"Microsoft offert veiligheid voor functionaliteit"
Beveiligingsonderzoeker Tyler Reguly die ontdekte dat een patch voor een lek in Windows niet naar behoren werkt, is geschrokken door de reactie die hij van Microsoft kreeg. MS09-008, één van de drie updates die afgelopen patchdinsdag verscheen, verhielp vier lekken in Windows, waaronder het WPAD Registration lek. Hierdoor kan een aanvaller man-in-the-middle aanvallen tegen Windows DNS servers uitvoeren. WPAD is de Web Proxy Auto-Discovery en laat clients zonder tussenkomst van de gebruiker automatisch de proxy instellingen detecteren. De gebruiker downloadt de WPAD instelling van de DNS server. Een aanvaller zou dan zijn eigen IP-adres kunnen opgeven, waardoor al het verkeer van de gebruiker via zijn proxy loopt.
Nu blijkt dat servers die al via dit lek gehackt zijn en waarvan de waardes al zijn aangepast, niet van de patch profiteren. De patch kijkt alleen welke waarden in de DNS server zijn aangemaakt en voegt vervolgens een blocklist voor nieuwe waarden toe, terwijl de oude instellingen gewoon blijven werken.
Reguly besloot zijn ontdekking meteen openbaar te maken, aangezien het niet om een nieuw lek ging. Daarnaast zouden aanvallers niet van zijn uitleg kunnen profiteren, maar alleen bedrijven die dachten adequaat beveiligd te zijn. Microsoft was hier niet zo blij mee en vroeg of de onderzoeker in de toekomst op een reactie wil wachten totdat de discussie openbaar wordt.
Volgens de softwaregigant is het niet mogelijk om legitieme WPAD instellingen van kwaadaardige te onderscheiden die al door de aanvallers zijn toegevoegd. Daarom worden alle instellingen gewoon geaccepteerd. Microsoft verwees Reguly naar een Knowlegde Base (KB) artikel dat het probleem beschreef. "Opmerkelijk genoeg werd deze KB niet in de gepubliceerde advisory genoemd en pas vandaag als een 'Minor Update' toegevoegd."
Niet gepatcht
"Waarom was ik zo verrast door Microsoft's reactie? Ze hebben het lek helemaal niet gepatcht, maar alleen een manier om het te mitigeren en hebben die oplossing in de update verwerkt." Reguly is van mening dat Microsoft in dit geval security ten behoeve van functionaliteit heeft opgeofferd. De softwaregigant had beter een balans tussen de twee kunnen vinden, zoals een venster dat voor bestaande WPAD instellingen waarschuwt of het gebruik van een dynamische block list.
De onderzoeker, die zichzelf een grote Microsoft fan noemt, vindt dat het bedrijf beveiligingsproblemen onder het tapijt veegt. "Ik vind dit een stap terug. Het noemen van dit probleem in de originele advisory zou een stap voorwaarts zijn geweest." In dit geval werd niemand gewaarschuwd, totdat Reguly zijn bevindingen wereldkundig maakte. "Die reactie bestond uit een link naar een KB. Die KB bevat een lijst van andere KB's en één van die bevat een regel dat dit gedrag zich kan voordoen. Dit suggereert dat Microsoft van het probleem op de hoogte was en de update zonder enig belang voor de veiligheid heeft uitgebracht. Ik denk dat hun klanten beter verdienen."
Reguly kreeg kritiek dat Microsoft patches niet ontwikkeld zijn om al aanwezige exploits te verhelpen. "Ik vraag Microsoft niet om exploits ongedaan te maken, maar dat ze de oplossingen bieden die ze in hun advisory noemen of dat ze hun consumenten proactief adviseren dat een bepaald risico ten koste van hen is genomen. In dit geval hebben ze geen advies of oplossing geboden."
Dat is al vanf dag een[1], van het bij elkaar geraapte en gestolen zooitje code dat ze een OS noemen, zo.
Je moet maar eens opletten ieder bericht dat over Microsoft of Windows gaat heeft als eerste een post van deze bot dat vol staat met dezelfde open deuren.
Ik heb ook wel eens zitten spelen met dergelijke bots (op SourceForge staat geloof ik wat code). Deze bot is overigens wat geavanceerder dan ik gewend ben: hij kan ook herkennen als een van zijn clichés wordt geciteerd, waarop het een reactie plaatst met nog meer clichés .
Het verbaast me dat message boards nog steeds niet de mogelijkheid bieden om de posts van bepaalde accounts eruit te filteren. Zodat je niet geconfronteerd hoeft worden met hun
WIJ HATEN MICROSOFT! Dat is het belangrijkste onderwerp hier. Al zouden ze het enig juiste antwoord op alle virussen, spam, spyware en zo hebben, dan nog wordt het hier de grond in getrapt.
Ik vermoed dat Eerde gewoon een lid van de redactie is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.