Microsoft patch: important of critical?
26-02-2009,23:55 door
Vooraf: het gaat hier om een lek waar een patch voor bestaat. Mijn kritiek richt zich op MMM (Microsoft's Marketing Machine) die voortdurend kwetsbaarheden aan het downplayen (onderwaarderen) is, met alle risico's van dien. Een belangrijke reden hiervoor is natuurlijk de belachelijke strijd wie de minste kwetsbaarheden heeft - een strijd die netto tot meer en langduriger kwetsbare systemen leidt, met de gebruiker als echte verliezer.
Dat dit zo is bleek deze week weer eens: kennelijk onder druk van de markt is, ruim een half jaar na publicatie, een essentiële security patch voor met name XP via automatische updates verspreid die daadwerkelijk de uitvoering van autorun in netwerkdrives verhindert (conform de default register instellingen). En zelfs dan presteert Microsoft om in de bijbehorende [url=http://www.microsoft.com/technet/security/advisory/967940.mspx]Microsoft Security Advisory 967940[/url] (ondanks die kop) te liegen dat het eigenlijk geen security vulnerability is:
Nadat ik in [url=http://www.security.nl/artikel/27542/1/Reclamebanner_besmet_internetgebruikers_via_PDF-lek.html]deze thread[/url] opmerkte dat Microsoft's statement [url=http://www.google.com/search?q=%22an+attacker+would+have+no+way+to+force+users+to+visit+a+malicious+Web+site.%22+site:microsoft.com&hl=en&filter=0]an attacker would have no way to force users to visit a malicious Web site[/url] in alle security bulletins die webbased exploits betreffen (en dat zijn er nogal wat zoals je ziet), natuurlijk flauwe kul is, heb ik daar wat op door ge-google-ed.
Daarbij zag ik dat [url=http://www.microsoft.com/technet/security/bulletin/MS08-076.mspx?pubDate=2009-02-25]MS08-076[/url] gisteren ge-update is. Die wijziging zelf bleek nauwelijks interessant, maar ik bleef hangen op het feit dat de patch (voor 2 kwetsbaarheden) door Microsoft als Important wordt geclassificeerd ondanks dat er sprake is van remote code execution.
De reden daarvoor lijkt in eerste instantie te zijn dat de gebruiker ergens op moet klikken voordat code wordt uitgevoerd. Echter er lijkt toch meer aan de hand....
- Behalve dat code in de context van de ingelogde gebruiker wordt uitgevoerd, kan (volgens de FAQ voor de SPN vulnerability) ook code in de context van het NETWORK SERVICE account worden uitgevoerd. Dat is welliswaar geen SYSTEM maar natuurlijk wel een vorm van privilege escalation.
- Verder googlen leidt me naar [url=http://blogs.technet.com/swi/archive/2008/12/09/windows-media-components-part-1-of-2.aspx]deze Microsoft blog page[/url] met een writeup die niet zou misstaan op de full-disclosure maillijst (zie ook [url=http://blogs.technet.com/swi/archive/2008/12/09/ms08-076-windows-media-components-part-2-of-2.aspx]deel 2[/url]). Hier wordt duidelijk waaruit de kwetsbaarheid bestaat, en met name dat vooral Vista kwestbaar is doordat deze IPv6 en ISATAP ondersteunt. Wat blijkt: door beide kwetsbaarheden te combineren kan een Vista machine zonder dat de gebruiker ergens op klikt worden overgenomen. En als klap op de vuurpijl:
Let met name op die laatste regel: kennelijk vond MMM het in deze tijd, waarin Vista toch al zo moeilijk verkoopt, het niet handig om deze vulnerability in het geval van Vista als critical aan te merken...
Dat dit zo is bleek deze week weer eens: kennelijk onder druk van de markt is, ruim een half jaar na publicatie, een essentiële security patch voor met name XP via automatische updates verspreid die daadwerkelijk de uitvoering van autorun in netwerkdrives verhindert (conform de default register instellingen). En zelfs dan presteert Microsoft om in de bijbehorende [url=http://www.microsoft.com/technet/security/advisory/967940.mspx]Microsoft Security Advisory 967940[/url] (ondanks die kop) te liegen dat het eigenlijk geen security vulnerability is:
For more information about this issue, including download links for this non-security update, see [url=http://support.microsoft.com/kb/967715]Microsoft Knowledge Base Article 967715[/url].
Tot zover de intro...
Nadat ik in [url=http://www.security.nl/artikel/27542/1/Reclamebanner_besmet_internetgebruikers_via_PDF-lek.html]deze thread[/url] opmerkte dat Microsoft's statement [url=http://www.google.com/search?q=%22an+attacker+would+have+no+way+to+force+users+to+visit+a+malicious+Web+site.%22+site:microsoft.com&hl=en&filter=0]an attacker would have no way to force users to visit a malicious Web site[/url] in alle security bulletins die webbased exploits betreffen (en dat zijn er nogal wat zoals je ziet), natuurlijk flauwe kul is, heb ik daar wat op door ge-google-ed.
Daarbij zag ik dat [url=http://www.microsoft.com/technet/security/bulletin/MS08-076.mspx?pubDate=2009-02-25]MS08-076[/url] gisteren ge-update is. Die wijziging zelf bleek nauwelijks interessant, maar ik bleef hangen op het feit dat de patch (voor 2 kwetsbaarheden) door Microsoft als Important wordt geclassificeerd ondanks dat er sprake is van remote code execution.
De reden daarvoor lijkt in eerste instantie te zijn dat de gebruiker ergens op moet klikken voordat code wordt uitgevoerd. Echter er lijkt toch meer aan de hand....
- Behalve dat code in de context van de ingelogde gebruiker wordt uitgevoerd, kan (volgens de FAQ voor de SPN vulnerability) ook code in de context van het NETWORK SERVICE account worden uitgevoerd. Dat is welliswaar geen SYSTEM maar natuurlijk wel een vorm van privilege escalation.
- Verder googlen leidt me naar [url=http://blogs.technet.com/swi/archive/2008/12/09/windows-media-components-part-1-of-2.aspx]deze Microsoft blog page[/url] met een writeup die niet zou misstaan op de full-disclosure maillijst (zie ook [url=http://blogs.technet.com/swi/archive/2008/12/09/ms08-076-windows-media-components-part-2-of-2.aspx]deel 2[/url]). Hier wordt duidelijk waaruit de kwetsbaarheid bestaat, en met name dat vooral Vista kwestbaar is doordat deze IPv6 en ISATAP ondersteunt. Wat blijkt: door beide kwetsbaarheden te combineren kan een Vista machine zonder dat de gebruiker ergens op klikt worden overgenomen. En als klap op de vuurpijl:
Combined severity
Given the above information, it should be clear how combining these two vulnerabilities could lead to an attacker being able to gain access to the victim’s machine. [color=red]However, when determining bulletin severity we do not consider combined attacks for different vulnerabilities, hence the overall severity of Important for this bulletin[/color].
Given the above information, it should be clear how combining these two vulnerabilities could lead to an attacker being able to gain access to the victim’s machine. [color=red]However, when determining bulletin severity we do not consider combined attacks for different vulnerabilities, hence the overall severity of Important for this bulletin[/color].
Let met name op die laatste regel: kennelijk vond MMM het in deze tijd, waarin Vista toch al zo moeilijk verkoopt, het niet handig om deze vulnerability in het geval van Vista als critical aan te merken...
