Microsoft, was dat niet het bedrijf dat het einde van spam voorspelde? We zijn al een paar jaar spamvrij volgens Microsoft.

Als er ergens FUD vandaan komt is Microsoft wel. Ze spinnen alles wat los en vast zit. Geloofwaardigheid NUL.

Lachwekkend artikel. Microsoft is heel goed in het verspreiden van FUD. Bijvoorbeeld door altijd maar te pretenderen dat illegale software gelijk staat aan gevaar, en legale software veilig is. Daarnaast laat Microsoft ook altijd marketing/commercie prevaleren boven veiligheid. Jammer dat de redactie dit soort hypocriete onzinnigheid van Microsoft plaatst.

Dit staat in contrast met andere artikels.

Mijn geloof in ICT begint behoorlijk af te brokkelen.

M$ is toch patenthouder van het FUD gebeuren ?

er zit zeker een grond van waarheid in,het is nooit goed artikels over onveiligheid op te kloppen of het nu gaat over internet of andere items,het is ALTIJD paniekzaaierij.
En het altijd in negatieve zin reageren(zeg maar inhakken)op ms artikels of berichten etc is kinderachtig,probeer eens voor een keertje opbouwend en positief te reageren,dat voelt echt beter.groetjes jeffd

MS vind het volgens mij niet leuk dat er nu eens een keer iets van hun gekopieerd wordt.

@CONFICKER WORKING GROUP: WAAR BLIJFT DE AUTOMATIC UPDATE VOOR XP-SP3 DIE HET PROCESSEN VAN AUTORUN.INF OP REMOVABLE (USB) FAT/NTFS DRIVES UITZET?!?

Die automatic update is er wel geweest voor Vista en later dus het argument dat er dan vanalles niet meer zou werken slaat kant nog wal. Op XP-SP3 is nog steeds handwerk vereist (Fix IT of aanpassen register). Bizar.

Bitwiper,
Bedoel je déze update?
http://support.microsoft.com/kb/971029

Als we het over dezelfde update hebben - die is zoals je kunt zien ook beschikbaar voor XP. Geen Fix-it of handmatig aanpassen van het register nodig. Wél moet handmatig die update gedownload en geïnstalleerd worden.

En weet je wel zéker dat die update voor Vista automatisch is aangeboden via Microsoft Update?
Kun je aangeven vanaf wanneer dan?
Ik heb 'm zelf gedownload en geïnstalleerd op een Vista systeem op 27-9-2009, toen de update al enige tijd aangeboden werd, maar niet via Microsoft Update.
Ik heb geen idee of die update daarna wél automatisch is aangeboden, ik heb daar niets over vernomen. Tot jouw bericht nu.

Zou MS met FUD nu ook legitieme kritiek op hun producten bedoelen..?

Grinnik, dat is wel een beetje dubbel interpreteerbaar ;o)

Hoewel die patch een 3e alternatief is voor de Fix It (waarvan ik even niet meer weet waar die te vinden is) en een handmatige registerwijziging, is ook de XP-SP3 versie van die update (KB971029) NIET via automatic updates verspreid!

BELANGRIJKER: als het je lukt om die patch (http://support.microsoft.com/kb/971029) te installeren dan overschrijf je shell32.dll met een oudere versie waardoor je weer kwetsbaar bent voor het icon/LNK lek!

Voor meer info over KB971029 zie mijn bijdragen in http://www.security.nl/artikel/31878/1/ISC%3A_Formatteer_alle_USB-sticks_voor_gebruik.html en (uitgebreid, met een overzicht van alle patchmogelijkheden) http://www.security.nl/artikel/32655/?version=normal.

Overigens, als je nu Googled naar de (door Microsoft nog steeds ongedocumenteerde) registry value "IsAutorunForCDROMOnly" dan zijn er nog steeds erg weinig hits, maar daaronder bevindt zich wel een interessante pagina van een paar dagen oud, met daarin een uitgebreide analyse van de icon/LNK patch waar die registerwaarde toevallig ook in voorkomt: http://cert.lexsi.com/weblog/index.php/2010/08/06/392-how-microsoft-fixed-the-lnk-vulnerability-and-other-things: M.a.w. als je de Microsoft LNK patch van begin deze maand hebt geinstalleerd, dan heb je wel een nieuwe shell32.dll die de registry value "IsAutorunForCDROMOnly" ondersteunt, maar die icon/LNK patch creeert die registry value zelf niet waardoor er geen effect is en XP-SP3 gebruikers nog steeds niet beschermd zijn tegen Conficker via USB-drives.

Onder XP SP3 is Autorun op USB drives echt alleen via een handmatige actie uit te schakelen, en dat doet bijna niemand (sysadmins bij bedrijven nauwelijks en thuisgebruikers al helemaal niet). Dat is waarom ik Microsoft soms zo vreselijk hypocriet vind.

Aanvulling 00:59: mijn opmerking dat zo'n automatic update er voor Vista wel geweest zou zijn is mogelijkerwijs onjuist (ik meen dat ergens gelezen te hebben, maar weet niet meer waar), voor W7 gebruikers weet ik zo goed als zeker dat die wel out-of-the-box beschermd zijn.

Heb je dat geprobeerd op een test-systeem? Zover mij bekent is wordt een nieuwere component, in dit geval shell32.dll, niet overschreven als het versie nummer gelijk of hoger is.

[/quote]Stop de FUD, dat is de boodschap van Microsoft aan beveiligingsgemeenschap en pers. Volgens de softwaregigant wordt er teveel onjuiste informatie verspreid[/quote]
*SPLORF*

Oh, de ironie :-D

Om even met dat laatste te beginnen,
ook ik meen dat Win7 deze bescherming ingebakken heeft, maar vraag me niet welk artikel op Security.nl het was dat dat meldde.
Wat Vista betreft, zou iemand weten dat er daarvoor een automatische update is geweest met KB971029, dan hoor ik het graag, maar ik ben die informatie nergens tegengekomen.
Ik ga er voorlopig vanuit dat, net als XP, ook Vista géén automatische update KB971029 aangeboden gekregen heeft,
en dat de enige manier om KB971029 toe te passen een handmatige update was en is. Ik ben het beslist met je eens, Bitwiper, dat dat een slechte zaak is, dat die update alleen op die manier is binnen te halen.

En heel belangrijke inormatie, Bitwiper, dat het nu alsnog toepassen van KB971029 voor XP of Vista de LNK patch KB2286198 om zeep zou helpen, als je daar gelijk in hebt.
Ik ga er hieronder voorlopig even vanuit dat je gelijk hebt, Bitwiper, al weet ik niet of je werkelijk gelijk hebt, of dat Jachra gelijk heeft.

Kan het, wanneer iemand toch alsnog die update KB971029 wil toepassen nadat de LNK patch KB2286198 al is geïnstalleerd via automatische update, een optie zijn om dan daarna opnieuw de LNK patch KB2286198 te installeren, maar nu via handmatige download en installatie (zoeken en downloaden via http://www.microsoft.com/downloads/), om op die manier toch de functionaliteit van beide updates te implementeren?
Of kan dat niet? Of levert dat akelige complicaties op?

Een concreet voorbeeld:
Een XP of Vista systeem waarvoor een image (systeem-backup) bestaat van een datum vóór update KB971029 wordt geherinstalleerd op basis van dat image.
KB971029 wordt bij het binnenhalen van de updates via automatische update niet aangeboden.
Wil je KB971029 toch implementeren, dan zie ik twee mogelijkheden:
A -- Eerst KB971029 offline installeren en vervolgens pas alle andere updates binnenhalen via automatische update, waaronder ook LNK patch KB2286198.
B -- Updates binnenhalen via automatische update, waaronder ook LNK patch KB2286198, en vervolgens KB971029 installeren en daarna opnieuw LNK patch KB2286198 (als dat kan en tevens geen nare complicaties geeft).

N.B. Dit op basis van wat Bitwiper stelt, dat installatie van update KB971029 shell32.dll overschrijft met een oudere versie waardoor je weer kwetsbaar bent voor het icon/LNK lek.
Nogmaals, ik weet niet of dat klopt, of dat Jachra gelijk heeft.


Ingevoegde AANVULLING/ CORRECTIE
Zie Bitwipers reactie van woe. 11-7-2010, 00.41 uur.
Update KB971029 uitvoeren (om AutoRun in AutoPlay te beperken tot alleen CD/DVD-stations) lijkt ook met de allerlaatste patches van dit moment géén problemen op te leveren.


Dit lijkt allemaal nogal off-topic van het start-artikel, maar het is belangrijke materie, denk ik.
Dankjewel, Bitwiper, voor het opnieuw onder de aandacht brengen hiervan.

Klopt, mijn opmerking was dan ook enigszins ironisch bedoeld ("als het je lukt..." en nee, ik heb het niet getest).

Sterker, omdat het vermoedelijk helemaal niet meer lukt om http://support.microsoft.com/kb/971029 te installeren nadat de Icon/LNK patch van vorige week (zie http://www.microsoft.com/technet/security/advisory/2286198.mspx) via automatic updates op je PC is geinstalleerd, is er 1 methode minder voor XP-SP3 gebruikers om autorun op USB op hun PC's uit te zetten.

M.b.t. een Microsoft "Fix It" voor deze issue: ik meende dat die bestond maar dat heb ik waarschijnlijk gedroomd, want ik kan hem niet (meer) vinden.

(zie volgende bijdrage)

Mogelijkheden voor handmatig uitzetten van Autorun op XP-SP3 (en Vista)

Op een fully-patched XP-SP3 PC heb je momenteel (volgens mij) dus de volgende keuzemogelijkheden om in elk geval autorun op removable drivers met FAT/NTFS partities te disablen (CDFS kan ook maar zorgt ervoor dat CD's en DVD's niet meer autostarten en daar zijn veel gebruikers aan gewend):

(1) Meest effectief (alle devices, ook CDFS): door in het register de "IniFileMapping" van Autorun.inf op "@SYS:DoesNotExist" te zetten (zie http://en.wikipedia.org/wiki/Autorun#Initialisation_file_mapping of de blog van de bedenker, Nick Brown: http://nickbrown-france.blogspot.com/2007/10/memory-stick-worms.html). Nadeel (naast dat autorun niet werkt op CD/DVD): sommige setup.exe programma's op CD/DVD kunnen installatieinstructies in autorun.inf hebben opgeslagen, en kunnen na deze hack dat bestand niet meer uitlezen (meer info: http://www.security.nl/artikel/31104/1/Autorun_SYS:DoesNotExist_reghack_risico.html)

(2) Aanpassen van de NoDriveTypeAutoRun waarde in het register (kan ook via Group Policies). Zie bijv. http://en.wikipedia.org/wiki/Autorun#NoDriveTypeAutoRun en http://support.microsoft.com/kb/967715. Voorwaarde voor de werking hiervan is dat onder XP patch KB967715 moet zijn geinstalleerd, welke begin 2009 via automatische updates is verspreid (zie http://www.security.nl/artikel/27510/MS_(luistert_naar_Bitwiper_:)_bemoeilijkt_verspreiding_van_Conficker.html).

(3) Blokkeren van Autorun.inf op alle devices behalve CD/DVD (inclusief USB sticks met CDFS partitie). Op W7 is deze installing de default. Deze optie 3 kan door handmatig de patch vanaf http://support.microsoft.com/kb/971029 te downloaden en die te draaien. Die patch bevat een shell32.dll van medio 2009, maar overschrijft de versie van juli 2010 daarvan (die elk systeem met automatische updates ondertussen hoort te hebben) niet met de oudere versie (is dus safe). Wel vervangt KB971029 het bestand shsvcs.dll door een nieuwe, en voegt de registerwaarde IsAutorunForCDROMOnly (type DWORD) met waarde 1 toe onder de key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers.

Na het toepassen van 1 van de voorgestelde oplossingen kun je het beste de PC helemaal opnieuw opstarten om zeker te weten dat de functionaliteit actief is. Ik vermoed (met grote zekerheid maar getest heb ik dat niet) dat alle 3 de methodes ook werken onder Vista (als je voor optie 3 kiest let er dan dan wel op dat je de Vista variant van http://support.microsoft.com/kb/971029 downloadt).

Dankjewel, Bitwiper, voor je aanvullingen.

Uitgaande van je sterke vermoeden dat het niet meer lukt update KB971029 (om AutoRun in AutoPlay te beperken tot alleen CD/DVD-stations) nog te installeren nadat Link-lek patch KB2286198 is geïnstalleerd, geldt het volgende:

Voor de situatie die ik beschreef, het herinstalleren van een XP of Vista systeem op basis van een image waarop beide updates nog niet zijn toegepast,
bestaat er nog de mogelijkheid om toch beide updates toe te passen:
na het installeren van het image zonder de beide updates moet dan eerst éérst update KB971029 offline geïnstalleerd worden en pas daarna moeten alle andere updates binnengehaald worden via automatische update, waaronder ook LNK patch KB2286198.

Voor elke XP of Vista situatie waarin Link-lek patch KB2286198 al wel reeds is toegepast en update KB971029 nog niet, zou de enige manier om die beperking van AutoRun in AutoPlay tot alleen CD/DVD-stations toe te passen alleen bereikt kunnen worden met de handmatige aanpassingen die jij aangeeft.

Corrigeer me als ik me vergis.

Ingevoegde AANVULLING/ CORRECTIE
Zie Bitwipers reactie van woe. 11-7-2010, 00.41 uur.
Update KB971029 uitvoeren (om AutoRun in AutoPlay te beperken tot alleen CD/DVD-stations) lijkt ook met de allerlaatste patches van dit moment géén problemen op te leveren.

Deze uiting van microsoft is slechts een bevestiging van veranderende inzichten bij microsoft met name inzichten in criminele markten. Er is een kentering in de aanpak te zien, men richt zich steeds meer op produkt aanpassingen die misbruik van deze producten economisch onaantrekkelijk maakt.

Okay, graag gedaan! Is meteen voor mezelf ook weer een reminder als ik systemen moet installeren of controleren....

Om onzekerheid weg te nemen over het draaien van KB971029 (om AutoRun in AutoPlay te beperken tot alleen CD/DVD-stations) na de installatie van de icon/lnk patch (KB2286198 = MS10-046) van vorige week, maar voor de patches van dinsdagavond, heb ik dat op m'n notebook getest door WindowsXP-KB971029-x86-ENU.exe nogmaals te draaien (die had ik op 2009-12-02 al gedraaid). Daarbij heb ik vooraf de registerwaarde IsAutorunForCDROMOnly hernoemd. Resultaat: er werd geen enkele foutmelding gepresenteerd, de registerwaarde is weer toegevoegd en op 1 gezet; en -heel belangrijk- shell32.dll (op m'n Engelstalige XP van 2010-07-27 08:30) is niet overschreven door de versie van vorig jaar (ook niet na een reboot). Conclusie: het draaien van KB971029 lijkt safe ook als er sinds het verschijnen daarvan andere patches zijn gedraaid die dezelfde DLL's door latere versies vervangen.

Sterker, als je Autorun voor alles behalve CD/DVD middels IsAutorunForCDROMOnly wilt blokkeren, is het waarschijnlijk zeer verstandig om sowieso KB971029 te draaien!

Reden: als je tot deze zomer KB971029 draaide, deed deze het volgende op XP-SP3 systemen:
- c:\windows\system32\shell32.dll vervangen
- c:\windows\system32\shsvcs.dll vervangen (in de nieuwe komt ook IsAutoRunForCDROMOnly voor in unicode)
- de IsAutorunForCDROMOnly registry value met waarde 1 toevoegen

Als je KB971029 niet gedraaid hebt, zal shsvcs.dll op je system niet zijn vervangen. Dus hoewel KB2286198 = MS10-046 wel shell32.dll vervangt door een versie die "IsAutoRunForCDROMOnly" ondersteunt, ben je wellicht niet volledig beschermd omdat je nog een oude shsvcs.dll op je PC hebt!

Ik heb e.e.a. geverifieerd op een (Engelstalige) XP-SP3 setup die sinds medio december 2009 niet meer gepatched is en waarop KB971029 nooit gedraaid is. Relevante bestanden in c:\windows\system32\ (de bestandsgrootte heb ik erachter gezet):
2008-06-17 21:02 shell32.dll 8,461,312
2008-04-14 05:42 shsvcs.dll 135,168

Na alle updates gedraaid te hebben t/m die van gisteravond (2010-08-10):
2010-07-27 08:30 shell32.dll 8,462,336 (wel vervangen, wel support voor "IsAutoRunForCDROMOnly")
2008-04-14 05:42 shsvcs.dll 135,168 (niet vervangen dus, geen support voor "IsAutoRunForCDROMOnly")
Nog geen entry "IsAutoRunForCDROMOnly" in de registry.

Insteken van een USB memory stick met in de root "notepad.exe" en een "autorun.inf" met de volgende inhoud: leidde ook in deze configuratie tot het automatisch starten van notepad (waarmee mijn stelling dat er nog geen automatic update is geweest die dit verhindert, voldoende onderbouwd is - lijkt me).

Daarna heb ik met de hand de waarde "IsAutoRunForCDROMOnly" = 1 toegevoegd. Insteken van de USB memory stick leidt tot het openen van een Explorer venster met de root directory (harmless dus), maar omdat de oude shsvcs.dll NIET naar die waarde kijkt kunnen er omstandigheden zijn waarbij autorun toch nog mogelijk is! Hoewel ik die niet zo snel heb kunnen vinden heeft Microsoft natuurlijk niet voor niets (naast shell32.dll) een update van shsvcs.dll in KB971029 gestopt.

Daarna heb ik "IsAutoRunForCDROMOnly" weer verwijderd, en vervolgens KB971029 geinstalleerd. Ook op deze PC ging dit zonder foutmeldingen, alleen was er nu wel een reboot nodig om shsvcs.dll te kunnen vervangen (stond voor de reboot in PendingFileRenameOperations in de registry). Na de reboot:
2010-07-27 08:30 shell32.dll 8,462,336 (ongewijzigd, support voor "IsAutoRunForCDROMOnly")
2009-07-28 01:17 shsvcs.dll 135,168 (geupdate, support voor "IsAutoRunForCDROMOnly")
Entry "IsAutoRunForCDROMOnly" met waarde 1 is nu aanwezig in de registry.

Insteken van de USB start geen notepad (opent wel een Explorer venster).

Kortom, de derde optie in mijn bijdrage van 2010-08-09 van 09:25 hierboven is onjuist. Het is waarschijnlijk onjuist om met alleen KB2286198 = MS10-046 op je systeem (automatic update van eind juli voor icon/lnk bug) erop te vertrouwen dat je safe bent als IsAutorunForCDROMOnly=1 handmatig toevoegt aan het register. Beter is het om KB971029 te draaien; dat lijkt, ook met de allerlaatste patches van dit moment, geen problemen op te leveren. Ik pas de 3e optie in m'n bijdrage hierboven zometeen aan!

Dankjewel opnieuw, Bitwiper,
voor je onderzoek en je aanvullingen.

Ik heb in twee van m'n eerdere bijdragen in deze thread een aanvulling/ correctie aangebracht en verwezen naar je post van 00.41 uur.
Ik heb daarbij jouw conclusie overgenomen:

Update KB971029 uitvoeren (om AutoRun in AutoPlay te beperken tot alleen CD/DVD-stations) lijkt ook met de allerlaatste patches van dit moment géén problemen op te leveren.
En is aan te raden voor XP en Vista systemen.