Hackers omzeilen Kill-bit beveiliging Windows
Voor veel beveiligingslekken in ActiveX controls geeft Microsoft het advies om een kill-bit in te stellen, zodat het kwetsbare control niet door Internet Explorer wordt geladen, maar hackers zullen morgen tijdens de Black Hat hackerconferentie aantonen dat ook deze bescherming is te omzeilen. De demonstratie zorgde ervoor dat de softwaregigant deze week met een noodpatch komt op het probleem op te lossen. Onderzoekers Mark Dowd, Ryan Smith en David Dewey hebben al een klein voorproefje van hun "Kill-bit Bypass Attack" online gezet.
Daarin wordt duidelijk dat het toch mogelijk is voor een drive-by aanval om een uitgeschakeld, kwetsbaar ActiveX control aan te roepen en te misbruiken. Volgens het trio is het lastig om te vertellen wanneer kill-bits een effect op de browser hebben. Het was Smith die het lek meer dan een jaar geleden aan Microsoft rapporteerde. Toch kon de softwaregigant de onderzoekers er niet van weerhouden deze week hun presentatie te geven.
"Dit heeft Microsoft echt laten schrikken", zegt Eric Schultze van Shavlik Technologies. Volgens hem is het probleem enorm, omdat ActiveX controls die niet zouden moeten worden uitgevoerd, toch uitgevoerd kunnen worden. Microsoft gebruikte onlangs een Kill-bit als patch in Security Bulletin MS09-032, wat volgens critici prutswerk was. "Door het bezoeken van een kwaadaardige website kan een aanvaller alles doen wat ze willen, ook al hebben ze de patch geïnstalleerd", besluit Schultze.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.