Microsoft medewerker waarschuwt voor WMF "patch"
Microsoft heeft naast haar advisory over het zeer ernstige WMF lek in Windows niet veel naar buiten toe gecommuniceerd. Zo wachten miljoenen gebruikers nog altijd op een patch, hoewel er al wel een onofficiele oplossing beschikbaar is. Het is echter de vraag of het wel verstandig is om deze patch te gebruiken. Zelfs al gaat het om de beveiliging van bedrijfskritieke onderdelen, kun je dan een oplossing van een derde partij vertrouwen? Er komen zoveel onbekende risico's bij kijken, ook al heeft het Internet Storm Center de patch van Ilfak Guilfanov goedgekeurd.
Microsoft's "Senior Security Strategist" Jesper Johansson raadt het gebruik van de patch dan ook af. Als oplossing moeten gebruikers:
Verder maakt Johansson nogmaals duidelijk dat er interactie van de gebruiker vereist is om het lek te misbruiken. Iets wat in principe ook zo is, maar in het geval van afbeeldingen die op websites of in e-mailberichten staan, is dit wel erg eenvoudig voor een aanvaller.
De mening van de Microsoft medewerker gaat echter tegen het advies van veel security experts in die juist vanwege de ernst van de situatie aanraden om de onofficiele patch te installeren.
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
pas praten
Akkoord, maar wat als je omwille van een of andere legacy app dit niet kan
toepassen?
> De exploit op de gateway blokkeren
Akkoord, maar zoals gezegd volstaat het niet om file associaties of mime
types te blokkeren...
> Het de-registreren van het betrokken .DLL bestand
Akkoord, maar ook niet ff vlug te realiseren en te deployen. Dit vereist
trouwens local admin privileges, en dat staat dan haaks op de eerste
stelling mbt "unprivileged context"
> Anti-virus software updaten
OK, zou piece of cake moeten zijn.
Where's the patch????
Patrice
in ASM is geschreven om er voor te zorgen dat een sploit niet meer de
buffer kan overflowen.
Maar er zit ook veel risico aan niet patchen van een lek in je mashine/
Hoe dan ook, meeste mensen die met de 3th party patch patchen zijn al
experts. en lopen niet zoveel gevaar.
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
Had je het nog niet door dat het Microsoft het slechts om
markt-penetratie en helemaal niet om de eindgebruiker gaat?
Tijd om over te stappen naar een ander Operating System en
geen Open System. :P
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
Unofficial Patch
Finally, there is an unofficial patch. Patch really is the right terminology for
this. It patches (using basic rootkit technology) a system DLL to ignore
calls to the vulnerable function. The patch is an executable and has to be
run on each vulnerable system, meaning cost of implementation is
potentially very high. According to SANS, it does stop the current exploits.
Personally, I have not tested it, and I have no intention of using an
unofficial patch at this time.
Again, it is risk management. If you have extremely high security
requirements, you may want to go so far as using something as drastic as
an unofficial patch. However, in that situation you are probably not willing
to trust a third-party packaged patch anyway. The unknown risk of issues
with an unofficial patch is pretty high. The cost of implementation ranges
from low in a very managed environment, to very high in an unmanaged
environment. If your risk and the cost of the attack is very high then you
may want to consider the unofficial patch, but I cannot in the best
conscience recommend it right now.
waar hij over schreef, dat is wel ietsje genuanceerder als hier in het
bericht staat. Gegeven dat zijn artikel feitelijk over riskmanagement gaat
lijkt dit me goed onderbouwd
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt, behalve het
virusscanner updaten. Het is verdomde triest dat ze met dit
soort pleisters komen, mensen hebben patches nodig!
Had je het nog niet door dat het Microsoft het slechts om
markt-penetratie en helemaal niet om de eindgebruiker gaat?
Tijd om over te stappen naar een ander Operating System en
geen Open System. :P
Heeft den hugo ook al een suggestie? DOS?/OS2?...
Ookal is het wel zo dat er risico aanvast zit om een patch
te installeren die
in ASM is geschreven om er voor te zorgen dat een sploit
niet meer de
buffer kan overflowen.
kun je gewoon downloaden van
http://www.hexblog.com/security/files/wmfhotfix.cpp .
deze on-officeele patch.. als ze dat zouden doen geven ze
indirect toe dat ze zelf niet in staat zijn om ad-hoc op een
probleem in te springen. Deze fix van een derde laat zien
dat iemand anders dat wel kan laat eigelijk Microsoft in
zijn hemd staan....
dus het verbaast me niets dat microsoft zo reageert..
Het gezicht van het bedrijf is nou eenmaal belangrijker dan
een paar (?) users die een probleem hebben...dat zal MS echt
roesten..
een fix te maken voor dit lek. Net zoals "Ilfak Guilfanov"
dit heeft kunnen doen, zoveel regels code zijn het niet en
de oplossing is ook niet opzienbarend. Echter heeft Ilfak
niet door en door op alle systemen kunnen testen, zelf heeft
hij dit enkel op Windows 2000 en XP gedaan.
Het gebruik van de 3e partij patch is geheel voor eigen risico.
Testen kost veel tijd, hoewel ik van MS wel een snellere
uitrol zou verwachten, waarom wachten tot 10 januari?
soort pleisters komen, mensen hebben patches nodig!"
Laat 'patch' nou pleister en in dit geval tevens lapmiddel
betekenen :)
microsofts normale dag voor patches.
Bij Microsoft zullen ze best wel in staat zijn om zeer snel
een fix te maken voor dit lek.
(....)
Testen kost veel tijd, hoewel ik van MS wel een snellere
uitrol zou verwachten, waarom wachten tot 10 januari?
Die kerel is niet goed snik, hij komt met oplossingen aan
die geen enkele "niet-power-user" begrijpt
Hoeft ook niet. Een "niet-power-user" oftewel een niet
(local) admin zal weinig dan wel geen problemen ondervinden.
Wat ik begrijp zal een aanvaller "slechts" toegang krijgen
tot de user's world. En als die geen admin is - een situatie
die vanzelfsprekend is voor zichzelf serieus nemende
bedrijven en slimme thuisgebruikers -houdt 't snel op. Geen
SAM, geen installatierechten. De schade zal waarschijnlijk
dus beperkt blijven tot in een extreem geval toegang tot
documenten van de gebruiker. Virusscanner updaten (hoeft een
gebruiker als 't goed is ook _niets_ voor te doen) en zelfs
dit zal niet meer lukken.
En tsjaah, dat alle als (local) admins draaiende heren en
dames wel een de pineut zouden kunnen zijn.... men krijgt
wat men verdient. Een admin hoort alleen aangemeld te zijn
voor admin-werkzaamheden. Surfen en email lezen is iets voor
gebruikers. Of voor het gestripte account van de admin (try
runas). Als men dit niet goedschikt wil leren, dan
kwaadschiks. Ooow krijg ik nu flashbacks richting telnet,
ftp, rsh, etc ;)
zowiezo erger dan de exploit vaak... Kennen we de geweldige
resultaten van de XP-SP2 patch niet meer? Honderdduizenden
machines die niet meer bootten na installatie. Direct_X 9
bijvoorbeeld is al 4 keer 'gepatched'... Servicepacks voor
Windows 2000 werden zelfs geadviseerd om NIET te installeren
als je nergens last van had. Bij NT4 moest je zelfs wachten
tot je de C-variant van de servicepack had voordat je hem
kon installeren zonder je machine om zeep te helpen...
Dus kom niet aan blaten van "goh, wat eng, een 3rd party
patch"... Zeker niet van onze Windows-Fak.. ZEKER niet als
SANS adviseert hem te installeren.. Dat hebben ze de
afgelopen 5 jaar nog nooit gezegd...
Micrsoft is nu met damage-control bezig... Via hun
overheid-spreekbuizen worden nu weer niets-zeggende
statistieken in de lucht gegooid, komen er straks weer
'get-the-facts' bulshit in de media en krijgen we vast ook
nog wel wat FUDD erbij in de vorm van juridische stappen..
mogelijk in de vorm van SCO. Ik kijk wel wat de soap wordt.
de jaren tachtig,die nu wordt misbruikt om als vector te
dienen voor kwaadaardige nodes. Met gewone gebruiksrechten
is men dus even kwetsbaar als met admin rechten.
Hoeveel van deze relict features kunnen door malcreanten nog
gebruikt worden voor hun creaties? Wordt het geen tijd de
code nog eens zorgvuldig hierop door te lichten, of blijft
men vasthouden aan de backwards compatibilty?
D
Bij Microsoft zullen ze best wel in staat zijn om zeer snel
een fix te maken voor dit lek. Net zoals "Ilfak Guilfanov"
dit heeft kunnen doen, zoveel regels code zijn het niet en
de oplossing is ook niet opzienbarend. Echter heeft Ilfak
niet door en door op alle systemen kunnen testen, zelf heeft
hij dit enkel op Windows 2000 en XP gedaan.
Het gebruik van de 3e partij patch is geheel voor eigen risico.
Testen kost veel tijd, hoewel ik van MS wel een snellere
uitrol zou verwachten, waarom wachten tot 10 januari?
vanwege het testen misschien?
You will receive the "Bill" later on this century........
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.