Foutieve McAfee-update gevolg van gebrekkige testprocedure

Volgens McAfee is de foutieve virusupdate van woensdag, die veel problemen heeft veroorzaakt, het gevolg van een 'wijziging' in het testprotocol. Een uitgelekt document wijst erop dat de update niet op Windows XP met SP3 is getest.

Afgelopen woensdag werd bekend dat McAfee een foutieve virusupdate heeft verspreid. Deze had tot gevolg dat het Windows-systeembestand svchost.exe als virus werd aangemerkt. De 'false positive' zorgde voor veel problemen; getroffen computers kregen BSOD's of bleven eindeloos herstarten. Vooral veel bedrijven zouden hinder hebben ondervonden.

In een blogposting biedt het antivirusbedrijf zijn excuses aan. Ook legt het bedrijf uit hoe de foutieve virusupdate zou zijn verspreid. Door een 'wijziging' in de testprocedure zou de update door de kwaliteitsbewaking zijn gekomen. McAfee licht niet toe wat deze wijziging inhoudt, maar volgens ZDNet, dat zich op een uitgelekt document baseert, was de test simpelweg niet compleet. Zo zou de update niet zijn getest voor systemen met Windows XP, Service Pack 3 en versie 8.7 van McAfee's zakelijke virusscanner.

Dit strookt met een faq op de site van McAfee, die meldt dat alleen systemen met Windows XP SP3 en bepaalde versies van het systeembestand last van het probleem hadden. McAfee heeft aangegeven de testprotocollen te verbeteren en een whitelist met essentiële systeembestanden op te zetten om false positives in de toekomst te voorkomen. Gebruikers met problemen kunnen al sinds woensdag voor een oplossing terecht op de site van McAfee.

IT-banen

Reacties (107)

Verwijderd 23 april 2010 15:40

Whitelisten van deze bestanden is niet handig omdat dat juist er voor zorgt dat deze bestanden bijzonder interessant worden om te infecteren.

musiman

@Verwijderd • 23 april 2010 15:46

Is het niet zo, dat de whitelists ook de hashes van bestanden bevatten, zodat een gewijzigd windowsbestand er zo uitgehaald kan worden? ...

Magic @musiman • 23 april 2010 15:55

Technisch gezien is het mogelijk om een 2e bestand te maken dat dezelfde hash krijgt als het eerste bestand. Dit is afhankelijk van de gebruikte hashmethode wel vrij lastig, maar zeker niet ondenkbaar.

compufreak88 @Magic • 23 april 2010 16:02

Maar om een bestand te produceren dat dezelfde hash heeft, uitvoerbaar is, en ook nog eens doet wat jij wil, is (bijna) onmogelijk.

Foxl @compufreak88 • 23 april 2010 16:10

Je kunt bij executables naar mijn weten gewoon extra data achter het bestand aanplakken. Misschien ingewikkeld en tijdrovend, maar als je virus/ trojan daardoor ongezien blijft, zeker de moeite waard lijkt me.

Enfer @Foxl • 23 april 2010 17:09

Misschien weet je niet precies wat een hash is, maar als er gebruikt wordt van hashes om bestanden te identificeren op basis van hun authenticiteit, is dit niet mogelijk.

Een hash van een bestand is een korte string die door een algoritme gemaakt is, gebaseerd op de inhoud van het bestand. Deze hash is onomkeerbaar (als jij een hash hebt kun je nooit terug naar het bestand), en nagenoeg uniek voor elk bestand. Er bestaan wel dezelfde hashes voor verschillende inputstrings (botsingen), maar deze zijn te verwaarlozen.

Als bestand 1 hash 5ter80f8349pdfj90hdf heeft, en jij zet er *HAX CODE VIRUS* achter, zal het bestand een andere hash waarde krijgen. Vervolgens weer MCAffee dat er met het bestand gerotzooid is, en dat het niet meer te vertrouwens is

Hopelijk begrijp je het nu (beter)

Sir_Eleet @Enfer • 23 april 2010 17:19

Hij bedoeld dat wanneer je bepaalde data achterin het virusbestand toevoegt de hash hetzelfde kan zijn. Met een goed hash algoritme kan een bestand met een willekeurige inhoud met toevoegingen elke mogelijke hash genereren. Let wel: het is technisch mogelijk maar praktisch ondoenbaar natuurlijk.

MaSk3d @Sir_Eleet • 23 april 2010 17:28

Extra data er achteraan plakken kan toch wel met een checksum?

Hash werkt idd via algoritme, dat word al een stuk lastiger..

brama @Sir_Eleet • 23 april 2010 17:30

Als er niet gekeken wordt naar de grootte van het bestand, maar puur naar de hash, dan is het bij bijv. md5 niet zo moeilijk om een bestand te maken dat precies dezelfde hash heeft.

De fix daarop is dan ook om de grootte van het bestand ook te controlen.

psyBSD @brama • 23 april 2010 20:32

Of je houdt zowel een MD5, als een SHA1 checksum van de bestanden bij.

De kans dat beide checksums op dezelfde values bij dezelfde input dezelfde collisions hebben is nihil.

Yezpahr @brama • 24 april 2010 10:32

@brama
Ok, succes, zonder dat ik je de grootte van het bronbestand vertel, want daar word niet naar gekeken in jou theorie, kan jij dit ontcijferen:

eb69786bce860c78e182d7b8fd270986

Tis een MD5 hash, dus succes, jij vind het kennelijk niet zo moeilijk.
Het gaat ten slotte om de exacte gegevens die tot die hash gekomen zijn, NIET de hash zelf. Maar zo werkt het simpelweg niet.

Het doel van de MD5 hash is om te kijken of er geknoeid is met een bestand.
Als je dat wilt neppen zodat je virusje dezelfde hash heeft, dan moet je HEEL VEEL willekeurige combinaties van nutteloze data er in stoppen om ooit tot diezelfde hash te komen.

Als jij het niet zo moeilijk vind, vertel me dan maar eens met welke text jij deze hash zelf hebt nagemaakt:

"eb69786bce860c78e182d7b8fd270986"

On-Topic:
Wat een goede tip is voor macafee:
Die whitelist uitrusten met een download progje die de system32 bestanden kan downloaden wanneer ze WEL geinfecteerd zijn.

[Reactie gewijzigd door Yezpahr op 22 juli 2024 19:36]

tofus @Yezpahr • 24 april 2010 14:42

@Yezpahr:

http://www.mscs.dal.ca/~selinger/md5collision/

Hier doen ze precies wat jij vraagt, compleet met een voorbeeld van zo'n 'geforceerde' MD5 collision.

Ze maken zelfs twee executables met dezelfde MD5 hash, maar met duidelijk andere functionaliteit.

[Reactie gewijzigd door tofus op 22 juli 2024 19:36]

Verwijderd @Foxl • 23 april 2010 18:05

@ Foxl: Je kan daar natuurlijk makkelijk op controleren door hash+bestandsgrote te controleren zoals bij mijn weten ook altijd gedaan wordt, en die combinatie is dus onmogelijk te foppen.

Cergorach @Verwijderd • 23 april 2010 18:25

Yeah, totdat MS een update uitbrengt voor je OS en je virus scanner nog niet is geupdate, worden de betreffende bestanden nog gezien als virus en heb je als nog een niet werkende computer.

doeternietoe @Cergorach • 23 april 2010 19:00

Yeah, totdat MS een update uitbrengt voor je OS en je virus scanner nog niet is geupdate, worden de betreffende bestanden nog gezien als virus en heb je als nog een niet werkende computer.

Het is niet zo dat bestanden die niet op de whitelist staan automatisch als virus worden gezien. Het is een extra beveiliging om problemen zoals nu spelen te voorkomen.

De mogelijkheid dat er een fout in de virusdefinities zit, dat deze fout ervoor zorgt dat een systeembestand wordt verwijdert en dat dit systeembestand door een update nog niet op de lijst stond lijkt me tamelijk klein.

[Reactie gewijzigd door doeternietoe op 22 juli 2024 19:36]

Simkin @Foxl • 23 april 2010 16:54

Dat kan eenvoudig maar dan is de hash weer anders zoals compufreak88 (nmi duidelijk) aangeeft

robvanwijk

Beveiliging
Netwerk en systeembeheer

@Magic • 23 april 2010 16:18

Maar kun je ook:
- jouw virus-code toevoegen,
- de hash hetzelfde houden (dit kost meestal veel ruimte!)
- en de grootte van het bestand hetzelfde houden?
Als je hash+size checkt dan wordt het extreem moeilijk om nog met dat bestand te rotzooien.
Bestaande code eruit slopen, om jezelf wat "werkruimte" te geven, is immers geen optie: een paar kleine functies eruit slopen betekent dat je alle interne verwijzingen (pointers en entry points en dergelijke) aan moet passen; verre van triviaal. En ik waag te betwijlfen of je een groot, aaneengesloten blok kunt vinden dat weggooid kan worden (denk eraan dat we het over een essentieel systeembestand hebben) zonder dat het geheel zo onbruikbaar wordt dat de machine niet eens meer kan booten.

Orion84 Admin General Chat / Wonen & Mobiliteit @robvanwijk • 23 april 2010 16:29

Bovendien is het volgens mij niet zo triviaal om gegeven een bestand en bijbehorende hash een tweede bestand te maken met diezelfde hash.

Twee bestanden maken met dezelfde hash is, bijvoorbeeld in het geval van md5, wel mogelijk tegenwoordig, maar dan heb je dus controle over beide bestanden, niet over slechts één van de twee.

Of heb ik ergens iets gemist/verkeerd begrepen en is ook de weak-collision-resistance van MD5 al om zeep geholpen?

Daarnaast lijkt het me niet dat McAffee zo dom zou zijn om voor zo'n toepassing een hash algoritme te gebruiken waarvan bekend is dat het niet betrouwbaar is.

[Reactie gewijzigd door Orion84 op 22 juli 2024 19:36]

AndrewF @Orion84 • 23 april 2010 16:50

Je kan altijd meerdere hashes per file opslaan om het zo NOG moeilijker te maken.
bvb: md5 + SHA-256 + grootte van het bestand.

Maar anderzijds: die 'whitelisted' system files van windows worden vaak geupdate -> hash veranderd -> wordt gezien als virus?

doeternietoe @AndrewF • 23 april 2010 19:04

Dan is de extra beschermingslaag tegen het verwijderen van essentiële systeembestanden even niet in werking. Effectief ben je in de tijd tussen de update van een systeembestand van de kant van Microsoft en de update van de whitelist door McAfee terug in de situatie van nu. De kans dat in die tussentijd er een fout als de bovenstaande de virusdefinities insluipt lijkt me klein.

XIU @Magic • 23 april 2010 16:41

Zowel SHA1 als MD5 bijhouden, collision op meerdere hashes wordt wel bijzonder moeilijk.

the_shadow @Magic • 23 april 2010 17:02

Het kan inderdaad wel, maar als er wat betere hashing algoritmes dan MD5 of SHA-0 worden gebruikt, dan is het niet mogelijk. Als SHA-1 of SHA-2 worden gekraakt, dan zitten alle websites die gebruik maken van TLS of SSL in grote problemen (en SSH en IPsec). SHA-1 wordt op het moment op veel plekken uitgefaseerd, SHA-2 wordt nog steeds als compleet veilig beschouwd.

[Reactie gewijzigd door the_shadow op 22 juli 2024 19:36]

bitflusher @musiman • 23 april 2010 18:33

whitelisten met hash lijkt ok, tenzij je niet test met alle mogelijke updates, nu wordt sp3 voor xp natuurlijk niet of nauwelijks gebruikt (daar hoef je niet een op te testen zo weinig) maar stel dat er opeens een veelgebruikte update tussendoor komt dan kun je zomaar een heleboel bestanden als false positive aanmerken.

[Reactie gewijzigd door bitflusher op 22 juli 2024 19:36]

dasiro @musiman • 23 april 2010 20:15

je kan dagelijks een andere hashkey/methode gebruiken, waardoor je maximaal een zero-day exploit/virus kan hebben

Dooievriend @Verwijderd • 23 april 2010 15:48

Misschien met een signatuur van zo'n bestand? Dus niet enkel met de bestandsnaam zelf, maar ook met de exacte bytecode (of een hash daarvan)? Een virus dat zo'n bestand infecteert verandert sowieso de bytecode van dit bestand, en op deze manier zouden dus geïnfecteerde van niet-geïnfecteerde whitelistbestanden onderscheiden kunnen worden.

[Reactie gewijzigd door Dooievriend op 22 juli 2024 19:36]

AibohphobiA BoB

@Verwijderd • 23 april 2010 15:51

Een besturingssysteem dat niet meer opstart, dat is handig. Ze kunnen natuurlijk wel waarschuwen dat er een gevaar is, maar verwijderen is zo ongeveer het domste dat je kunt doen.

Seal64 @Verwijderd • 23 april 2010 16:16

Ik denk dat ze bedoelen dat de whitelist bestanden zal bevatten die niet per definitie in quarantaine mogen worden gezet - niet dat ze niet gescand zullen worden. Je krijgt dan alsnog de melding dat er een infectie gevonden is, maar het geïnfecteerde bestand blijft in ieder geval wel staan, tenminste zo lees ik het.

Nozz 23 april 2010 15:42

weer lekker slordig van MCAfee,
aangezien dit niet de eerste keer is dat zoiets gebeurd verwacht ik ook dat ze misschien klanten gaan verliesen.

Heb zelf ook MCAfee maar draai hem op Windows 7 en geen problemen.

Toch erg jammer.

Verwijderd @Nozz • 23 april 2010 16:17

En toch heeft McAfee de minste false positives volgens Gartner, IDC en Forrester en dit al meerdere jaren na elkaar. Ze zijn ook absolute marktleider in beveiliging van endpoints en netwerken.

Dit toont dat geen enkel product 100% werkt en nooit problemen zal geven.

Dit neemt niet weg dat dit erg slordig was natuurlijk.

Tom @Verwijderd • 23 april 2010 17:09

En toch heeft McAfee de minste false positives volgens Gartner, IDC en Forrester en dit al meerdere jaren na elkaar. Ze zijn ook absolute marktleider in beveiliging van endpoints en netwerken.

Een false positive op een onschuldig bestand heeft natuurlijk een ander resultaat dan bij een systeembestand zoals in dit geval, waarbij de volledige installatie onbruikbaar is (tot de fix).

mjtdevries @Nozz • 23 april 2010 16:23

Laatste keer dat dit bij McAfee gebeurde is volgens mij meer dan 6 jaar geleden.
Dat het recenter bij een aantal andere is gebeurd lijkt me geen aanleiding dat specifiek McAfee klanten verliest.

carpcatcher 23 april 2010 15:55

leuk detail op NU.nl
een half procent van alle klanten.. yeah right...

"Het bedrijf heeft inmiddels zijn excuses aangeboden voor de foutieve update. In een officiële verklaring laat McAfee weten dat “minder dan een half procent van alle klanten last heeft gehad van de update.”

in het officiele artikel staat er ook niets over.
http://siblog.mcafee.com/...lse-positive-remediation/

[Reactie gewijzigd door carpcatcher op 22 juli 2024 19:36]

Stefanto @carpcatcher • 23 april 2010 15:57

Dit klopt wel want de helft van de mensen die weten hoe alles moet hebben het zo ingesteld dat:
1. mcafee vraag op update
2. op een afgesproken datum.

En als ze er net buiten vallen, dan hebben ze net genoeg

[Reactie gewijzigd door Stefanto op 22 juli 2024 19:36]

Top-Rob @Stefanto • 23 april 2010 21:14

Dat is maar de vraag. Op mijn werk zijn de desktops buiten schot gebleven (Epolicy draait bij ons met 1 dag vertraging, dat is veiliger dan klakkeloos uitrollen en als een virus erg serieus is kunnen we altijd daar nog een mouw aan passen), maar de laptops wilden allemaal niet booten. Dit omdat de laptops dus thuis gebruikt kunnen worden, en daar wel gewoon netjes automatisch de nieuwste updates binnentrekken zodra er internetverbinding aan hangt.

Globefrotter 23 april 2010 15:43

"Gebruikers met problemen kunnen al sinds woensdag voor een oplossing terecht op de site van McAfee."
Dat is leuk bedacht maar geen echte hulp wanneer je computer niet opstarten wil.

Verwijderd @Globefrotter • 23 april 2010 18:17

Daarom is het ook handig om niet afhankelijk te zijn van een enkele PC, of in ieder geval niet een enkele Windows install. Dit soort geintjes komen vaker voor.

Niosus @Verwijderd • 25 april 2010 21:17

dan zijn we blij dat we ergens een linux boot disk hebben liggen

overal waar ik (als amateur) een PC installeer laat ik een ubuntu cdtje achter. Kan je via VPN al een hoop oplossen.

basset 23 april 2010 15:45

Al die uren?

Zoveel werk was het niet.
Hoeveel systemen waren het? Ziehier een voordeel om niet en masse naar nieuwe OS'sen of op oude OS'sen te blijven.

In dit geval bleef een groot deel buiten schot bij ons

Overigens wel vrij vlotte reactie van McAfee hoor.

[Reactie gewijzigd door basset op 22 juli 2024 19:36]

Neus @basset • 23 april 2010 15:48

Ziehier een voordeel om niet en masse naar nieuwe OS'sen of op oude OS'sen te blijven

Ja hallo, Vista werd door iedereen afgeraden, XP SP3 is nog steeds het meest gebruikt en Windows 7 komt net op de hoek kijken: omdat bedrijven zoals McAfee hun zaken niet op orde hebben moeten we dus maar klakkeloos upgraden, ookal heeft het geen enkele toegevoegde waarde? Mah.

Blokker_1999

Bugs
Netwerk en systeembeheer

@basset • 23 april 2010 19:07

Bij ons in de firma heeft men geluk gehad dat de IT dienst onze systemen nog op SP2 houd op dit moment, anders hadden we hier over duizenden defecte systemen gesproken.

ArgantosNL 23 april 2010 15:50

"Foutieve McAfee-update gevolg van gebrekkige testprocedure"

Thank you for pointing out the obvious!!

Daar had ik nou geen uitgelekt document voor nodig om daar achter to komen.
en het is inderdaad nogal knudde dat het in eens niet meer gedaan wordt, gezien zo veel bedrijven nog steeds XP gebruiken.

voortaan doen we lekker zelf wel het testen van de DAT files voordat het uitgerold wordt.
geen 2de keer dit grapje.

Blokker_1999

Bugs
Netwerk en systeembeheer

@ArgantosNL • 23 april 2010 19:10

En ga jij ALLE situaties kunnen testen in een testomgeving? Dat kan je niet. Bij 1 van de vorige keren dat dit bij een concurent gebeurde bleek het probleem beperkt tot bepaalde talen van het OS. Moet je dan duizenden systemen gaan opzetten waarbij je imens veel combinaties gaat testen?

Op een gegeven moment bereik je een punt waarbij de kosten niet meer opwegen tegen de baten. Het is in een bedrijfsomgeving zowiezo aan te raden om updates nog eens zelf te testen omdat in een bedrijfsomgeving de meeste systemen een gelijkaardige softwarecombinatie draaien.

itsalex

23 april 2010 15:50

Lekker betrouwbaar bedrijf. Als het nou zo makkelijk is om een bestand te verwijderen dan gaan we wat beleven in de toekomst. 27 processen in 1 keer plat. Dat is wel een idee. Gelukkig meer Panda verkocht dan McAfee. De paar McAfee pcs zijn alweer in orde maar het is wel weer gezeur met een antiviruspakket. Ik vind wel dat nog steeds virussen makkelijk door antiviruspakketen komt maar dat is even een ander verhaal.

Blokker_1999

Bugs
Netwerk en systeembeheer

@itsalex • 23 april 2010 19:11

En wat als het volgende week Panda overkomt? Ga je dan nog gelukkig zijn dat je meer Panda verkoopt?

En de virusdetectie van de grote namen is redelijk goed te noemen, 100% detectie kan gewoon niet.

Verwijderd 23 april 2010 16:40

Gelukkig gebruiken we hier geen McAfee, maar is het niet heel erg om te zeggen dat iedereen nu schadeclaim moet indienen bij hun, omdat ze een fout hebben gemaakt?

Je bent systeembeheerder en je moet dan toch werken. Dit soort problemen oplossen hoort in principe bij je (dagelijkse) taken?
We gaan er steeds meer en meer naartoe dat er IEMAND de schuld moet hebben van bepaalde zaken om er geld uit te halen. Het kan niet zo zijn dat er iets gebeurd zonder dat er een schuldige is dus claimen en aanklagen die boel.

Natuurlijk is dit een fout van mcAfee, maar om nou gelijk uurtje --> factuurtje te doen richting hun vind ik wat ver gezocht.

Top-Rob @Verwijderd • 23 april 2010 21:21

Wat dacht je van systeembeheerders die 's nachts uit hun bed gebeld worden omdat verscheidene laptops niet meer werken (laten laptops namelijk nu net niet via Epolicy Orchestrator lopen maar gelijk updaten vanaf internet)? Die beheerders maken dure overuren. Gezien er best wat geld betaald wordt aan McAfee om dit soort situaties te voorkomen kan ik me voorstellen dat er over schadevergoedingen worden gepraat (alhoewel ik dat op mijn werk niet teruggehoord heb overigens, en het me persoonlijk niet zo veel uitmaakt).

Verwijderd 23 april 2010 18:23

Op woensdag kwam het mailtje al binnen van Medusoft, update tegengehouden in de epolicy orchestrator. Een paar systeempjes bleken toch problemen te krijgen, maar de volgende patch kwam snel genoeg. Langs de pc's gerend met svchost.exe en de laatste dat files. Geen probleem. Mcafee kwam erg snel en adequaat met een oplossing, je moet als sysadmin alleen wel wakker blijven met zulke grappen.

alm @Verwijderd • 24 april 2010 08:50

Ook hier de instructies van Medusoft gevolgd (DAT 5958 uit ePO gehaald en autoupdate tijdelijk uitgezet en EXTRA.DAT erin gezet) en eindresultaat was dat er in het hele bedrijf maar 2 pc's met problemen waren (op zo'n 400 man personeel). Er zijn wel mensen geweest die de update hebben gekregen (voornamelijk laptops buiten de deur), maar toch maar 2 probleemgevallen. En wij gebruiken ook hoofdzakelijk Windows XP met SP3 en in een enkel geval nog Windows XP met SP2.

Ik weet niet precies onder welke condities het fout ging, maar ik heb zelf ook DAT 5958 erop gehad en geen problemen ondervonden (Windows XP met SP3, Engelstalige versie met zowel VSE8.5 patch8 en VSE8.7 patch3 met AntiSpyWare module). Dit was buiten de ePO managed omgeving.

Wishmaster86 23 april 2010 15:48

zouden heel veel bedrijven hiervoor nou geen schade claim indienen? kost hun weer geld om hun systeembeheerders al die computers weer te laten repareren.
vind het belachelijk dat dit er doorheen is gekomen, vooral als groot antivirus bedrijf mag jezelf toch niet zo'n fout als deze permiteren. ongeacht testprocedure. gehele ziekenhuizen lagen plat. zo zie je maar weer hoe digitaal we worden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (107)

Sorteer op:

Weergave: