Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Beperkte accounts kwetsbaar voor Conficker?

29-03-2009, 17:47 door Anoniem, 11 reacties
Waar ik benieuwd naar ben:

Als je surft met een beperkte account, bestaat dan toch de mogelijkheid om Conficker of andere malware op je computer geïnstalleerd te krijgen?

Bij voorbaat dank voor het antwoord, JAIJzerman
Reacties (11)
30-03-2009, 09:29 door Anoniem
Ja, maar je bent wel een stuk veiliger
30-03-2009, 11:12 door wizzkizz
Het maakt je niet onkwetsbaar, maar het voorkomt wel een heleboel ellende.
Mocht je een virus oplopen, dan kan het relatief weinig kwaad. Keyloggers kunnen niet worden geinstalleerd, virusscanners niet worden geblokkeerd, firewall niet worden uitgeschakeld, dns-instellingen niet aangepast worden en nog heel veel meer.

Het voorkomt zeg maar 99% van de ellende die je anders had gekregen, maar je bent niet onkwetsbaar.
30-03-2009, 12:05 door Anoniem
Een ongepatchte machine is kwetsbaar. Conficker maakt gebruik van een kwetsbaarheid in het OS, en breekt in op de admin account, niet op die van de toevallige gebruiker. Diens rechten zijn irrelevant.
30-03-2009, 16:20 door Iturbide
Laat ik mijn eigen antwoord iets uitgebreiden: Het varieert. Ruwweg:

Sommige malware als conficker maakt gebruik van een kwetsbaarheid in het OS en verwerft zo admin rechten. Daar doe je dus niet veel aan als gebruiker, behalve patchen.

Andere malware maakt gebruik van een kwetsbaarheid in een applicatie die je draait, bijvoorbeeld je browser. Dan nestelt zo'n malware zich op het systeem met de rechten van de applicatie die draait. Dat zijn meestal de rechten van degene die hem gestart heeft. Hier heeft het dus wel degelijk zin om als gewone gebruiker in te loggen. De malware kan niet meer uitrichten dan jezelf kan.
31-03-2009, 09:26 door Bitwiper
Niet bedoeld als kritiek, maar als aanvullingen op goed bedoelde antwoorden:

Door wizzkizzHet maakt je niet onkwetsbaar, maar het voorkomt wel een heleboel ellende.
Mocht je een virus oplopen, dan kan het relatief weinig kwaad. Keyloggers kunnen niet worden geinstalleerd, virusscanners niet worden geblokkeerd, firewall niet worden uitgeschakeld, dns-instellingen niet aangepast worden en nog heel veel meer.

Het voorkomt zeg maar 99% van de ellende die je anders had gekregen, maar je bent niet onkwetsbaar.
De argumentatie klopt niet. Je kunt wel degelijk een keylogger "installeren", en veel thuisgebruik virusscanners en firewalls kunnen ook door gewone gebruikers worden uitgezet. Met "installeren" bedoel ik het op een plaats op de schijf zetten waar je wel schrijfrechten hebt, waarna het autostartend gemaakt zou kunnen worden bijv. door opname in de HKCU...Run key. Als nonadmin systeem-DNS instellingen wijzigen kan niet (voor zover ik weet), maar malware zou wel een proxy kunnen installeren en de IE of FF config aan kunnen passen om daar gebruik van te maken. In de praktijk heb je wel gelijk dat het je in erg veel gevallen beschermt, maar 99% klinkt bijna als een garantie; zo mooi is het niet.

Door AnoniemEen ongepatchte machine is kwetsbaar. Conficker maakt gebruik van een kwetsbaarheid in het OS, en breekt in op de admin account, niet op die van de toevallige gebruiker. Diens rechten zijn irrelevant.
Conficker kan een volledige gepatchte machine via een USB stick of via een makkelijk te raden Administrator wachtwoord compromitteren. Het probeert (volgens [url=http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml]deze F-Secure write-up[/url]) ook via het netwerk in te loggen op andere accounts, maar dat is alleen zinvol als die lid zijn van de groep Administrators (anders heb je geen schrijfrechten op de ADMIN$ share).

Door IturbideDe malware kan niet meer uitrichten dan jezelf kan.
Exact - mits je machine geheel gepatched is, er geen onbekende privilege escalation- en/of network-based kwetsbaarheden zijn, en al je passwords sterk zijn.

Een groot voordeel (security by obscurity) is dat de meeste malwaremakers er (terecht) van uitgaan dat thuisgebruikers zelden als non-admin werken, en daarom niet van de boven genoemde "workarounds" gebruik maken en gewoon proberen services te installeren, naar system32 en in de registry onder HKLM proberen te schrijven - wat als non-admin niet lukt. Malware die wel "slim" is en onder een non-admin account werkt, zal niet autostartend zijn onder andere accounts. Bij problemen kun je inloggen als admin en de nodige reparaties uitvoeren.
31-03-2009, 15:57 door Anoniem
Conficker is vooral een netwerk worm en het heeft als zodanig niets te maken met wie er ingelogd is. Het infecteert het geheugen via een lek in de Microsoft Windows Server Service (MS08-067).

Sommige versies gebruiken shares of connecties met netwerk drives om te verspreiden. Daarnaast gebruikt de worm scheduled tasks en autorun.inf files om na een herstart opnieuw te laden. Daar moet je wel voldoende rechten voor hebben.
31-03-2009, 19:59 door Sith Warrior
Dat laatste is helemaal waar, en trouwens in vista draait IE al in beperkte rechten modus, zelfs als je als admin ingelogd bent.
31-03-2009, 20:05 door Anoniem
Ik vind de reacties allemaal prima, maar stel mij toch de vraag, hoeveel mensen gaan er eigenlijk op zijn/haar PC, achter zoeken of weten wat echt goed patchen is.
Wat mij ook tegen het hoofd stoot is dat er geen enkel virusbestrijdingsbedrijf hier een 'deftige' oplossing voor heeft of een 'removal tool'.
De meeste mensen willen geen uitleg over wat het Conficker,Downup, Downadup of Kido is, maar willen gewoon weten hoe ze die rotzooi erafkrijgen indien ze besmet geraakt zijn op de één of andere manier.
01-04-2009, 07:38 door draw59
Door AnoniemIk vind de reacties allemaal prima, maar stel mij toch de vraag, hoeveel mensen gaan er eigenlijk op zijn/haar PC, achter zoeken of weten wat echt goed patchen is.
Wat mij ook tegen het hoofd stoot is dat er geen enkel virusbestrijdingsbedrijf hier een 'deftige' oplossing voor heeft of een 'removal tool'.
De meeste mensen willen geen uitleg over wat het Conficker,Downup, Downadup of Kido is, maar willen gewoon weten hoe ze die rotzooi erafkrijgen indien ze besmet geraakt zijn op de één of andere manier.



Op deze site http://www.bdtools.net/ kun je controleren of de pc besmet is en zo ja, een verwijderingstool wordt ook aangeboden.

Websites als VirusAlert.nl en Waarschuwingsdienst.nl bieden ook diverse mogelijkheden waarmee controles kunnen worden uitgevoerd.

Even op Google zoeken onder "Conficker verwijderen" of "Conficker removal tool" biedt ook vele oplossingen.
01-04-2009, 10:28 door Anoniem
Alvast bedankt voor uw reactie.
Ik haalde het tooltje even over de PC en er was geen besmetting te vinden.
(het http://www.bdtools.net/ dus)

Ook liet ik McAfee stinger er even op los.
http://vil.nai.com/vil/stinger/
http://www.zdnet.be/techzone.cfm?id=100518&mxp=150

Die heeft ook niets gevonden hier.
Merkwaardig feit was wel dit: Op één van de pc's geraakte Stinger niet voorbij 'cintime.dll' wat zich in
C:\Windows\ServicePackFiles\i386\lang\cintime.dll zou bevinden.
Seffens eens opnieuw laten overlopen...
01-04-2009, 11:05 door Bitwiper
Als aanvulling op de bijdrage van draw59 hierboven:

Door AnoniemIk vind de reacties allemaal prima, maar stel mij toch de vraag, hoeveel mensen gaan er eigenlijk op zijn/haar PC, achter zoeken of weten wat echt goed patchen is.
Log in als Admin en ga met IE naar [url=http://update.microsoft.com/]http://update.microsoft.com/[/url].

Wat mij ook tegen het hoofd stoot is dat er geen enkel virusbestrijdingsbedrijf hier een 'deftige' oplossing voor heeft of een 'removal tool'.
Op deze [url=http://www.dshield.org/diary.html?storyid=5860]DShield[/url] pagina (DShield is een zustersite van [url=http://isc.sans.org/]http://isc.sans.org/[/url] vind je een overzicht van Conficker removal tools en nog veel meer.

De meeste mensen willen geen uitleg over wat het Conficker,Downup, Downadup of Kido is, maar willen gewoon weten hoe ze die rotzooi erafkrijgen indien ze besmet geraakt zijn op de één of andere manier.
Dat kan men wel willen, maar er is wel meer in het leven waar je regelmatig moeite voor moet doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.