Microsoft verdedigt Windows 7 na nieuwe hackeraanval
De beveiligingsmaatregelen van Windows 7 zullen hackers niet voor altijd op afstand houden, dat zei Microsoft als reactie op de Pwn2Own hackerwedstrijd. Tijdens het evenement wisten beveiligingsonderzoekers Peter Vreugdenhil en 'Nils' het besturingssysteem via een lek in Internet Explorer 8 en Firefox 3.6 over te nemen. Daarbij omzeilden ze de Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) beveiligingsmaatregelen. Toch zijn dit twee belangrijke manieren om exploits te dwarsbomen, aldus IE product manager Pete LePage.
"Defense in depth technieken zijn niet bedoeld om alle aanvallen voor altijd te voorkomen, maar maken het lastig om een lek te misbruiken", zei LePage. DEP voorkomt het uitvoeren van aanvalscode in delen van het geheugen waar dit niet is toegestaan. ASLR wisselt belangrijke plekken in het geheugen, waardoor het lastiger voor een aanvaller is om te bepalen of de aanvalscode wordt uitgevoerd.
Kluis
LePage vergelijkt het met brandvrije kluizen. Zonder defense in depth kan een brandvrije kluis de inhoud voor zo'n twee uur beschermen. Een sterkere brandvrije kluis met verschillende defense in depth technieken garandeert nog steeds niet dat de inhoud voor altijd beschermd blijft, maar voegt wel behoorlijke tijd toe aan de bescherming ervan."
Volgens LePage blijven defense in depth features, zoals DEP en ASLR, dan ook een zeer effectief beveiligingsmechanisme." Toch had de Nederlandse onderzoeker Vreugdenhil er niet al teveel moeite mee. Binnen zes tot zeven uur had hij zijn exploit aan de praat. Hieronder een video van de aanval.
Het is onmogelijk om technieken zoals ASLR en DEP bulletproof te maken, het zijn hulpmiddelen om beter beschermd te zijn. Soms begin ik te twijfelen of hier alleen "kinderen" lid zijn van onder de 18. Geen enkel probleem maar, lees eerst een artikel en verdiep jezelf in de techniek voordat je voorbarige conclusies gaat trekken die nergens op slaan.
Ik wil SirDice in ieder geval wel bedanken voor zijn antwoord.
Over het algemeen wil ik hier nog aan toevoegen: dat het respect voor elkaar hier soms ver te zoeken is.
Meningen geven kun je ook op een correcte en beleefde manier.
Ik volg reeds geruime tijd ook deze website omdat ik in m'n job deze informatie broodnodig heb om me een beeld te kunnen vormen van de problematieken op gebied van beveiliging, de oplossingen en de bedreigingen. Ik merk zeer weinig meerwaarde in de reacties, ook weinig professionalisme en vooral een groot gehalte bashing (makkelijk om iets af te kraken).
Wat ik me afvroeg: zou bvb een Trend Micro Officescan met z'n HIPS module dergelijke exploit tegen houden of niet?
Zijn er gegevens gekend over hoe die aanval plaats vond? Onder Administrator rechten of een gewone account? Stond er een "enterprise" Antivirus op dit toestel?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.