Tussentijds gepatcht Windows-lek wordt al misbruikt

De patch die Microsoft donderdagavond publiceerde, dicht een lek in de Server Service dat in theorie misbruikt kan worden voor worm-aanvallen. De eerste aanvallen die de kwetsbaarheid uitbuiten, hebben al plaatsgevonden.

Aanvallers kunnen door middel van een speciaal vervaardigde rpc een kwetsbaar systeem overnemen. Een ingeschakelde firewall kan een aanval echter afslaan, schrijft Microsoft in zijn Security Bulletin MS08-067, en ook systemen waarbij bestandsdeling is uitgeschakeld, zijn niet vatbaar.

windows pleister Voor Microsoft Windows 2000, Windows XP en Windows Server 2003 bestempelt de fabrikant het lek desalniettemin als 'kritiek'. Voor Windows Vista en Windows Server 2008 is de kwetsbaarheid 'belangrijk', evenals voor de pre-bèta van Windows 7. Een succesvolle aanval is bij deze besturingssystemen minder waarschijnlijk, aangezien een gebruiker van deze versies geauthenticeerd moet zijn om toegang te hebben tot het lek.

Microsoft besloot de patch uit te brengen nadat het bedrijf twee weken geleden ontdekte dat er op kleine schaal misbruik van het lek werd gemaakt. Het ging daarbij om de trojaanse paarden Win32/Gimmiv.A en Win32/Gimmiv.A.dll. Deze malware verwijdert zichzelf na uitvoering, zonder sporen na te laten. Toen de patch werd uitgebracht was er volgens Microsoft nog geen malware die zichzelf reproduceert.

Binnen twee uur na het verschijnen van de details over het lek verscheen de eerste proof-of-concept voor een nieuwe exploit, geschreven door de makers van de beveiligingstool Immunity. "Het is erg goed te misbruiken", zegt Bas Alberts, beveiligingsonderzoeker van Immunity. De kans is klein dat er wormen verschijnen die zich specifiek op het lek richten, verwacht Symantec-onderzoeker Ben Greenbaum, omdat systemen met een ingeschakelde firewall niet vatbaar zijn. Wel denkt hij dat er wormen zullen verschijnen die misbruik van het lek zullen combineren met andere aanvallen. Symantec ziet sinds donderdag het scannen op tcp-poorten 139 en 445 toenemen. De exploits van het lek zouden van deze poorten gebruikmaken.

Reacties (40)

afterburn 24 oktober 2008 14:22

Het risico van dit soort lekken wordt nogal eens overdreven. Aangezien feitelijk iedereen met DSL achter een NAT router zit, is het aantal exploits wat je van buiten kunt initieren nogal beperkt. Dat, en het feit dat de meeste DSL modems tegenwoordig ook nog de firewall op router hebben die ook nog eens standaard aanstaat, maakt het vrijwel onmogelijk om zonder user interactie van buiten bij een PC te komen.

Dit geld voor vrijwel heel Europa waar de DSL en breedband penetratie extreem hoog ligt.

Vroeger, en in de VS nog steeds veel, toen men via dial-up verbindingen op internet ging surfen, was het een heel ander verhaal. Toen hing de PC rechtstreeks aan internet en heel veel mensen hadden geen firewall op hun PC staan. Met name in de VS is het risico veel hoger, omdat daar de breedband penetratie relatief laag is, en mensen hun PC door het ontbreken van (lokale) gesprekskosten gewoon met een dial-up verbinding soms dagen online laten staan. Niet zo'n goed idee.

incinerator82 @afterburn • 24 oktober 2008 14:32

Niet correct (in mijn ogen):

Wat denk je van al die kabel modems op usb, of in bellen.(ik meen PPPoA).
Dat is rechtstreeks.... De firewall van Windhoos is ook niet echt de sterktste.

Ik vind daarin tegen het opblazen van dit lek idd wel extreem.
Na SP2 (XP omgeving) staat sowieso standaard de Bestands en Printerdeling UIT, tevens op Vista ook al standaard uit geschakeld.
Hierdoor is het SMB protocol in de hand gehouden, en staan de betreffende poortjes gewoon dicht.
En als je beetje slim bent zet je je NeTBios uit over TCP/IP, dat gebleer over je lijnen is ook niet fijn.

[Reactie gewijzigd door incinerator82 op 22 juli 2024 23:13]

FragNeck 24 oktober 2008 11:12

TCP Port 139 is toch NETBIOS? Die wordt over het algemeen toch nog met regelmaat gebruikt bij oudere computers, of wanneer er oudere computers in een netwerk zitten.
Volgens mij heb je deze poort zelfs nodig om met een Windows 95 /98 / NT te communiceren? Of zit ik nu fout?

wildhagen

Malware
Beveiliging
Microsoft Windows

@FragNeck • 24 oktober 2008 11:15

TCP ports 135-139 zijn idd de diverse NetBIOS-poorten, deze worden gebruikt binnen Windows voor file- en printsharing inderdaad.

Vanaf Windows 2000 en hogere versies is daar ook poort 445 nog bijgekomen (SMB over TCP/IP).

R3dJ3 @FragNeck • 24 oktober 2008 11:15

TCP port 445 which is used for SMB over TCP
ook een bekende dus.

linkje over combi tussen die poorten:
http://www.petri.co.il/wh...rt_445_in_w2k_xp_2003.htm

[Reactie gewijzigd door R3dJ3 op 22 juli 2024 23:13]

Marlibica @FragNeck • 24 oktober 2008 11:16

Op zich heb je gelijk, maar eigenlijk vind ik ook dat als je deze poort open hebt op het internet, je sowieso iets erg verkeerd doet.

yade @Marlibica • 24 oktober 2008 11:21

Dan nog is het gevaarlijk. Als iemand op het werk een worm download van een of andere louche site dan kan een heel netwerk besmet worden.

wildhagen

Malware
Beveiliging
Microsoft Windows

@yade • 24 oktober 2008 11:24

Dat klopt natuurlijk, maar ik denk dat de meeste bedrijven er wel voor zorgen dat er een virusscanner op de lokale clients draait die uptodate is, en ook ervoor zorgen dat executables niet gedownload kunnen worden door gewone gebruikers.

En ik mag toch hopen dat op de clients in de meeste bedrijven file- en printersharing standaard uitgeschakeld is, tenzij het écht nodig is voor een specifieke gebruiker.

LuckY @wildhagen • 24 oktober 2008 11:27

Niet altijd ; Users willen ook vaak direct toegang kunnen hebben zonder dat het op een fileserver terecht komt.
En volgens mij heeft elke ISP toch standaard 139 een 445 dicht?
En filesharing op je fileserver uitzetten

wildhagen

Malware
Beveiliging
Microsoft Windows

@LuckY • 24 oktober 2008 11:30

Users willen ook vaak direct toegang kunnen hebben zonder dat het op een fileserver terecht komt.

No offence, maar dat is een bad practice, wat absoluut niet aangemoedigd zou moeten worden, en zelfs ontmoedigd (al is het maar omdat je totaal geen overzicht meer hebt, en het over het algemeen niet gebackupped word). Als men het toch wil kan men een speciale partitie op de lokale PC gebruiken, maar om gebruikers via filesharing op een andere client te laten komen is nou niet erg handig.

En filesharing op je fileserver uitzetten

Ik had het over clients, niet over servers...

LuckY @wildhagen • 24 oktober 2008 11:45

Ok , Maar dan moet je dus ook je Administrative partitie (c$/d$) ontmoedigen ...
Neemt dat niet een extra beheers functionaliteit weg?

cyspoz @LuckY • 24 oktober 2008 12:46

Dan werken een aantal applicaties en netwerk diensten niet meer, dus dat is niet echt een optie. Het grote gevaar van dit probleem is niet zozeer dat het zomaar misbruikt kan worden op afstand want meeste PC's zitten via router of hebben een firewall die deze poorten voor internet dicht zetten.
Maar als je nu een nieuw/curstom virus scrijft voor een bedrijfsnetwerk dat dus niet wordt herkent door de virus scanners en je kan dat binnen loodsen via een achterdeur of een menselijke fout (e-mail) dan kan het zich vrolijk bespreiden naar alle machines in het netwerk. Zo kun je bij grote bedrijven natuurlijk grote schade aanrichten.

Laurens-R @LuckY • 24 oktober 2008 13:21

dat kan je via diverse remote admin tools opvangen.

Munters @wildhagen • 24 oktober 2008 11:33

Uiteraard hebben bedrijven antivirussoftware, maar helaas is die niet waterdicht.
Zelf gebruiken we McAfee, en virussen vangen gaat goed (maar komen bijna niet meer voor). Maar als je ziet hoeveel backdoors en wormen niet gevonden worden door dit pakket schrik je wel.

En uiteraard kunnen gebruikers geen exes installeren. Maar dat helpt echt niet tegen al die veiligheidsgaten. De wormen, backdoors en trojans maken juist gebruik van de zero-days exploits om de normale beperkingen te omzeilen.

Verwijderd @wildhagen • 24 oktober 2008 11:38

Dat klopt natuurlijk, maar ik denk dat de meeste bedrijven er wel voor zorgen dat er een virusscanner op de lokale clients draait die uptodate is, en ook ervoor zorgen dat executables niet gedownload kunnen worden door gewone gebruikers.

Als je eens zou weten hoe vaak dat niet gebeurt.

_JGC_ @Verwijderd • 24 oktober 2008 14:53

En als je eens zou weten hoe vaak die niet geupdate worden, of hoe vaak de fabrikant van de software veel te laat is met het herkennen van een virus.

InsanelyHack @yade • 24 oktober 2008 11:27

Op het werk transparant internet dmv NAT is sowiezo not done.
Op het werk poort 139 of 445 direct doornatten naar werkplek is iets wat je dan specifiek moet instellen.

Franckey @Marlibica • 24 oktober 2008 11:37

De huis-tuin-en-keuken gebruiker met een ADSL router heeft toch sowieso geen probleem? Daar werkt de ADSL router als firewall. Pas als je een poort specifiek door routeert kan het een probleem geven, maar als je dat doet dan weet je ook waar je mee bezig bent lijkt mij.

Verwijderd @Franckey • 24 oktober 2008 13:12

Dus niet altijd het geval, bijv. bij het Copperjet 1616P2 modem/router van Alice staat de firewall standaard niet aan, zie ook dit bericht (2e quote).

backupdevice 24 oktober 2008 11:30

Lekker als je Hyper-v draait, niet alleen je guest OS kwetsbaar, maar ook je hosts...

Firefox @backupdevice • 24 oktober 2008 13:22

Tenzij je alleen linux childs/guests draait... True. Maar dat is van elk systeem een risico. Biedt dat meerwaarde in de discussie over deze patch?

een Hyper-V Parent/Host is een windows systeem, ja, en kan voor dezelfde gebreken vatbaar zijn, klopt ook. Mazzeltje is dat het dus ook met het zelfde patch systeem is te controleren (WSUS/MU/WU), en je je risico's van implementatie kunt beperken (eerst niet-Hyper-V systemen uitrollen, dan enkele minder belangrijke Hyper-V dozen, en tot slot je kritische systemen. Mits dat proces goed geborgd is, kun je dat prima controleren.

Zover ik weet heeft VMWare geen patch management systeem, wel? Daar zitten OOK security lekken in hoor, don't worry, en daar wordt een stuk minder preventief onderhoud op gedaan schat ik zo.

Ik zal niet zeggen dat Hyper-V da bomb is, maar om HyperV af te blaffen omdat er in Windows een lekje is gevonden is compleet irrelevant en alleen maar om stennis te schoppen over iets wat geen punt is (ik kan genoeg mitigating factors bedenken waardoor je het rustig aan kan doen met de uitrol van patches naar Hyper-V bakken)

wildhagen

Malware
Beveiliging
Microsoft Windows

@Firefox • 25 oktober 2008 11:16

Zover ik weet heeft VMWare geen patch management systeem, wel?

Zeker weten dat VMware die wel heeft, in ieder geval in versie 3.5 met de laatste updatepack.

Daar heb je de VMware Update Manager, die niet alleen de ESX-host(s) zelf uptodate kan houden, maar ook de virtuele Windows-hosts die erop draaien.

Laurens-R @backupdevice • 24 oktober 2008 13:22

Tja, 100% veilig is het nooit en je kan nog alles zoveel mogelijk isoleren en sandboxen.

user109731 24 oktober 2008 11:29

Hier is meer technische informatie te vinden...

stephenophof 24 oktober 2008 13:22

Vind het wel vreemd dat Microsoft nog een patch uitbrengt voor Windows 2000, terwijl de officiële ondersteuning al jaren geleden gestopt is.

Als ik Microsoft was zou ik helemaal geen updates meer voor W2k uitbrengen, 't wordt toch wel eens tijd om over te stappen.

[Reactie gewijzigd door stephenophof op 22 juli 2024 23:13]

wildhagen

Malware
Beveiliging
Microsoft Windows

@stephenophof • 24 oktober 2008 13:25

Vind het wel vreemd dat Microsoft nog een patch uitbrengt voor Windows 2000, terwijl de officiële ondersteuning al jaren geleden gestopt is.

Windows 2000 word nog wel gesupport hoor, tot 13 juli 2010, dan stopt het echt. Zie deze pagina van Microsoft Lifecycle-page.

Fermion 24 oktober 2008 12:17

Na de installatie herkende hij mijn video drivers niet meer, ATI 8.10.

Verwijderd 24 oktober 2008 14:21

Vreemd, ik heb de patch geinstalleerd en m'n computer is ineens veel sneller geworden (PIII 733 dus dat merk je gelijk), ik had al een tijdje het vermoeden dat er iets niet goed zat daarom had ik er een aantal virusscanners doorheen laten lopen maar die vonden niets.

Verwijderd 24 oktober 2008 14:22

Heb je Bestand en Printing uit staan, is er niets aan de hand. Dat is namelijk het acces point waar dit over binnen komt. (poort 137,138,445 sowieso)

en dat is vanaf wXP SP2 automatisch uitgeschakeld, of je moet er mee hebben lopen rommelen (zelfde verhaal bij Vista)

Netbios uitschakelen over TCP/IP kan ook handig zijn

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:13]

pm1 24 oktober 2008 16:23

ze spreken hier over een firewall maar kan een windows firewall en/of een firewall in de router deze aanval ook afslaan ?

LuckY @pm1 • 24 oktober 2008 16:38

Zolang de poorten niet openstaan wel.
als je terug leest gaat het vooral over port 138,139 en 445.
Maar je kan nog wel besmet raken door een bepaalde link aan te klikken of een niet zuivere website.

Dan ben je wel besmet maar dan kunnen ze je nog niet direct overnemen.
maar wel andere computers in je netwerk besmetten als die niet gepatched zijn.

Verwijderd 26 oktober 2008 10:11

Meeste mensen in NL hebben ADSL of kabelmodem. Dan hangt je PC dus niet aam het iternet. Inkomend verkeer wordt standaard op alle poorten geblokkeerd. Mits je NAT instellingen configureerd. Als je poort 139 of 445 in je NAT opneemt ben je sowiezo niet goed in je hoofd.

Mensen die inbellen zijn wel vatbaar! Die krijgen een public IP op de modem. En deze hangt wel direct aan het internet. Als je dan geen firewall aan hebt staan met de juiste rules dan ben je kwetsbaar.

In US wordt nog erg veel ingebeld en ook zo in de landen waar de bekaneling slecht is.(heel afrika en midden oosten bijvoorbeeld en grote delen van Amerika.)

Kortom, in NL zal deze eploit vooral gevaarlijk zijn voor mensen die nog steeds inbellen of een directe IP aan het internet hebben, zonder ADSL router OID.

Op dit item kan niet meer gereageerd worden.

Tussentijds gepatcht Windows-lek wordt al misbruikt

Lees meer

Reacties (40)

Sorteer op:

Weergave: