Toch merk ik aan mezelf dat ik steeds lauwer ga reageren op dit soort
dingen. Elke twee dagen komt er wel weer zo'n bericht.
Het is echt niet meer bij te houden. Op naar OpenOffice.org dan maar, zal
ook wel e.e.a. niet pluis mee zijn, maar die MS-Office lekken zijn nu bijna
dagelijks "voorpagina"-nieuws aan 't worden...

Kortom: het is weer feest bij Microsoft. Ik vraag me
overigens af wat de kwaliteit eigenlijk is van de ontwerpers
en programmeurs van deze software...

Ken je die reclame nog van Microsoft:

Jaren zijn we bezig geweest onze software veilig te maken etc etc etc
Kuch Kuch Kuch

Ik denk dat het niet aan de kwaliteiten ligt van de ontwikkelaars, maar meer
aan de commerciële druk. Beleid dus...

Ben ik blij dat ik nog altijd office '97 gebruik, vrijwel
elk lek is daarop niet van toepassing.

Gelukkig heeft'ie veel meer problemen die niet eens meer
opgelost worden omdat 97 EOL is.

Je hoort het de laatste tijd veel. Ik denk dat er van deze
buffer overflow fouten er nog wel 20 van zijn... waarmee je
met de helft een 'systeem kan overnemen'.

Ik weet nog steeds niet precies hoe zoiets werkt, maar als
je er een beetje verstand van hebt en je weet hoe het moet
dan kun je mogelijk zelf nog wel wat vinden. Waarom huren ze
bij Microsoft niet een paar man in die 24/7 (van de werkdag)
alles proberen te hacken e.d.

Dat zal de misbruikbaarheid van deze veel voorkomende
software ten goede komen.

Dus ik begrijp dat lekken ook niet meer op '97 getest worden?

Inderdaad... Je ziet toch ook (weinig tot) geen exploits en
patches meer voor windows 95? Dat is niet omdat het ineens
allemaal opgelost is...


Da's 2 jaar geleden... En dat voor een product wat inmiddels 9 jaar oud is..

http://support.microsoft.com/default.aspx?scid=fh;en-us;lifeOffice

Maar als je dan toch al excel bestanden uit onbekende bronnen opent.
Ben je dan eigenlijk in beginsel al niet bezig.
En blijkbaar ook als admin werkende gezien de overname van het
systeem

SirDice op dinsdag 20 juni 2006 17:25
> Inderdaad... Je ziet toch ook (weinig tot) geen
> exploits en patches meer voor windows 95?

Waarmee je impliciet aangeeft dat het draaien van W95 op dit
moment statistisch gezien minder risico oplevert dan bijv.
W2K, XP of W2K3. Wat bevestigd lijkt te worden door de, door
derden ontdekte, ordinaire buffer overflow lekken van vorige
week in die laatste drie, in o.a. tcpip.sys en RRAS
(meerdere dll's gepatched), zie MS06-025 en MS06-032.

> Dat is niet omdat het ineens allemaal opgelost is...

Nee, dat is ofwel omdat niemand er exploits voor maakt maar
ook vaak omdat het probleem gewoon niet bestaat.
Bijv. bij MS06-025 omdat "Windows 98, Windows 98 Second
Edition, and Windows Millennium Edition do not contain the
affected component" en bij MS06-032 staan die
besturingssystemen genoemd onder "Non-Affected Software",
dus W95 is zo goed als zeker ook niet kwetsbaar.

Interessant is dat je "geen exploits en patches meer"
schrijft. Ik heb echter zelden remote (die vind ik
het engst) code execution exploits specifiek voor W95
gezien. En ook niet voor W98 en ME waar vorige week nog
(okay waarschijnlijk de laatste) patches voor zijn
uitgebracht, en dat zijn besturingssystemen die -in
tegenstelling tot W95- nog wel veel worden gebruikt.

Bijna alle critical patches voor W9X hadden betrekking op
MSIE, OE en Media Player, en golden daardoor meestal ook
voor NT4/W2K/XP en W2K3. Bij de uitzonderingen, dus lekken
in het O.S. buiten MSIE/OE/MP (zoals .ani en .wmf GDI
issues), bleek in-the-wild code vaak geen effect te hebben
op W98, en voor zover ik me herinner zijn er geen
network-based wormen voor W98 geweest (bijv. van Blaster en
co heeft W9X via poort 135 -op evt. portnocken na- ook geen
last gehad).

Wat niet wil zeggen dat W9x en Office 97 per definitie
"safe" zijn. Niet voor niets komt de karakterreeks "97" vaak
voor in de namen van Office macro virussen (Google maar eens
naar X97M of naar W97M).

Het zou me echter niet verbazen als het zojuist
gepubliceerde nieuwe lek in Excel "Microsoft Excel
File Embedded Shockwave Flash Object Exploit", zie
http://lists.grok.org.uk/pipermail/full-disclosure/2006-June/047028.html
niet werkt in Office 97.

Overigens wel weer een trieste bug als je het volgende leest
in
http://www.microsoft.com/technet/security/bulletin/ms01-050.mspx:

Er van uitgaande dat bovenstaande FD post geen grap is stelt
dit verbeterde "macro security framework" vanaf O2K
kennelijk ook niet zoveel voor.

Het probleem is niet zozeer de macro bescherming an sich,
maar meer dat er ook hier meerdere security domains
(internet, local system) naast elkaar in de zelfde
applicatie gebruikt kunnen worden. Ofwel, het is geen excel
probleem, het is een probleem in de onderliggende
infrastructuur, namelijk Windows. En dat is Microsoft's
grote probleem.

Windows is zo groot, zo complex en zo geintegreerd dat het
gewoonweg onmogelijk is om dit soort problemen zinvol aan te
pakken zonder een hele drastische rebuild van het operating
system. Naar ik begrepen heeft men bij Vista de modulariteit
van het OS vergroot waardor hopelijk dit soort problemen
minder vaak gaan voorkomen.

Win9x heeft geen enkele vorm van beveiliging. Je hebt dan ook geen exploit nodig om zo'n machine te "rooten". Remote code execution is niet nodig. Je kan er zo al bij.. En als je er remote niet bij komt (omdat er geen services draaien) hoef je alleen maar de gebruiker te "verleiden" een executable te starten. De top10 virussen laat wel zien dat dat niet echt moeilijk is.

"Kortom: het is weer feest bij Microsoft. Ik vraag me
overigens af wat de kwaliteit eigenlijk is van de ontwerpers
en programmeurs van deze software..."

De BSA, software politie, spreekt steevast over
"kwaliteitssoftware" welk zij
vertegenwoordigen........................

Anoniem op woensdag 21 juni 2006 13:17
> Ofwel, het is geen excel probleem, het is een
> probleem in de onderliggende infrastructuur,
> namelijk Windows.

Wijziging 22:35, om 20:17 schreef ik (+typo gefixed):

In veel gevallen heb je gelijk, maar m.i. in dit geval niet. Voor zover ik het probleem overzie wordt hier code in een embedded object uitgevoerd bij het openen van het Excel document. Het verhinderen daarvan (code execution), d.w.z. op z'n minst aan de gebruiker vragen of hij/zij dat wil, is iets dat ik van een "macro protection system" verwacht. En dat is geen Windows- maar een Excel taak.

22:35 Ik heb er wat verder over nagedacht en ga ik je steeds meer gelijk geven. Mogelijk geldt dit lek voor het hele OLE gebeuren, d.w.z. waarbij third-party applicaties verantwoordelijk zijn voor het "renderen" van embedded objecten. Waarbij je in dit geval ook zou kunnen stellen dat het een lek in Flash is i.p.v. in Excel. Wellicht zijn, gebruikmakend van andere OLE servers, nog wel meer exploits denkbaar.

Aan de andere kant had Microsoft OLE servers in twee groepen kunnen indelen: een groep die alleen "tekent" en een groep die tevens scripting ondersteunt (misschien bestaat zo'n systeem al, ik ken het in elk geval niet). Het office macro protection system zou de scriptable categorie natuurlijk alleen mogen "renderen" na toestemming van de gebruiker.

Met dit type "lekken" (waarbij het de vraag is of het om een bug of een feature gaat) zullen we Office documenten als executable files moeten behandelen.

SirDice op woensdag 21 juni 2006 13:41
> Win9x heeft geen enkele vorm van beveiliging. Je
> hebt dan ook geen exploit nodig om zo'n machine
> te "rooten". Remote code execution is niet nodig.
> Je kan er zo al bij..

Heftige uitspraken. Onderbouw dit eens met wat voorbeelden?

> En als je er remote niet bij komt (omdat er geen
> services draaien) hoef je alleen maar de gebruiker
> te "verleiden" een executable te starten.

In welk opzicht wijkt dat af van al die W2K en XP computers
waarop men inlogt en werkt als lid van Administrators (wat
in elk geval de meeste XP home gebruikers doen)?

Inderdaad kun je de beveiliging van een NT4++ systeem
verbeteren, maar dat is een lastige klus en zelfs veel
bedrijven doen dat maar half (of geheel niet). Ik heb
afgelopen vrijdag nog een notebook met XP Pro gekocht. De
80GB schijf had uitsluitend FAT32 partities. Denk je echt
dat een doorsnee gebruiker daar wat aan doet? (Ik overigens
wel).

En zelfs al ben je "ordinary user", dan is het nog steeds
een slecht plan om foute code te starten. Die zal in de
praktijk waarschijnlijk niet je systeem slopen (hoewel de
meeste Win32 setups voldoende privilege escalation
mogelijkheden hebben) maar kan wel jouw bestanden mollen
(denk bijv. aan ransomware) en/of jouw account "rooten"
(autostarten zodra jij inlogt) en je keyboard sniffen, de
keys van je games stelen, als het een virus betreft zichzelf
verspreiden etc.

> De top10 virussen laat wel zien dat dat niet echt
> moeilijk is.

Als je daarmee suggereert dat die top 10 afkomstig is van
besmette W9X computers (en niet W2K/XP), waar baseer je dat
dan op? Zo niet, waarom is in dit kader W9X een minder
veilig systeem dan al die W2K en XP systemen die kennelijk
ook besmet raken? M.i. is dit een lek in mensen, niet in
besturingssystemen.

Over "top" lijstjes gesproken. Kijk eens bovenaan de lijst
van http://www.sans.org/top20/.

- MSDTC and COM+ Service (MS05-051)
- Print Spooler Service (MS05-043)
- Plug and Play Service (MS05-047, MS05-039)
- Server Message Block Service (MS05-027, MS05-011)
- Exchange SMTP Service (MS05-021)
- Message Queuing Service (MS05-017)
- License Logging Service (MS05-010)
- WINS Service (MS04-045)
- NNTP Service (MS04-036)
- NetDDE Service (MS04-031)
- Task Scheduler (MS04-022)

Volgens genoemde Microsoft bulletins is W9X
uitsluitend kwetsbaar voor de NetDDE service, maar
die draait niet by default en daarom is dit lek (volgens MS)
niet critical.

Als jij zou zeggen dat je XP veel safer kunt
gebruiken dan W98 dan geef ik je absoluut gelijk. Feit is
echter dat de meeste W2K/XP machines in "W9X-mode" worden
gebruikt (waarbij door een enkeling wat getrut wordt met
tools als Hitman Pro - vooral bezoekers van dit soort sites,
"normale" mensen hebben hier zelden van gehoord, net zoals
ze vaak niet weten dat er andere browsers bestaan dan IE).

Kortom, indien gebruikt in "admin mode" zijn W2K/XP
machines, door het grotere aantal lekken en het
grotere aantal in-the-wild exploits, statistisch gezien
minder veilig dan W9X.