image

Beveiligingslek laat Windows 7 en Vista crashen

dinsdag 8 september 2009, 10:11 door Redactie, 17 reacties

Amper een dag voor Microsoft's patchdinsdag heeft een beveiligingsonderzoeker een exploit gepubliceerd waarmee aanvallers op afstand en zonder enige interactie van gebruikers, Windows 7 en Vista systemen kunnen laten crashen. Beide besturingssystemen zijn van een nieuwe SMB versie voorzien, genaamd SMB2. Via een geprepareerde SMB header is het mogelijk om een Blue Screen of Death te veroorzaken. Volgens onderzoeker Laurent Gaffie die het probleem ontdekte en de proof-of-concept exploitcode publiceerde, gaat het om een "medium/high" lek. Windows XP en 2000 zijn niet kwetsbaar, aangezien die niet over de SRV2.sys driver beschikken.

Oplossing
Gebruikers van Windows 7 en Vista, en dan ook alle versies, krijgen het advies om de SMB feature en poorten te sluiten totdat Microsoft het lek gepatcht heeft. De softwaregigant zou al zijn ingelicht, maar wanneer er een update verschijnt is onbekend. Mogelijk loopt ook Windows Server 2008 risico, aangezien die ook de kwetsbare driver gebruikt, maar Gaffie heeft dit niet kunnen testen. Tyler Reguly van nCircle laat weten dat het blokkeren van poorten 139 en 445 werkt. Daarnaast hebben gebruikers de optie om de server service uit te schakelen.

Reacties (17)
08-09-2009, 10:27 door cpt_m_
aanvallers op afstand........

ik neem aan dat ze hiermee niet bedoelen via de openbare snelweg want ik mag toch aannemen dat de poorten 139 en 445 standaard gesloten zijn op de modem/router.

Ik mag dan toch aannemen dat de geprepareerde SMD header vanuit het gesloten netwerk uitgevoerd moet worden.
Neemt natuurlijk niet weg dat het een lek is die opgelost moet worden.
08-09-2009, 10:41 door Anoniem
...moet je wel eerst file sharing aanzetten...
08-09-2009, 11:32 door [Account Verwijderd]
[Verwijderd]
08-09-2009, 11:33 door Anoniem
Door Peter V:
Door Anoniem: ...moet je wel eerst file sharing aanzetten...
File sharing staat bij mij standaard uit.
...dus ben je niet vatbaar voor dit lek :)
08-09-2009, 11:48 door spatieman
SMB ??? zitten er samba isues in, in windows 7.
08-09-2009, 12:00 door Anoniem
Door spatieman: SMB ??? zitten er samba isues in, in windows 7.
Server Message Blocks ook goed :+


Echter kan je afaik SMBv2 in het registry killen.
08-09-2009, 12:11 door cpt_m_
Door spatieman: SMB ??? zitten er samba isues in, in windows 7.

google --> site:microsoft.com smb
08-09-2009, 15:06 door Anoniem
Dit geldt trouwens niet alleen voor dit gevaar, over het algemeen is het open hebben staan van poort 139 nogal gevaarlijk...
08-09-2009, 16:18 door Anoniem
Heb de exploit net geprobeerd. Crashte mijn Vista virtual machine die ik als test machine gebruik direct. (Blue Screen)
Dit is een ernstige zaak. Microsoft moet hier zo snel mogelijk iets aan doen voor het uit de hand loopt.
Exploit schijnt het ook te doen op Server 2008.
08-09-2009, 16:54 door cpt_m_
Door Anoniem: Heb de exploit net geprobeerd. Crashte mijn Vista virtual machine die ik als test machine gebruik direct. (Blue Screen)
Dit is een ernstige zaak. Microsoft moet hier zo snel mogelijk iets aan doen voor het uit de hand loopt.
Exploit schijnt het ook te doen op Server 2008.

Zeker een ernstige zaak MAAR:

- File sharing staat bij mij standaard uit zoals al gepost dan is er geen gevaar
- Modem/router zo ingesteld dat poort 139 & 445 niet bereikbaar zijn dan is er ook geen gevaar
08-09-2009, 17:24 door Anoniem
www.root.cd geeft aan dat je ook remote code execution vulnerability is. Daar is ook link naar een exploits ook voor metasploit e.d.
08-09-2009, 17:59 door Anoniem
Ik denk dat dit lek geen invloed heeft als je hulp op afstand uitschakeld, en als je geen bestanden deeld.
Maar goed ik denk dat er wel snel een extra patch zal komen dit lek te dichten.
Bij Linux hebben ze geen last van dit lek,want alles werkt daar anders.
Linux is voor netwerken gewoon veiliger dan Windows,als je een server hebt.
Voor interne netwerken maakt het geloof ik weinig uit.
08-09-2009, 21:28 door Anoniem
Werkt niet naar een "Microsoft Windows [Version 6.1.7227] "
08-09-2009, 23:56 door Anoniem
Door cpt(m):
Door Anoniem: Heb de exploit net geprobeerd. Crashte mijn Vista virtual machine die ik als test machine gebruik direct. (Blue Screen)
Dit is een ernstige zaak. Microsoft moet hier zo snel mogelijk iets aan doen voor het uit de hand loopt.
Exploit schijnt het ook te doen op Server 2008.

Zeker een ernstige zaak MAAR:

- Modem/router zo ingesteld dat poort 139 & 445 niet bereikbaar zijn dan is er ook geen gevaar


niet van buiten. tenzij je wifi hebt. of een groter netwerk dan die twee thuiscomputers. of een medewerker die graag ziet dat jij je werk niet doet. of of of

de perimeter van je netwerk moet je zeker dicht zetten, maar daar houdt het nog zekerder niet op. Belachelijk als hier niet per ommegaande een patch voor uitkomt.
09-09-2009, 07:05 door Anoniem
Door cpt(m):
Door Anoniem: Heb de exploit net geprobeerd. Crashte mijn Vista virtual machine(...) direct. (Blue Screen)
Dit is een ernstige zaak.
Zeker een ernstige zaak MAAR:
- File sharing staat bij mij standaard uit zoals al gepost dan is er geen gevaar
- Modem/router zo ingesteld dat poort 139 & 445 niet bereikbaar zijn dan is er ook geen gevaar
BSOD in een virtual machine??? Is dat zelfs al mogelijk???... %-|
139 & 445 schakel je toch sowieso uit, heden ten dage???
File & printer sharing moet kunnen op en intern netwerk, door de bank genomen... ??? ...

Ilja. _\\//
09-09-2009, 08:36 door [Account Verwijderd]
Is toch redelijk ernstig hoor. Als ik me als hacker wil "amuseren" dan schrijf ik een klein infectie programma'tje dat binnenwandelt via http (genoeg idioten die zomaar op een link klikken of dirty sites bezoeken). Eens het op de LAN zit en merkt dat het in een AD structuur zit gaat het gewoon de rest van het netwerk plat leggen. Voor bedrijven die Windows Server 2008 gebruiken kan het een nachtmerrie worden à la Blaster of Sasser. Telkens je die W2008 terug boot legt een bot op je netwerk hem ogenblikkelijk lam...
12-11-2009, 16:08 door Anoniem
Gewoon geen RC van Win7 draaien. Dus iedereen die een RTM van Win7 hebben, hebben er geen last van.

Zelf heb ik een Win7 64bit RTM en met Firewall uit en Filesharing aan, werkt deze code niet.

Je moet geen Vista-meuk draaien, want dan ben je het bokkie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.