Microsoft noodpatch voor ernstig Windows-lek *update*
Microsoft zal vandaag een noodpatch voor een ernstig lek in Windows uitbrengen, waardoor aanvallers hun rechten op het systeem kunnen verhogen. De kwetsbaarheid werd gisteren al door Microsoft gerapporteerd in een advisory. Het lek bevindt zich in het Microsoft .NET Framework en laat aanvallers op eenvoudige wijze webservers platleggen. De softwaregigant gaf in de advisory een tijdelijke oplossing en liet weten dat het de noodzaak voor een noodpatch zou onderzoeken.
Gisterenavond werd besloten dat dit vanwege de ernst van de kwetsbaarheid toch nodig was. Het lek bevindt zich in alle ondersteunde Windows-versie en laat een aanvaller ook zijn rechten verhogen. In eerste instantie stelde Microsoft nog vast dat een aanvaller alleen een denial of service kon veroorzaken.
Niet alleen is dit de eerste noodpatch van Microsoft dit jaar, het zal ook de honderdste beveiligingsupdate zijn die de softwaregigant uitbrengt. Tijdens de patchcyclus van december zou het dit aantal al hebben bereikt, ware het niet dat een update voor een SSL-probleem wegens kwaliteitsredenen werd teruggetrokken. De update wordt vanaf vanavond aangeboden.
Update 14:47
Er lijkt enige verwarring te zijn of de vanavond aangekondigde update voor het ASP-lek is. Via Twitter meldt Microsoft dat er een "out-of-band security update" voor Security Advisory 2659883 komt. Dat is deze advisory, die voor ASP.NET lek waarschuwt. De out-of-band patch is voor een ernstig-lek waardoor een aanvaller zijn rechten kan verhogen, terwijl het ASP-lek een Denial of Service conditie betreft.
Als dat zo is dan is http://www.security.nl/artikel/39608/1/Microsoft_onderzoekt_Windows_7_Safari-lek_%28video%29.html waarschijnlijk de aanleiding. Vaak zit zo'n kwetsbaarheid dieper dan je in eerste instantie verwacht en kan het op meerdere manieren worden getriggered. Via Safari wellicht alleen een BSOD, maar onderzoek kan hebben uitgewezen dat op andere wijze onbedoelde code execution (met systeemrechten) mogelijk is.
Het derde comment van Alex onderaan http://isc.sans.edu/diary/New+Vulnerability+in+Windows+7+64+bit/12238 verwijst naar https://bugzilla.mozilla.org/show_bug.cgi?id=320430, een in 2005 al gesignaleerde BSOD, deze zou hier ook mee te maken kunnen hebben.
Er is echter wel meer aan de hand dan "slechts" een DoS kwetsbaarheid in ASP .NET: http://technet.microsoft.com/en-us/security/bulletin/ms11-100 repareert in totaal vier verschillende kwetsbaarheden in .NET. Wel lijkt het in alle gevallen om patches te gaan die t/m critical zijn voor webservers (voor zover ik zie is er geen noodzaak om PC's -die geen IIS met ASP.NET draaien- versneld te patchen).
Bij CVE-2011-3414 gaat het om de al eerder benoemde Denial of Service kwetsbaarheid in hashtables in de .NET bibliotheken waardoor met name ASP .NET websites kwetsbaar zijn.
Bij CVE-2011-3415 betreft een potentieel phishing probleem in ASP.NET: "return-URL's" worden (onvoldoende) gevalideerd. Return-URL's worden gebruikt als je direct een webpagina opent waarvoor je eerst op de betreffende website moet inloggen. De website stuurt je dan naar de logon pagina maar stuurt tevens de URL waar je eigenlijk naar toe wil mee (zodat de webbrowser deze onthoudt). Kennelijk kan een aanvaller bijv. in een phishing mail een zodanige URL construeren dat je naar de login pagina van een legitieme site (bijv. van je bank) wordt gestuurd, en direct na inloggen naar een website naar keuze van de aanvaller. Als ik het goed begrijp is ook dit een server-only kwetsbaarheid, maar helemaal zeker weten doe ik dat niet.
Zowel CVE-2011-3416 als CVE-2011-3417 betreffen kwetsbaarheden in ASP.NET waardoor een aanvaller volledige toegang kan krijgen tot een bestaand web account (bijv. webmail) van een ander.
Ik vind de term "elevation of privilege" onjuist in deze context. Microsoft gebruikt deze term kennelijk omdat een aanvaller zelf een account op de betreffende ASP .NET site aan moet maken (of al hebben) om een ander account over te kunnen nemen, maar in de praktijk is dat een stuk simpeler dan een account op een systeem of in een domein aanmaken.
Affijn ik ga verder lezen om beter te snappen wat er aan de hand is.
Wijziging 2011-12-30 00:21 - diverse aanvullingen/correcties.
http://blog.eeye.com/vulnerability-management/hashdos
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.