Nieuws
image

Amerikaanse overheid: Microsoft advies over AutoRun onjuist

woensdag 21 januari 2009, 16:07 door Redactie, 8 reacties

De waarschuwingsdienst van de Amerikaanse overheid heeft alarm geslagen omdat het advies van Microsoft om AutoRun uit te schakelen niet volledig is. "Dit kan als een beveiligingslek worden gezien", zo laat het Computer Emergency Response Team weten. Het probleem is dat de Autorun en NoDriveTypeAutorun registerwaarden niet effectief zijn om AutoRun volledig uit te schakelen.

Het wijzigen van de AutoRun waarde naar 0, voorkomt niet dat nieuwe apparaten de code in het Autorun.inf bestand niet uitvoeren. Ook het aanpassen van de NoDriveTypeAutorun registerwaarde naar 0xFF zou volgens Microsoft Autoplay op alle schijven uitschakelen, maar zelfs dan nog zal Windows willekeurige code uitvoeren als de gebruiker het icoontje van bijvoorbeeld de USB-stick in de Windows verkenner opent.

Om AutoRun op Windows systemen echt uit te schakelen geeft US-CERT het volgende advies en dat is het importeren van de onderstaande registersleutel.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

1. Kopieer de tekst.
2. Plak de tekst in Windows Notepad.
3. Bewaar het bestand als autorun.reg.
4. Navigeer naar de bestandslocatie.
5. Dubbelklik het bestand om die in het Windows register te importeren.
6. Herstart de computer.

Gisteren kwam Security.nl lezer Bitwiper al met een uitstekend artikel over dit onderwerp dat elke systeembeheerder zou moeten lezen. De reden voor US-CERT om nu aan de bel te trekken is dat de Conficker worm zich onder andere via AutoRun verspreidt en bedrijven die dachten door het uitschakelen van AutoRun met het advies van Microsoft veilig te zijn, dat in werkelijkheid niet waren.

Reacties (8)
21-01-2009, 17:08 door Eerde
Dit is zeer gevaarlijk, kijk ieder .inf kan code bevatten die ook als je autoplay.run of aurorun.run niet aan hebt staan je hele systeem aan gort kan helpen. Beter uitzetten die hele handel !
21-01-2009, 19:58 door Anoniem
Dit is dus eigenlijk oud nieuws. US-CERT heeft bijna een jaar geleden al dezelfde waarschuwing gegeven, toen keek men naar Vista: http://www.kb.cert.org/vuls/id/889747 De vraag blijft dan waarom men toen alleen voor Windows Vista en Windows Server 2008 waarschuwde en nu standaard Microsoft Windows noemt, zonder dat te onderbouwen. Ik vind het keurig dat US-CERT nog een keer waarschuwt op het moment dat er een serieuze actieve dreiging voor is, maar dat had men dan al veel en veel eerder moeten doen, of men weet niet precies waar het nu fout zit en waarschuwt uit voorzorg maar voor alle Windows systemen. Ik zou wel wat meer informatie van US-CERT willen hebben om hier een antwoord op te geven. Ze horen immers te staan voor betrouwbaarheid.
21-01-2009, 23:43 door Paultje
Waarom wordt er geen USB-firewall gebruikt? Heb je het geknoei van HKEY_LOCAL_MACHINE ook niet meer nodig.
21-01-2009, 23:44 door Paultje
Door AnoniemDit is dus eigenlijk oud nieuws. US-CERT heeft bijna een jaar geleden al dezelfde waarschuwing gegeven, toen keek men naar Vista: http://www.kb.cert.org/vuls/id/889747 De vraag blijft dan waarom men toen alleen voor Windows Vista en Windows Server 2008 waarschuwde en nu standaard Microsoft Windows noemt, zonder dat te onderbouwen. Ik vind het keurig dat US-CERT nog een keer waarschuwt op het moment dat er een serieuze actieve dreiging voor is, maar dat had men dan al veel en veel eerder moeten doen, of men weet niet precies waar het nu fout zit en waarschuwt uit voorzorg maar voor alle Windows systemen. Ik zou wel wat meer informatie van US-CERT willen hebben om hier een antwoord op te geven. Ze horen immers te staan voor betrouwbaarheid.

Maar kennelijk weten weinigen dat dit oud nieuws is. Met alle gevolgen van dien.
22-01-2009, 09:48 door Lamaar
Door EerdeDit is zeer gevaarlijk, kijk ieder .inf kan code bevatten die ook als je autoplay.run of aurorun.run niet aan hebt staan je hele systeem aan gort kan helpen. Beter uitzetten die hele handel !
Wat weet jij daar nou van? Je werkt niet eens met Windows, dus hou dan ook je commentaar voor je.
22-01-2009, 11:36 door Anoniem
Door Lamaar
Door EerdeDit is zeer gevaarlijk, kijk ieder .inf kan code bevatten die ook als je autoplay.run of aurorun.run niet aan hebt staan je hele systeem aan gort kan helpen. Beter uitzetten die hele handel !
Wat weet jij daar nou van? Je werkt niet eens met Windows, dus hou dan ook je commentaar voor je.

Nou meer dan jou. Ik heb jou nog nooit een zinnige opmerking zien maken! Jij bent 1 van de veroorzakers van de beveiligingsproblemen die Windows heeft!
22-01-2009, 13:30 door Anoniem
Kan iemand mij vertelen waar voor deze waardenes zijn in het register en kan ik deze sleutels wissen uit register!

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WPAEvents]
"OOBETimer"=hex:ca,82,b8,55,d4,04,b5,cf,cc,5b,24,97
"LastWPAEventLogged"=hex:d8,07,08,00,04,00,15,00,16,00,21,00,0b,00,f1,01
22-01-2009, 21:16 door Bitwiper
US-CERT heeft haar [url=http://www.us-cert.gov/cas/techalerts/TA09-020A.html]advies[/url] aangevuld met de opmerking dat na het toepassen van patch [url=http://support.microsoft.com/kb/953252]KB953252[/url] Windows wel correct omgaat met de NoDriveTypeAutorun registrywaarde zoals door Microsoft zelf gedocumenteerd (dat was [url=http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx?mfr=true]hier[/url] maar momenteel krijg ik een zoekpagina te zien; [url=http://74.125.77.132/search?q=cache:oFKVeUB6l1gJ:www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx+NoDriveTypeAutoRun+site:microsoft.com&hl=en&ct=clnk&cd=1]google cache van die page[/url]).

Effectief beschrijft US-CERT hiermee wat ik [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]hier[/url] schreef.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search