Microsoft ziet hackers IIS-lek misbruiken
Het ernstige beveiligingslek in Microsoft Internet Information Services dat dinsdag opdook en waar een dag later een waarschuwing voor verscheen, wordt inmiddels actief door hackers misbruikt, zo laat Microsoft weten. Vooralsnog zou het om "beperkte aanvallen" gaan. Daarnaast zijn er ook proof-of-concept exploits voor Denial of Service aanvallen op Windows XP en Windows Server 2003 verschenen. Voor deze exploits is alleen leestoegang tot de FTP service vereist, geen schrijftoegang. Een andere exploit maakt misbruik van FTP6 die standaard met Vista en Windows Server 2008 wordt geleverd. Microsoft merkt op dat FTP 7.5 inmiddels voor deze besturingssystemen is te downloaden. Deze versie is niet kwetsbaar.
Onverantwoord
Omdat het lek niet op een verantwoorde wijze bij Microsoft is gemeld, heeft dit er nu voor gezorgd dat klanten risico lopen, aldus de softwaregigant. "We blijven het op verantwoorde wijze melden van beveiligingslekken aanmoedigen." In dit geval zou de ontwikkelaar in kwestie als eerste moeten worden ingelicht. "Dit zorgt ervoor dat klanten een kwalitatief goede update voor beveiligingslekken krijgen, zonder dat ze worden blootgesteld aan kwaadaardige aanvallers terwijl de update in ontwikkeling is."
Tweede lek
Doordat de exploit als eerst op de Full-Disclosure mailingslist verscheen, zorgt dit voor "concurrerende prioriteiten" bij Microsoft. "We willen het probleem zo grondig als mogelijk onderzoeken. Op hetzelfde moment willen we onze klanten zo snel als mogelijk inlichten, zodat ze zichzelf kunnen beschermen", zegt Wade Hilmo. Hij merkt verder op dat Kingcope, de ontdekker van het eerste lek, inmiddels ook informatie over een tweede kwetsbaarheid heeft gepubliceerd. "Deze nieuwe melding betreft een verschillend probleem, de impact, mitigatie en workarounds, zijn bijna gelijk aan die van het eerste probleem, in ieder geval gelijk genoeg dat beide problemen in de advisory verwerkt zijn."
Zo ja, onder welk nummer en welke omschrijving?
En zo niet, waar is die FTP 7.5 voor Vista dan precies te vinden?
Zo ja, onder welk nummer en welke omschrijving?
En zo niet, waar is die FTP 7.5 voor Vista dan precies te vinden?
Heb je uberhaupt IIS draaien dan?
met wat zoeken is die FTP 7.5 wel te vinden.
Onder andere via Microsoft Security Advisory 975191, onder Workarounds, Upgrade to FTP Service 7.5.
http://www.microsoft.com/technet/security/advisory/975191.mspx
Echter, of die FTP 7.5 voor Vista inmiddels al is aangeboden via Windows Update, dat heb ik niet kunnen acherhalen.
Maar als ik die Security Advisory 975191 zo zie, dan lijkt het er sterk op dat die FTP 7.5 nog niet is aangeboden via Windows Update.
En de vraag van Anoniem 15.14 was een zeer goeie vraag:
Draai ik dan IIS?
Niet dat ik weet.
Maar ik ben vooral thuis in wat ik gebruik en ken, niet in alle zogenaamd handige extra's die Microsoft in zijn oneindige wijsheid heeft mee-ingebouwd in Windows (in dit geval Windows Vista) en die in sommige gevallen ook standaard ingeschakeld zijn.
Staat de Microsoft Internet Information Services en de FTP Service standaard ingeschakeld, of niet?
Via "Windows-onderdelen in- of uitschakelen" heb ik ondertussen kunnen achterhalen dat Internet Information Services niet is ingeschakeld en dus ook de FTP-opties niet.
Mooi, da's dan duidelijk, in mijn geval.
Security Advisory 975191 vermeldt dat de betreffende kwetsbaarheid geldt bij het draaien van FTP onder IIS, en dat een mogelijke workaroud het uitschakelen van die betreffende functie is.
Volkomen duidelijk dus.
Geen ingeschakelde IIS - geen kwetbaarheid.
Dankjewel voor het meedenken :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.