Microsoft waarschuwt voor 17-jaar oud Windows-lek

21-01-2010,10:03 doorRedactie

Microsoft waarschuwt voor een 17-jaar oud lek in de Windows-kernel waardoor een aanvaller kwetsbare systemen kan overnemen. Het lek werd gisteren door Google beveiligingsonderzoeker Travis Ormandy gepubliceerd, omdat de softwaregigant na meer dan een half jaar nog steeds geen actie had ondernomen. Al in juni wist Microsoft van het lek, maar besloot dit niet te patchen. De kwetsbaarheid bevindt zich in de Windows-kernel, die niet met bepaalde uitzonderingen kan omgaan. Alle 32bit Windows-versies sinds 27 juli 1993 zijn kwetsbaar.

Om het lek te misbruiken moet een aanvaller al wel op het systeem kunnen inloggen. Vervolgens zou die een "speciaal gemaakte applicatie" moeten draaien, die ervoor zorgt dat het systeem stopt met werken en zichzelf herstart. Ook al heeft de aanvaller verminderde rechten, na de aanval is het mogelijk om een account met volledige rechten aan te maken.

Oplossing
Het lek is alleen in 32bit-versies van Windows aanwezig, een oplossing is dan ook het overstappen op 64bit Windows. Aan de hand van het onderzoek dat Microsoft nu uitvoert, kan het tot een out-of-band update overgaan, maar ook een patch tijdens de maandelijkse patchcyclus is een optie. Voor zover bekend maken aanvallers nog geen misbruik van het lek. De softwaregigant geeft systeembeheerders als tijdelijk advies het uitschakelen van het NTVDM subsysteem via de Windows Group Policy console.

Vanavond noodpatch voor Internet Explorer

Bewijs voor Chinese aanval op Google

Reacties

21-01-2010,

10:12 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

Aan de hand van het onderzoek dat Microsoft nu uitvoert, kan het tot een out-of-band update overgaan, maar ook een patch tijdens de maandelijkse patchcyclus is een optie.

Het lek zit er al 17-jaar in en ze weten er al meer dan 6 maanden van af. Ik denk niet dat het een out-of-band update wordt :)

10:41 door

Over oud lek gesproken - een 0day 16bit probleem dat ook in Win7 zit...: (van ISC.SANS, 19 januari)

In a posting to a public mailing list, Tavis Ormandy disclosed a zero day privilege escalation vulnerability in the Windows kernel. All versions of Windows, starting with Windows NT 3.1 up to including Windows 7, are affected.

The vulnerability affects support for 16 bit applications. In most cases, it is safe to turn off support for 16 bit applications.

Here are the mitigation instructions (copied from the advisory):

Temporarily disabling the MSDOS and WOWEXEC subsystems will prevent the attack from functioning, as without a process with VdmAllowed, it is not possible to access NtVdmControl() (without SeTcbPrivilege, of course).

The policy template "Windows ComponentsApplication CompatibilityPrevent access to 16-bit applications" may be used within the group policy editor to prevent unprivileged users from executing 16-bit applications. I'm informed this is an officially supported machine configuration.

Administrators unfamiliar with group policy may find the videos below instructive. Further information is available from the Windows Server Group Policy Home

http://technet.microsoft.com/en-us/windowsserver/grouppolicy/default.aspx.

12:46 door

Is Microsoft dan al weer 17 jaar oud? Ik ben van het tijdperk ms-dos3.11. En mijn eerste pc was een Vendex headstart met een cpu 8086 8 Mhz snel zonder harddeschijf en met een 4 kleuren Cga.

12:58 door

Bitwiper

Vooraf: het gaat hier om een privilege escalation attack. Dat wil zeggen dat iemand die ingelogd is met beperkte rechten (en dus ook de software die hij/zij draait) volledige rechten (naar keuze Administrators of SYSTEM) op het systeem kan krijgen.

Het is natuurlijk alleen zinvol om een systeem te patchen als daarop gebruikers inloggen die geen lid zijn van de groep Administrators! Immers, indien alle gebruikers wel lid zijn van Administrators, dan hebben zij al al zeer hoge rechten (of kunnen die eenvoudig verkrijgen door "SYSTEM" te worden). Voor thuis-PC's waarbij de kinderen accounts hebben met beperkte rechten kan deze patch echter wel zinvol zijn, omdat zij perongeluk malware zouden kunnen starten die van de door Tavis ontdekte privilege escalation methode gebruik maakt, waardoor het hele systeem zal worden overgenomen.

Die grouppolicy setting wordt vanaf XP Pro en Windows 2003 Server ondersteund. Voor zover ik weet niet door Windows 2000. Bovendien beschikken de home versies van XP (en later, naar ik aanneem) niet over de GroupPolicy editor (maar op veel van die systemen zijn alle gebruikers Administrators, of kunnen dat, middels UAC, snel worden).

Of 16bit DOS apps al worden geblokkeerd op jouw systeem (default is dat niet zo) kun je testen door achter Start|Opstarten (Engels: Start|Run) in te tikken: command
gevolgd door Enter. Als er een DOS-box start zijn 16bit toepassingen toegestaan. (i.p.v. command kun je ook edit en debug proberen).

Op systemen waar geen GroupPolicy editor aanwezig is (symptoom: handmatig vanaf een commandprompt starten van gpedit.msc geeft een foutmelding dat het bestand niet gevonden werd) kun je de volgende gegevens kopiëren en plakken in een nieuw tekst-document (in kladblok/notepad bijv):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]
"VDMDisallowed"=dword:00000001

Dat bestand kun je bijv. op je bureaublad opslaan als: "vdmdisallowed.reg" of "patch.reg" (de bestandsnaam boeit niet, de extensie wel).

Belangrijk is dat de extensie .reg blijft (door in kladblok bij opslaan de bovenstaande aanhalingstekens te gebruiken en "alle soorten bestanden" te kiezen gaat dit meestal goed).

Door vervolgens op je bureaublad op dat bestand te dubbelklikken zal je worden gevraagd of je de gegevens in het register wilt importeren, kies dan ja (als het bestand opnieuw opent in kladblok heb je het opgeslagen als "vdmdisallowed.reg.txt", dan zul je die extra extensie .txt weg moeten zien te krijgen).

Overigens werkt deze registerwijziging alleen als je "beheerder" bent van de PC (d.w.z. lid bent van de groep Administrators - wat bij home versies van Windows bijna altijd het geval is). En mocht je dat niet zijn, maar het wel willen, dan biedt de exploit van Tavis daartoe de mogelijkheid.... (niet doen bij je baas, da's een vorm van inbreken vermoed ik!)

Na het aanbrengen van deze registerwijziging moet je je PC geheel opnieuw opstarten om de wijziging van kracht te laten worden.

Bron: http://www.heise.de/security/meldung/Windows-Luecke-nach-17-Jahren-gefunden-Update-908743.html

Laatst gewijzigd: 21-01-2010, 13:03

13:29 door

Door Anoniem: Is Microsoft dan al weer 17 jaar oud? Ik ben van het tijdperk ms-dos3.11. En mijn eerste pc was een Vendex headstart met een cpu 8086 8 Mhz snel zonder harddeschijf en met een 4 kleuren Cga.

Waar denk je dat ms in msdos voor staat ....
Hint: http://en.wikipedia.org/wiki/MS-DOS

enne, msdos 3.11? Of bedoel je soms WfW3.11? ms-dos 3.11 is voor zover mij bekend en kan nagaan geen officiële release....

23:01 door

Een geval waar 64 bits meer veiligheid biedt: de 64 bits varianten van Windows zijn niet kwetsbaar...

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login