Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
MS (luistert naar Bitwiper :) bemoeilijkt verspreiding van Conficker
In [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]Microsoft schuldig aan verspreiden wormen via XP netwerkshares[/url] beschrijf ik dat Microsoft al sinds half 2008 een update voor shell32.dll beschikbaar stelt waarmee Autorun op netwerk shares en USB sticks wel volledig kan worden uitgeschakeld.
Veel admins waren niet van het bestaan van deze update op de hoogte, en omdat ze policies toepasten volgens Microsoft's voorschrift, waren ze onterecht in de veronderstelling dat hun systemen veilig waren. Dat klopte niet, want Confiker verspreidt in elk geval via de volgende methoden:
(1) exploit van systemen die niet met [url=http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx]MS08-067[/url] gepatched zijn
(2) brute force username/password combinaties op administrative shares
(3) via Autorun op USB-sticks
(4) via Autorun in de root van netwerk-drives (netwerk shares)
Volledig via automatic updates gepatchte systemen welke van degelijke watchwoorden waren voorzien waren toch kwetsbaar voor Conficker vanwege de laatste twee kwetsbaarheden.
Onder het mom "beter laat dan nooit" heeft Microsoft besloten om de update van shell32.dll m.i.v. vandaag (24 feb 2009) alsnog via automatische updates te verspreiden, zie [url=http://www.microsoft.com/technet/security/advisory/967940.mspx]Microsoft Security Advisory 967940[/url].
Let op: hoewel daarmee Autorun op netwerkdrives wordt uitgeschakeld geldt dit niet voor Autorun op USB sticks: daar is een policy of een registerwijziging voor nodig! Hoe dat moet lees je in mijn artikel waar ik boven en onder naar verwijs.
Bron: [url=http://www.heise.de/security/Microsoft-bestaetigt-Excel-Luecke-und-fixt-Autorun--/news/meldung/133475]Heise Security[/url].
Veel meer informatie: zie mijn artikel bovenaan en mijn post onderaan (van 23:35) in [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]Microsoft schuldig aan verspreiden wormen via XP netwerkshares[/url].
Erg laat, maar toch bedankt Microsoft!
Veel admins waren niet van het bestaan van deze update op de hoogte, en omdat ze policies toepasten volgens Microsoft's voorschrift, waren ze onterecht in de veronderstelling dat hun systemen veilig waren. Dat klopte niet, want Confiker verspreidt in elk geval via de volgende methoden:
(1) exploit van systemen die niet met [url=http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx]MS08-067[/url] gepatched zijn
(2) brute force username/password combinaties op administrative shares
(3) via Autorun op USB-sticks
(4) via Autorun in de root van netwerk-drives (netwerk shares)
Volledig via automatic updates gepatchte systemen welke van degelijke watchwoorden waren voorzien waren toch kwetsbaar voor Conficker vanwege de laatste twee kwetsbaarheden.
Onder het mom "beter laat dan nooit" heeft Microsoft besloten om de update van shell32.dll m.i.v. vandaag (24 feb 2009) alsnog via automatische updates te verspreiden, zie [url=http://www.microsoft.com/technet/security/advisory/967940.mspx]Microsoft Security Advisory 967940[/url].
Let op: hoewel daarmee Autorun op netwerkdrives wordt uitgeschakeld geldt dit niet voor Autorun op USB sticks: daar is een policy of een registerwijziging voor nodig! Hoe dat moet lees je in mijn artikel waar ik boven en onder naar verwijs.
Bron: [url=http://www.heise.de/security/Microsoft-bestaetigt-Excel-Luecke-und-fixt-Autorun--/news/meldung/133475]Heise Security[/url].
Veel meer informatie: zie mijn artikel bovenaan en mijn post onderaan (van 23:35) in [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]Microsoft schuldig aan verspreiden wormen via XP netwerkshares[/url].
Erg laat, maar toch bedankt Microsoft!
Reacties (7)
25-02-2009, 00:14 door
[Account Verwijderd]
[Verwijderd]
25-02-2009, 14:16 door
Ilja. _V V
PoffertjesJanDosieVerDrieNogAnToe!... Heb ik twee weken geleden al mijn vrienden, kennissen & klanten geinstrueerd hoe ze die update met de hand moeten installeren!...
Microsoft luistert altijd, hoor Bitwiper: Het duurt alleen soms even voordat het doordringt. ;-) Even een kleine correctie: Vista & 2008 hebben kb953252 wel meteen als Automatische Update gekregen.
Hierbij een aanvulling over het USB-deel hierboven in beide Bitwiper artikelen (& daarom post ik het dan ook maar in beide):
[url=http://support.microsoft.com/kb/967715]How to correct[/url] "disable Autorun registry key" enforcement in Windows (kb967715) & ga dan naar:
Workaround 2: To prevent users from connecting to USB storage devices.
Waar verwezen word naar:
[url=http://support.microsoft.com/kb/823732/]
How can I prevent[/url] users from connecting to a USB storage device? (kb823732)
Waarin de volgende twee mogelijkheden gegeven worden:
[url=http://support.microsoft.com/kb/823732/#FixItForMe]“Fix it for me” section[/url].
[url=http://support.microsoft.com/kb/823732/#LetMeFixItMyself]“Let me fix it myself” section[/url].
Microsoft luistert altijd, hoor Bitwiper: Het duurt alleen soms even voordat het doordringt. ;-) Even een kleine correctie: Vista & 2008 hebben kb953252 wel meteen als Automatische Update gekregen.
Hierbij een aanvulling over het USB-deel hierboven in beide Bitwiper artikelen (& daarom post ik het dan ook maar in beide):
[url=http://support.microsoft.com/kb/967715]How to correct[/url] "disable Autorun registry key" enforcement in Windows (kb967715) & ga dan naar:
Workaround 2: To prevent users from connecting to USB storage devices.
Waar verwezen word naar:
[url=http://support.microsoft.com/kb/823732/]
How can I prevent[/url] users from connecting to a USB storage device? (kb823732)
Waarin de volgende twee mogelijkheden gegeven worden:
[url=http://support.microsoft.com/kb/823732/#FixItForMe]“Fix it for me” section[/url].
[url=http://support.microsoft.com/kb/823732/#LetMeFixItMyself]“Let me fix it myself” section[/url].
Door BitwiperLet op: hoewel daarmee Autorun op netwerkdrives wordt uitgeschakeld geldt dit niet voor Autorun op USB sticks: daar is een policy of een registerwijziging voor nodig! Hoe dat moet lees je in mijn artikel waar ik boven en onder naar verwijs.
Het probleem zit nog steeds in het feit dat gebruikers in de registry aan de slag moeten. Niet echt iets dat handig is. Net zo gemakkelijk zet men autorun voor shares ook aan. Ik adviseer nog steeds om het advies van US-CERT op te volgen. Dat biedt een dubbele beveiliging. Laat iemand die er verstand van heeft de registry bewerken zoals je het zou willen hebben. En gebruik vervolgens de US-CERT truuk om autorun volledig uit te zetten (en eventueel tijdelijk weer aan conform de ingestelde waardes).
Peter
26-02-2009, 17:09 door
Bitwiper
Door Anoniem
Het probleem zit nog steeds in het feit dat gebruikers in de registry aan de slag moeten. Niet echt iets dat handig is. Net zo gemakkelijk zet men autorun voor shares ook aan.
Daar heb je gelijk in, maar in het [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]artikel waar ik naar verwijs[/url] noem ik ook een gratis tooltje dat het gebruik van regedit overbodig maakt:Door BitwiperLet op: hoewel daarmee Autorun op netwerkdrives wordt uitgeschakeld geldt dit niet voor Autorun op USB sticks: daar is een policy of een registerwijziging voor nodig! Hoe dat moet lees je in mijn artikel waar ik boven en onder naar verwijs.
Het probleem zit nog steeds in het feit dat gebruikers in de registry aan de slag moeten. Niet echt iets dat handig is. Net zo gemakkelijk zet men autorun voor shares ook aan.
Gratis tool: AutoRunSettings
vooral voor XP home gebruikers die het register niet handmatig of met een bestandje willen wijzigen, maar ook als je alleen wilt kijken en niets snapt van hexadecimaal rekenen, bestaat er een gratis en Engelstalig alternatief van Uwe Sieber: [url=http://www.uwe-sieber.de/drivetools_e.html#autorun]AutoRunSettings[/url]. Het makkelijkste is om daarmee de (standaard ontbrekende) HKEY_LOCAL_MACHINE registerwaarde aan te maken door in de rechthoek rechtsboven de gewenste waardes aan te clicken of uit te zetten en Apply te drukken (een vinkje betekent dat uitvoeren van Autorun is toegestaan). Je kunt het alle vinkjes uitzetten en naar keuze CD/DVD aan of toch uit.
ls je links boven waardes hebt gezet maakt het niet meer uit wat er rechtsboven staat. De CD/DVD insert notification kun je het beste aan laten. De waardes in het onderste venster kun je ook het beste ongewijzigd laten.
vooral voor XP home gebruikers die het register niet handmatig of met een bestandje willen wijzigen, maar ook als je alleen wilt kijken en niets snapt van hexadecimaal rekenen, bestaat er een gratis en Engelstalig alternatief van Uwe Sieber: [url=http://www.uwe-sieber.de/drivetools_e.html#autorun]AutoRunSettings[/url]. Het makkelijkste is om daarmee de (standaard ontbrekende) HKEY_LOCAL_MACHINE registerwaarde aan te maken door in de rechthoek rechtsboven de gewenste waardes aan te clicken of uit te zetten en Apply te drukken (een vinkje betekent dat uitvoeren van Autorun is toegestaan). Je kunt het alle vinkjes uitzetten en naar keuze CD/DVD aan of toch uit.
ls je links boven waardes hebt gezet maakt het niet meer uit wat er rechtsboven staat. De CD/DVD insert notification kun je het beste aan laten. De waardes in het onderste venster kun je ook het beste ongewijzigd laten.
Door AnoniemIk adviseer nog steeds om het advies van US-CERT op te volgen. Dat biedt een dubbele beveiliging. Laat iemand die er verstand van heeft de registry bewerken zoals je het zou willen hebben. En gebruik vervolgens de US-CERT truuk om autorun volledig uit te zetten (en eventueel tijdelijk weer aan conform de ingestelde waardes).
Peter
Prima, maar veel thuisgebruikers zullen dan moeite hebben met het handmatig starten van programma's (zoals spelletjes) van CD's.Peter
Let op, U3 USB sticks mounten een CDFS file systemen en worden dus als CD gezien
27-02-2009, 10:31 door
Bitwiper
Door AnoniemGraag gedaan.
Ruud de Jonge
Microsoft Nederland
Hee, dat vind ik een leuke reactie. Bedankt Ruud!Ruud de Jonge
Microsoft Nederland
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.