image

Microsoft dicht worm-lek in Windows *Update*

donderdag 23 oktober 2008, 19:26 door Redactie, 12 reacties

Voor de vierde keer sinds 2006 heeft Microsoft buiten haar maandelijkse patchcyclus om een beveiligingsupdate voor Windows uitgebracht en met een goede reden, het lek in kwestie is door een worm te misbruiken en er zijn al meldingen dat dit gebeurt. Microsoft Security Bulletin MS08-067 verhelpt een probleem binnen de Server Service, die een aanvaller door middel van een RPC request in staat stelt het volledige systeem over te nemen. De kwetsbaarheid is met name ernstig voor Windows XP, 2000 en Server 2003 systemen, hoewel ook Vista, Server 2008 en het gloednieuwe Windows 7 getroffen zijn. Aangezien Windows 7 zich nog in Pre-beta fase bevindt, heeft Microsoft het lek hier niet van een rating voorzien.

Het lek heeft veel gemeen met een probleem dat twee jaar geleden in de Server Service werd ontdekt en Microsoft via MS06-040 patchte. De Server service maakt het mogelijk om lokale middelen, zoals schijven en printers, met anderen op het netwerk te delen. RPC is een protocol dat een programma kan gebruiken om code op een andere machine uit te voeren. In het geval van Windows XP, 2000 en Server 2003 hoeft een aanvaller alleen maar een RPC verzoekje naar een computer te sturen om die over te nemen. De gebruiker hoeft dus helemaal niets te doen, net als bij de MS Blaster worm in het verleden. In het geval van Windows Vista en Server 2008 werkt de aanval alleen als de aanvaller ook geauthenticeerd is. De kwetsbaarheid krijgt daarom voor deze twee besturingssystemen de "Important" rating mee.

Gerichte aanval
Volgens Microsoft is het lek al bij verschillende gerichte aanvallen ingezet. Er zou echter nog geen proof-of-concept exploit code online zijn te vinden. Toch waarschuwt de softwaregigant dat de kwetsbaarheid tot worm exploits kan leiden. Naast het installeren van de update, zijn er ook verschillende workarounds, zoals het uitschakelen van de kwetsbare services. Dat verdient echter niet de voorkeur en Microsoft adviseert iedereen dan ook deze update direct te installeren.

Update 20:20

Trojaanse paarden
De aanvallen waar Microsoft het over had zijn twee weken geleden waargenomen en werden uitgevoerd op Windows XP systemen. Twee Trojaanse paarden misbruikten de kwetsbaarheid om de aangevallen systemen te infiltreren. TrojanSpy:Win32/Gimmiv.A en TrojanSpy:Win32/Gimmiv.A.dll verzamelen allebei informatie van besmette computers en verwijderen zichzelf zodra de datadiefstal voltooid is. Het gaat onder andere om gebruikersnaam, computernaam, IP-adres, geïnstalleerde programma's, patches en com objecten, recent geopende documenten en inloggegevens van Outlook Express, MSN Messenger en Protected Storage.

Welke systemen kwetsbaar
In tegenstelling tot wat eerder werd gemeld, zijn Windows 2000, XP en Server 2003 niet kwetsbaar, alleen als bestands en printerdeling zijn ingeschakeld of de firewall uit staat. Bij Windows Vista en Server 2008 is dit standaard het geval, maar is er authenticatie vereist. Computers die van Microsoft Forefront en Microsoft OneCare zijn voorzien, zijn door de meest recente signatures ook beschermd. Verder is informatie over het lek met verschillende andere anti-virusbedrijven en IDS/IPS-aanbieders gedeeld. De update voor Forefront en OneCare kan de aanval herkennen, ook als een worm die uitvoert. Microsoft is nog niet op de hoogte van "zelfreplicerende malware" die dit lek misbruikt.


SDL onschuldig
Na de Sasser en Blaster wormen had iedereen gedacht dat dit soort malware tot het verleden zou behoren, iets wat Microsoft onder andere bereikte door middel van Service Pack 2. Die mega-update schakelde standaard de firewall in en zorgde ervoor dat poorten 139 en 445 gesloten werden. Om ernstige beveiligingslekken verder te voorkomen, stapte de softwaregigant over op de Security Development Lifecycle (SDL). Alle code inspecteert men sindsdien grondig op fouten, zowel handmatig als via allerlei tools. De vraag is dan ook hoe dit ernstige lek wist te ontsnappen.

"De bug is een stack-based buffer overflow binnen een loop; het vinden van buffer overruns in loops, met name complexe loops, is lastig te detecteren," zegt Microsoft beveiligingstopman Michael Howard. Volgens hem is het missen van de bug geen falen van SDL. "Het antwoord of we gefaald hebben is categorisch "Nee!". Zoals ik eerder zei is het doel van SDL het verminderen van lekken en het beperken van de impact van wat je mist. Windows Vista en Server 2008 gebruikers zijn beschermd dankzij de verdediging in het besturingssysteem, die deels het resultaat van SDL is."

Update 21:10

Publieke exploits kwestie van tijd

Ziv Mador van het Microsoft Malware Protection Center waarschuwt dat er "een klein aantal" aanvallen via dit lek heeft plaatsgevonden. Dat kan veranderen nu de beveiligingsupdate publiek is. "We hebben gevallen gezien waarbij informatie om lekken te misbruiken slechts een paar dagen of zelfs uren verscheen nadat we een update uitbrachten." Door de patch te reverse engineeren is het mogelijk voor aanvallers om te zien waar precies de zwakke plek zit en hoe die te misbruiken is. Het Microsoft Security Vulnerability Research & Defense blog gaat in de op technische details van het lek, Ruud de Jonge van Microsoft Nederland doet z'n zegje in de podcast.

Reacties (12)
23-10-2008, 19:38 door SirDice
Hmmm.. Het is een update voor MS06-040.. Dat is dus de reden voor de tussentijdse update..

http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx
http://www.securityfocus.com/brief/293
23-10-2008, 19:57 door Darkman
Moet wel heel serieus zijn.
Kreeg zelfs een "ADVANCE NOTIFICATION"-mail van Microsoft.
23-10-2008, 20:10 door Anoniem
Op niveau 2 zou de firewall van XS4All deze wormen tegen moeten kunnen houden:
http://www.xs4all.nl/helpdesk/beveiliging/poortbeveiliging/#poorten

Microsoft meldt immers dat een workaround het blokkeren van poort 139 en 445 is.
23-10-2008, 20:21 door Anoniem
Sowieso disable RPC: http://www.randomtype.com/?p=11
23-10-2008, 23:59 door Anoniem
Immunity heeft al een PoC online voor hun klanten .. sinds een paar uur .. http://www.immunityinc.com/ceu-index.shtml
24-10-2008, 13:17 door Anoniem
Verdraaid. Ik heb gisteren juist lopen beweren dat die mail van Microsoft wel nep zou zijn, omdat Microsoft immers "nooit updates stuurt via mail". Ik heb de headers zorgvuldig bekeken en zag niks dat op bedrog wees, maar ik kon het gewoon toch niet geloven. Wel heb ik meteen de meest recente uploads ge-installeerd en mijn gebruikers gezegd: "Tja, als Windows update gekraakt wordt, dan zijn de rapen gaar."
Moet ik nou concluderen dat ik toch onvoldoende op de hoogte was?
24-10-2008, 14:36 door Anoniem
Door AnoniemImmunity heeft al een PoC online voor hun klanten .. sinds een paar uur .. http://www.immunityinc.com/ceu-index.shtml

Om die pagina te openen moet je een login/passwd invoeren... Wat heeft het voor zin om deze link te posten als anderen hem toch niet kunnen openen?
24-10-2008, 15:12 door SirDice
Door AnoniemVerdraaid. Ik heb gisteren juist lopen beweren dat die mail van Microsoft wel nep zou zijn, omdat Microsoft immers "nooit updates stuurt via mail".
Microsoft stuurt ook geen updates via e-mail. Wel meldingen dat er updates zijn. Ik mag toch hopen dat er geen attachment bij zat?
24-10-2008, 16:10 door Evelien
Door SirDice
Door AnoniemVerdraaid. Ik heb gisteren juist lopen beweren dat die mail van Microsoft wel nep zou zijn, omdat Microsoft immers "nooit updates stuurt via mail".
Microsoft stuurt ook geen updates via e-mail. Wel meldingen dat er updates zijn. Ik mag toch hopen dat er geen attachment bij zat?
Gelukkig niet; wel klikbare links in de email. Het leek gewoon bedriegelijk veel op de bekende spam waar je zelf op een link mag klikken om je eigen computer te infecteren: Mensen bang maken en ze een link aanbieden waarmee je zogenaamd je probleem kunt oplossen.
24-10-2008, 22:24 door Anoniem
Door SirDice
Door AnoniemVerdraaid. Ik heb gisteren juist lopen beweren dat die mail van Microsoft wel nep zou zijn, omdat Microsoft immers "nooit updates stuurt via mail".
Microsoft stuurt ook geen updates via e-mail. Wel meldingen dat er updates zijn. Ik mag toch hopen dat er geen attachment bij zat?

Microsoft stuurt wel updates, maar alleen na een specifiek verzoek.
25-10-2008, 03:35 door Anoniem
Ik heb die mail ook gehad en vind het behoorlijk tricky om de links aan te klikken. Afzender Newsletters@microsoft.com, kan geen hacker bedenken. De link verwijst naar "onbekend ".microsoft.com ook lekker betrouwbaar
13-04-2009, 21:08 door Anoniem
Microsoft stuurt nooit updates via mail. Als dat het geval is, dan is er iets mis! Delete in dit geval de ontvangen e-mail.
----------------------------------
Sectrust Amsterdam.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.