux waarschijnlijk en Windows zeker weten pas getroffen zodra er mal/spyware is, en helaas niet ervoor in preventieve zin. Voor preventieve beveiliging zal je toch bij OpenBSD moeten zijn; maar dat is niet zo'n geweldig desktop-OS helaas.

Sgreehder @jealma • 26 maart 2008 13:33

Wat mij betreft bash je graag af wat je niet bevalt. Elk bedrijf is monopolistisch en potentieel nalatig (indien de kosten een mogelijk voordeel overtreffen, zoals in dit artikel voor Microsoft duidelijk het geval was).

En het gaat mij niet om virussen en spyware, maar des te meer om logische programmeerfouten, waardoor lekken en andere onvoorziene effecten ontstaan. En daar is geen enkel stukje software veilig voor:

http://secunia.com/advisories/29522/
http://www.internetnews.com/dev-news/article.php/3601946
http://www.securiteam.com/exploits/6R00E00EKU.html

Tuurlijk, je bent geen gemakkelijk doel en virusmakers hebben het erg makkelijk met Windows, maar denk vooral niet dat je veilig bent.

kidde @Sgreehder • 27 maart 2008 00:59

En daar is geen enkel stukje software veilig voor:

Een hardnekkig misverstand; om 'uitbuitbare programmeerfouten' te voorkomen bestaat 'mathematisch formeel verifieerbar' programmeren; bijv. EAL niveau 7. Of dacht je dat men kernraketten graag bestuurde met software waarvan men niet weet of en welke fouten het bevat?

Het CoyotOS project is bedoeld om tot het eerste formeel verifieerbare OS te komen.

Het kan dus wel, en het is best jammer dat Microsoft - ondanks de vele onderzoeken die ze doen - voor zover ik weet hier nooit enthousiast mee aan de slag is geweest; want als er een bedrijf is dat hier de capaciteiten voor heeft lijkt het me Microsoft.

[Reactie gewijzigd door kidde op 25 juli 2024 19:29]

Madrox 26 maart 2008 12:23

Een *.mdb bestand is geen virus, dat Symantec klaagt dat Ms zijn bugs niet repareert is dan ook terecht. AV software moet je beschermen tegen virussen en trojans, bugs in het OS zijn voor rekening van Microsoft. Symantec is er toch niet om de bugs van Ms te fixen

Outlook blokkert het bestand, zeggen ze. Dat gebeurt alleen als je die beveilings optie AAN hebt staan, staat die uit ben je kwetsbaar.

[Reactie gewijzigd door Madrox op 25 juli 2024 19:29]

user109731 @Madrox • 26 maart 2008 12:32

Outlook blokkert het bestand, zeggen ze. Dat gebeurt alleen als je die beveilings optie AAN hebt staan, staat die uit ben je kwetsbaar.

Ik snap sowieso niet wat Outlook en IE hiermee te maken hebben. Het gaat hier om een lek in de database engine, dan maakt het toch niets uit hoe je aan het bestand komt? Er bestaan ook andere browsers, mail-clients en er zijn andere manieren om bestanden te verspreiden.

polthemol Moderator General Chat @Madrox • 26 maart 2008 12:36

maar als ik die beveiliging uitzet kies ik er toch voor dat ik het zelf wel oplos allemaal ?

En symantec moet meer doen dan alleen naar een extensie kijken van een file, het moet ook kijken of die file naughty dingen wil gaan doen op mijn systeem

En no shit dat ik kwetsbaar ben als ik de beveiligingsopties UIT zet

user109731 @polthemol • 26 maart 2008 12:49

En no shit dat ik kwetsbaar ben als ik de beveiligingsopties UIT zet

Als ik het artikel goed begrijp ben je nu ook kwetsbaar met die beveiliginsopties AAN. De waarschuwing kreeg je bij .mdb bestanden, maar nu kan het ook via twee Word-bestanden, daar krijg je geen waarschuwing.

Een .exe/.com/.bat kan gevaarlijk zijn om te openen, maar een malafide mdb/doc-bestand mag nooit zomaar scripts kunnen draaien tegen alle instellingen in. Dat is gewoon een exploit, wie weet wat voor fraaie proof-of-concept hacks nog meer bekend zijn maar als onbelangrijk worden gezien? Het kan niet zo zijn dat Symantec alle bestanden moet scannen om te zien of het geen lekken in MS-software triggert

[Reactie gewijzigd door user109731 op 25 juli 2024 19:29]

jmzeeman 26 maart 2008 12:58

In dit geval kan ik MS wel volgen. Toen het voor het eerst ontdekt werdt ging het alleen om mdb bestanden. Deze bestanden moet je uberhaubt niet downloaden als je niet weet waar ze vandaan komen. Je moet dit gewoon zien als een executable die gewoon alles mag (en windows behandelt dit ook zo, met alle messageboxjes die je bij een exe ook ziet). Als je een executable download ga je toch ook niet bij MS zeuren dat die je systeem overneemt, dat is gewoon je eigen verantwoordelijkheid.
Het werdt een iets groter probleem toen er werdt ontdekt dat de mdb ook via word kan worden geopend. Maar alsnog moet je dus eerst een malafide word bestand en een malafide mdb los van elkaar gaan downloaden en daarna het word bestand openen.
Als commercieel bedrijf moet je af en toe gewoon ook een kosten baten analyse maken en beslissen dat iets de kosten niet meer waard is. En volgens mij is de drijging hier zo miniem dat ze beter aan een ander lek kunnen gaan werken. Daarnaast is het in de nieuwe MS OSen gewoon gemaakt dus als je bang bent moet je maar gewoon upgraden.

@JanDM:
Een mdb file is geen simpele database het is een hele database applicatie.
Het is een verzameling van scripts, fomulieren, tabellen, queries en rapporten en dus inherent onveilig. Het is zelfs goed mogelijk dat er helemaal geen database in zit maar alleen de fomulieren om bijvoorbeeld een sql server database mee aan te spreken.

@superDre:
De meeste executables kan je ook niet zonder extra software openen. Je hebt bijna altijd een C++ runtime of een .NET framework achtig iets nodig.

[Reactie gewijzigd door jmzeeman op 25 juli 2024 19:29]

user109731 @jmzeeman • 26 maart 2008 13:52

Deze bestanden moet je uberhaubt niet downloaden als je niet weet waarze vandaan komen. Je moet dit gewoon zien als een executable die gewoon alles mag

Met zulk nieuws moet je wel ja, maar laten we wel wezen, het gaat hier om een simpele database, een document. Scripts zijn misschien een feature van dit formaat, maar als het zonder toestemming gebeurt is dit geen feature maar een gevaarlijke exploit.

Als commercieel bedrijf moet je af en toe gewoon ook een kosten baten analyse maken en beslissen dat iets de kosten niet meer waard is.

Ik dacht dat security tegenwoordig topprioriteit was binnen MS? Het is een fout van hen en zij moeten het maar oplossen. Ik vind het een onacceptabel en eng idee om gebruikers met lekke software te laten werken omdat het fixen teveel geld kost...

En volgens mij is de drijging hier zo miniem dat ze beter aan een ander lek kunnen gaan werken.

Alle lekken moeten gedicht worden. Zoals Blokker_1999 hierboven zegt, een op het eerste gezicht 'ongevaarlijk lek' kan later opeens wel gevaarlijk blijken. Dit is een mooi voorbeeld.

[Reactie gewijzigd door user109731 op 25 juli 2024 19:29]

Pietervs @jmzeeman • 26 maart 2008 13:46

Ik kan MS helaas ook nog steeds volgen: het is namelijk het vaste patroon:

1. ontkennen dat het probleem bestaat (Uit het artikel: Toen het lek voor het eerst werd gemeld bij Microsoft, kregen de ontdekkers te horen dat de fout niet verholpen zou worden.)
2. bagatelliseren (Uit het artikel: Microsoft bagatelliseert het gevaar...)
3. kijken of je een ander de schuld kan geven (die "stoute" hackers toch...

)
4. Het is geen bug, maar een feature

5. toch maar een patch uitbrengen.

Punt 5 zal waarschijnlijk in mei wel volgen...

SuperDre @jmzeeman • 26 maart 2008 16:08

Uhm.. een mdb file op zich doet helemaal niets en is niet te vergelijken met een exe bestand, voor een exe bestand heb je geen extra software nodig om die te kunnen starten, voor een mdb bestand heb je dat wel degelijk, zonder 'Access' kun je zo'n bestand niet openen..

!null 26 maart 2008 13:45

Het klinkt wel ontzettend knullig allemaal, als je dit nieuwsbericht leest. "We wisten niet dat het ook via Word geëxploiteerd kon worden" Ja vast, het gaat waarschijnlijk over VBA achtige dingen, welke in ieder MS Office document kunnen zitten.
En dat Outlook *.mdb bestanden blokkeert, dat is echt te belachelijk voor worden. Dat laat zien dat MS zichzelf eigenlijk niet helemaal vertrouwd. Je zou gewoon een document moeten kunnen openen zonder enig risico, maar dat is blijkbaar niet mogelijk.
Ik snap dat je met VBA heel veel kan, maar dan nog blijft het idioot.

[Reactie gewijzigd door !null op 25 juli 2024 19:29]

mariusdustbin 26 maart 2008 16:57

Als je een veelvoud van fouten en bugs moet oplossen had ik deze waarschijnlijk ook als low priority gemarkeerd, desondanks, na 3 jaar na dato zou je de oorzaak toch moeten weten te achterhalen of te bugfixen.

Voor een bedrijf dat security tegenwoordig hoog in het vaandel heeft staan moet het nogal pijnlijk dat een low priority zo (sry, net als een echt lijk) boven water komt drijven..

TeeDee @ottovds • 26 maart 2008 13:40

Windows zelf is virus / malware vrij hoor. Het heeft alleen her en der wat gaten zodat een virus of malware erop kan komen. (Al dan niet door toedoen van de gebruiker > PEBCAK)

De vraag mbt de crashende mac is: in het geval van een clean OSX install kan je er voor opteren om Norton de schuld te geven. Anders zou ik ook gewoon eens naar de andere tools / programma's etc. Misschien zorgen deze ervoor dat Norton onderuit gaat. (Wat overigens ook niet goed is natuurlijk).

Microsoft 'is inderdaad' op geld uit. Zoals elk internationaal bedrijf. Er zijn inderdaad wel wat dubieuze zaken, maar voor zover ik kan zien is relativeren best moeilijk.

SuperDre @ottovds • 26 maart 2008 16:06

Tja, jij bent blijkbaar zo naive.. Ook Linux en Mac OSX kampen met virussen/malware/trojans.. Elk OS dat zoveel gebruikt wordt als windows kampt met dit soort problemen, en als jij gaat beweren dat dit niet zo is dan ben je echt erg naive..

hackerhater @SuperDre • 27 maart 2008 13:37

virussen op Linux?
Waar dan?

Trojans wel ja : There is no cure against human stupidity

MneoreJ @ottovds • 26 maart 2008 16:41

Een bedrijf als symantec had gewoon niet mogen bestaan. MS had zijn Windoos maar virus en malware vrij moeten maken.

Dat is theoretisch domweg onmogelijk, tenzij Microsoft volledig bepaalt welke code jij wel en niet mag draaien op je machine, en dat zou bij de meeste gebruikers toch minder goed overgekomen zijn. Laat anders alsjeblieft je plannen horen voor "InvulnerableOS", het eerste OS zonder bugs dat detecteert wanneer software doet wat de gebruiker verwacht dat het doet.

En kom nou alsjeblieft niet aan met "ja maar mijn Linux-distro heeft geen virussen/malware" -- dat is niet omdat Linux er onkwetsbaar voor is, maar omdat het moeilijker en minder lonend is. Beeld je vooral niet in dat Linux een of ander magisch schild heeft tegen kwaadwillende software.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (28)

Sorteer op:

Weergave: