Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Hitman Pro LNK-lek bescherming
30-07-2010, 14:31 door Spiff has left the building, 17 reacties
Zoals Anoniem gisteravond meldde in de thread van de "Ben jij al beschermd tegen het Windows LNK-lek?" poll,
ook Hitman Pro 3.5.6 build 108 biedt nu bescherming tegen het LNK beveiligingslek.
Zie:
http://www.surfright.nl/nl/support/fix-2286198
en
http://www.wilderssecurity.com/showthread.php?p=1719630#post1719630
en de rest van die thread.
De bescherming die Hitman Pro 3.5.6 build 108 biedt tegen het LNK beveiligingslek is mijns inziens stukken beter dan die van Microsoft, Sophos en GDATA.
Zie de tabel in de informatie van Surfright,
http://www.surfright.nl/nl/support/fix-2286198
In eerste instantie was versie 3.5.6.108 nog een beta,
maar inmiddels wordt 3.5.6 build 108 ook via de reguliere update en download aangeboden.
N.B.
Om de betreffende bescherming van Hitman Pro 3.5.6.108 tegen het LNK beveiligingslek te benutten, is het belangrijk eerst de Sophos, GDATA, of Microsoft fix uit te schakelen.
ook Hitman Pro 3.5.6 build 108 biedt nu bescherming tegen het LNK beveiligingslek.
Zie:
http://www.surfright.nl/nl/support/fix-2286198
en
http://www.wilderssecurity.com/showthread.php?p=1719630#post1719630
en de rest van die thread.
De bescherming die Hitman Pro 3.5.6 build 108 biedt tegen het LNK beveiligingslek is mijns inziens stukken beter dan die van Microsoft, Sophos en GDATA.
Zie de tabel in de informatie van Surfright,
http://www.surfright.nl/nl/support/fix-2286198
In eerste instantie was versie 3.5.6.108 nog een beta,
maar inmiddels wordt 3.5.6 build 108 ook via de reguliere update en download aangeboden.
N.B.
Om de betreffende bescherming van Hitman Pro 3.5.6.108 tegen het LNK beveiligingslek te benutten, is het belangrijk eerst de Sophos, GDATA, of Microsoft fix uit te schakelen.
Reacties (17)
"De bescherming die Hitman Pro 3.5.6 build 108 biedt tegen het LNK beveiligingslek is mijns inziens stukken beter dan die van Microsoft, Sophos en GDATA. "
Leg eens uit waarom je dat vind.
Leg eens uit waarom je dat vind.
30-07-2010, 15:50 door
Spiff has left the building
Aan Anoniem van 14.55 uur -
Ik baseer dat op de informatie van Surfright, waarvan ik de link al in de eerste versie van mijn bericht aanbood.
Voor de duidelijkheid heb mijn oorspronkelijke bericht aangepast en verwijs ik na mijn uitspraak dat de Hitman Pro oplossing mijns inziens beter is nu naar de tabel in die informatie van Surfright.
Concreet:
1. De Hitman Pro oplossing biedt bescherming tegen schadelijke snelkoppelingen op lokale stations, evenals de Microsoft Fix. De Sophos en GDATA oplossingen bieden niet die bescherming.
2. De Hitman Pro oplossing biedt bescherming tegen schadelijke pif-bestanden, evenals de Microsoft Fix. De Sophos en GDATA oplossingen bieden niet die bescherming.
3. De Hitman Pro oplossing behoudt evenals de Sophos en de GDATA oplossingen de weergave van pictogrammen voor snelkoppelingen naar programma's.
Zie de tabel in de informatie van Surfright,
http://www.surfright.nl/nl/support/fix-2286198
Ik baseer dat op de informatie van Surfright, waarvan ik de link al in de eerste versie van mijn bericht aanbood.
Voor de duidelijkheid heb mijn oorspronkelijke bericht aangepast en verwijs ik na mijn uitspraak dat de Hitman Pro oplossing mijns inziens beter is nu naar de tabel in die informatie van Surfright.
Concreet:
1. De Hitman Pro oplossing biedt bescherming tegen schadelijke snelkoppelingen op lokale stations, evenals de Microsoft Fix. De Sophos en GDATA oplossingen bieden niet die bescherming.
2. De Hitman Pro oplossing biedt bescherming tegen schadelijke pif-bestanden, evenals de Microsoft Fix. De Sophos en GDATA oplossingen bieden niet die bescherming.
3. De Hitman Pro oplossing behoudt evenals de Sophos en de GDATA oplossingen de weergave van pictogrammen voor snelkoppelingen naar programma's.
Zie de tabel in de informatie van Surfright,
http://www.surfright.nl/nl/support/fix-2286198
30-07-2010, 16:48 door
Erik Loman
De exploit zit in shell32.dll die LoadLibrary gebruikt om een icon uit een extern DLL-bestand te lezen.
Omdat LoadLibrary dit DLL-bestand met EXECUTE rechten inleest en tevens dllmain() in het DLL-bestand aanroept, wordt er code uitgevoerd tijdens het inlezen van een icoon!
De oplossing in Hitman Pro vangt op het juiste punt de LoadLibrary functie af en zorgt ervoor dat het DLL-bestand ingelezen wordt zonder EXECUTE rechten. Hierdoor wordt het icoon wel geladen maar wordt er geen code uitgevoerd (de exploit wordt dus niet getriggerd).
Voordeel van deze methode is dat er voor de gebruiker niets veranderd (functioneel werkt alles zoals voor de beveiliging) en verliezen sommige legitieme snelkoppelingen (zoals snelkoppelingen naar VPN verbindingen) hun ikoon niet en werkt de oplossing ook op lokale schijven.
Daarnaast werkt de oplossing ook op Windows 2000.
Omdat LoadLibrary dit DLL-bestand met EXECUTE rechten inleest en tevens dllmain() in het DLL-bestand aanroept, wordt er code uitgevoerd tijdens het inlezen van een icoon!
De oplossing in Hitman Pro vangt op het juiste punt de LoadLibrary functie af en zorgt ervoor dat het DLL-bestand ingelezen wordt zonder EXECUTE rechten. Hierdoor wordt het icoon wel geladen maar wordt er geen code uitgevoerd (de exploit wordt dus niet getriggerd).
Voordeel van deze methode is dat er voor de gebruiker niets veranderd (functioneel werkt alles zoals voor de beveiliging) en verliezen sommige legitieme snelkoppelingen (zoals snelkoppelingen naar VPN verbindingen) hun ikoon niet en werkt de oplossing ook op lokale schijven.
Daarnaast werkt de oplossing ook op Windows 2000.
31-07-2010, 00:00 door
Spiff has left the building
Dank je voor de uitleg en de aanvullingen, Erik Loman.
Kun je misschien ook iets zeggen over het volgende?
Peter V heeft het volgende gepost:
http://www.security.nl/artikel/34033/1/Maandag_a.s._PATCH_LNK-lek.html
Op de Surfright site lees ik:
http://www.surfright.nl/nl/support/fix-2286198
Kun je misschien ook iets zeggen over het volgende?
Peter V heeft het volgende gepost:
http://www.security.nl/artikel/34033/1/Maandag_a.s._PATCH_LNK-lek.html
Maandag a.s. PATCH LNK-lek
Op de site van het SANS-instituut is vandaag te lezen dat er een out-of-band patch gaat komen voor het LNK-lek in Windows.
Link: http://www.dshield.org/diary.html?storyid=9304
De workarounds en tools kunnen het beste worden teruggedraaid, voordat de patch geïnstalleerd wordt.
Erik, kun je in relatie tot Hitman Pro aangeven of het het verstandigst is om voorafgaand aan die Windows-patch de LNK-lek bescherming door Hitman Pro uit te schakelen? Of bestaat daartoe geen enkele noodzaak?Op de site van het SANS-instituut is vandaag te lezen dat er een out-of-band patch gaat komen voor het LNK-lek in Windows.
Link: http://www.dshield.org/diary.html?storyid=9304
De workarounds en tools kunnen het beste worden teruggedraaid, voordat de patch geïnstalleerd wordt.
Op de Surfright site lees ik:
http://www.surfright.nl/nl/support/fix-2286198
Zodra Microsoft een definitieve oplossing voor het probleem heeft uitgebracht zal Hitman Pro worden bijgewerkt en de tijdelijke bescherming automatisch uitschakelen.
Alvast hartelijk dank.
31-07-2010, 10:57 door
Erik Loman
Hitman Pro LNK Exploit Protection hoeft niet eerst uitgeschakeld te worden voordat Microsoft's patch geïnstalleerd wordt. Naar alle waarschijnlijkheid wordt het shell32.dll bestand gepatcht omdat daar de vulnerability in zit.
De workarounds (Microsoft's Fix-it en de tools van Sophos, G Data en SurfRight) werken allemaal met een afwijkende Icon Handler. Ik denk niet dat Microsoft z'n patch blokkeert omdat er een afwijkende Icon Handler geïnstalleerd is. Microsoft's eigen Fix-it gebruikers zouden immers hierdoor de patch niet krijgen.
De Hitman Pro LNK Exploit Protection wordt automatisch uitgeschakeld wanneer Microsoft's patch is aangebracht.
Meer informatie over de interne werking van Hitman Pro LNK Exploit Protection is hier te lezen:
http://hitmanpro.wordpress.com
De workarounds (Microsoft's Fix-it en de tools van Sophos, G Data en SurfRight) werken allemaal met een afwijkende Icon Handler. Ik denk niet dat Microsoft z'n patch blokkeert omdat er een afwijkende Icon Handler geïnstalleerd is. Microsoft's eigen Fix-it gebruikers zouden immers hierdoor de patch niet krijgen.
De Hitman Pro LNK Exploit Protection wordt automatisch uitgeschakeld wanneer Microsoft's patch is aangebracht.
Meer informatie over de interne werking van Hitman Pro LNK Exploit Protection is hier te lezen:
http://hitmanpro.wordpress.com
31-07-2010, 11:26 door
Spiff has left the building
Duidelijk, Erik, vooral met de informatie erbij uit
http://hitmanpro.wordpress.com/2010/07/30/hitman-pro-lnk-exploit-protection-released/
en http://hitmanpro.wordpress.com/2010/07/31/how-lnk-exploit-protection-works/
Heel hartelijk bedankt.
http://hitmanpro.wordpress.com/2010/07/30/hitman-pro-lnk-exploit-protection-released/
en http://hitmanpro.wordpress.com/2010/07/31/how-lnk-exploit-protection-works/
Heel hartelijk bedankt.
31-07-2010, 12:18 door
[Account Verwijderd]
[Verwijderd]
31-07-2010, 13:18 door
Spiff has left the building
Dank je, Peter.
Ik had in deze thread vandaag om 00.00 uur al naar jouw bericht verwezen, in verband met mijn vraag aan Erik Loman.
In je geupdate bericht zie ik dat naast de eerdere informatie van SANS nu ook The Microsoft Security Response Center op de TechNet Blogs de patch voor aankomende maandag aankondigt:
Out of Band Release to address Microsoft Security Advisory 2286198
http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx
Nogmaals dank, Peter.
Ik had in deze thread vandaag om 00.00 uur al naar jouw bericht verwezen, in verband met mijn vraag aan Erik Loman.
In je geupdate bericht zie ik dat naast de eerdere informatie van SANS nu ook The Microsoft Security Response Center op de TechNet Blogs de patch voor aankomende maandag aankondigt:
Out of Band Release to address Microsoft Security Advisory 2286198
http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx
Nogmaals dank, Peter.
01-08-2010, 11:10 door
Zipper306
Zolang Hitman Prul, nog steeds informatie naar buiten stuurt, vertrouw ik dit programma, nog minder dan google.
01-08-2010, 11:12 door
Spiff has left the building
Aan de anoniemen die negatieve ratings uitdelen,
Het zou leuk zijn wanneer jullie niet alleen ratings zouden uitdelen, maar ook zouden reageren met een bijdrage om jullie mening te geven, zodat we weten waaróm jullie vinden dat bepaalde berichten een negatieve rating verdienen.
Bedankt.
Het zou leuk zijn wanneer jullie niet alleen ratings zouden uitdelen, maar ook zouden reageren met een bijdrage om jullie mening te geven, zodat we weten waaróm jullie vinden dat bepaalde berichten een negatieve rating verdienen.
Bedankt.
02-08-2010, 19:38 door
Spiff has left the building
Opvallend:
Na het binnenhalen en installeren van Windows Update KB2286198 heb ik gekeken hoe Hitman Pro reageert wanneer de optie "Bescherming tegen LNK beveiligingslek (kb 2286198)" wordt uitgevinkt.
Hitman Pro geeft nu opnieuw aan: "Uw computer is kwetsbaar voor aanvallen die een beveiligingslek in Windows Shell misbruiken."
Een reboot verandert daar niets aan.
Da's merkwaardig.
Herkent Hitman Pro 3.5.6.108 de patch door de Microsoft update nog niet?
Of fixt de Microsoft update iets niet dat wél gefixt werd door de oplossing van Hitman Pro, en waarschuwt het programma daarom nog steeds?
Of deugt de Microsoft update mogelijk niet?
Na het binnenhalen en installeren van Windows Update KB2286198 heb ik gekeken hoe Hitman Pro reageert wanneer de optie "Bescherming tegen LNK beveiligingslek (kb 2286198)" wordt uitgevinkt.
Hitman Pro geeft nu opnieuw aan: "Uw computer is kwetsbaar voor aanvallen die een beveiligingslek in Windows Shell misbruiken."
Een reboot verandert daar niets aan.
Da's merkwaardig.
Herkent Hitman Pro 3.5.6.108 de patch door de Microsoft update nog niet?
Of fixt de Microsoft update iets niet dat wél gefixt werd door de oplossing van Hitman Pro, en waarschuwt het programma daarom nog steeds?
Of deugt de Microsoft update mogelijk niet?
02-08-2010, 19:56 door
Erik Loman
Zoals gemeld is nu pas de informatie bekend hoe de patch van Microsoft te herkennen is. We zijn nu bezig met een update van Hitman Pro om de patch te detecteren waardoor de melding niet meer verschijnt. In geen geval loopt de computer gevaar want zowel LNK Exploit Protection als de zojuist verschenen patch van Microsoft beveiligd tegen de exploit.
02-08-2010, 20:02 door
Spiff has left the building
Hartelijk dank voor je reactie, Erik Loman.
Duidelijk.
Duidelijk.
03-08-2010, 18:51 door
Erik Loman
Hitman Pro build 109 is zojuist online. De release notes:
* Added universal detection of the LNK vulnerability.
* Added automatic disabling of the Hitman Pro LNK Exploit Protection when Windows is no longer vulnerable for attacks abusing the LNK vulnerability. Ex. when Security Update KB2286198 (MS10-046) is installed.
Note: Since Microsoft no longer supports Windows 2000 and Windows XP RTM, SP1 and SP2, the Hitman Pro LNK Exploit Protection remains available for these operating systems.
Hitman Pro gebruikers worden automatisch bijgewerkt naar de nieuwste versie.
* Added universal detection of the LNK vulnerability.
* Added automatic disabling of the Hitman Pro LNK Exploit Protection when Windows is no longer vulnerable for attacks abusing the LNK vulnerability. Ex. when Security Update KB2286198 (MS10-046) is installed.
Note: Since Microsoft no longer supports Windows 2000 and Windows XP RTM, SP1 and SP2, the Hitman Pro LNK Exploit Protection remains available for these operating systems.
Hitman Pro gebruikers worden automatisch bijgewerkt naar de nieuwste versie.
03-08-2010, 19:05 door
Spiff has left the building
Ik had een uurtje of wat geleden de update naar de nieuwe build al gezien.
Netjes.
Dankjewel, Erik.
Netjes.
Dankjewel, Erik.
04-08-2010, 10:27 door
Spiff has left the building
Door Anoniem: Hitman Pro is brol
Net zo gemakkelijk kan ik zonder enige onderbouwing zeggen "Anoniem is brol".Dat is net zomin interessant als wat jij roept.
Zomaar dom wat roepen is erg gemakkelijk.
Met onderbouwing waarom je iets vindt wordt een reactie een stuk interessanter.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.