image

Stappenplan voor nieuw IE-lek

dinsdag 18 september 2012, 11:45 door Redactie, 30 reacties

Er is een nieuw beveiligingslek in Internet Explorer 6, 7, 8 en 9 ontdekt dat aanvallers actief misbruiken, maar een update is nog altijd niet beschikbaar. In afwachting van een beveiligingspatch heeft Microsoft een aantal 'workarounds' gegeven, die Security.nl in dit stappenplan behandelt. Microsoft heeft dit keer niet voor een 'fix-it' oplossing gekozen, waarbij gebruikers op een knop kunnen klikken.

IE-gebruikers die zich willen beschermen moeten verschillende instellingen aanpassen en de Enhanced Mitigation Experience Toolkit gebruiken. Dit programma herkent en stopt verschillende aanvalstechnologieën. Dit is met name handig op oudere Windows-versies of voor programma's die geen bescherming tegen dit soort aanvallen bieden. In dit geval is de oplossing ook van toepassing op IE9 met Windows 7.

Stap 1: Download EMET via deze link. (Microsoft adviseert om EMET 3.0 te downloaden, maar er is ook een bètaversie van EMET 3.5 beschikbaar, die meer aanvalstechnieken herkent.)


Stap 2: Installeer EMET.


Stap 3: Start EMET via het Startmenu.


Stap 4: Kies rechtsonder de optie 'Configure Apps'.


Stap 5: Kies add.


Stap 6: Voeg vervolgens Internet Explorer toe, te vinden in:
- C:\Program Files (x86)\Internet Explorer\iexplore.exe (32-bit versie)
- C:\Program Files\Internet Explorer\iexplore.exe (64-bit versie)


Stap 7: iexplore.exe is nu als app toegevoegd. Klik vervolgens op ok.


Internet Explorer instellingen
Voor wie geen EMET wil gebruiken heeft Microsoft ook nog een andere oplossing, namelijk het aanpassen van de beveiligingszone. Hierdoor worden ActiveX controls en Active Scripting geblokkeerd. Deze maatregel heeft echter grote invloed op veel websites, aangezien scripts en plug-ins niet meer werken. Het kan dan gaan om online webwinkels en internetbankieren, zo waarschuwt Microsoft zelf.

De onderstaande instellingen gelden voor alle websites. Microsoft adviseert in de advisory om voor betrouwbare websites een uitzondering te maken, zodat die wel werken. Het probleem is echter dat als aanvallers deze sites weten te hacken, de aanval nog steeds wordt uitgevoerd.

Stap 1: Ga in Internet Explorer naar het menu "Extra" en kies vervolgens "Internetopties".


Stap 2: Ga naar de tab "Beveiliging".


Stap 3: Zorg dat de Internet zone is geselecteerd (standaard het geval). Zet nu de schuif bij "Beveiligingsniveau voor deze zone" helemaal omhoog naar 'Hoog'. Klik vervolgens op oké.


Alternatieve browser
Als laatste is er natuurlijk nog altijd de mogelijkheid om een alternatieve browser te gebruiken, zoals Mozilla Firefox of Opera.

Update
De enige echte oplossing is een beveiligingsupdate. Zodra die beschikbaar is laten we dit natuurlijk meteen weten. Wanneer deze update verschijnt is voornamelijk afhankelijk van het aantal IE-gebruikers dat via het lek wordt aangevallen.

Als het tot enkele gerichte aanvallen beperkt blijft, zoals nu waargenomen, is de kans groot dat de update tijdens de patchcyclus van oktober verschijnt, op 9 oktober om precies te zijn. Worden er meer aanvallen waargenomen, dan is een noodpatch waarschijnlijk.

Reacties (30)
18-09-2012, 11:52 door jetstreak
Ik mis de stap kiezen voor een andere browser!
18-09-2012, 11:58 door Anoniem
in veel gevallen de makkelijkste oplossing alleen sommige wan-applicaties willen alleen maar werken met IE :(
18-09-2012, 11:58 door [Account Verwijderd]
[Verwijderd]
18-09-2012, 11:59 door Spiff
Door jetstreak:
Ik mis de stap kiezen voor een andere browser!
Onderaan, onder "Alternatieve browser".
18-09-2012, 12:34 door wallum
Door Peter V: En men vergeet dat bij EMET 3.0 ook legitieme software niet meer opstart. Met EMET 2.0 heb je daar geen last van.

Wanneer een Canon EOS camera via de USB-kabel wordt aangesloten, zie je geen opstartscherm meer. Je kunt dit wel ondervangen door naar Mijn computer etc. te gaan en daar het pictogram aan te klikken voor de camera, maar erg gebruiksvriendelijk is het niet geworden.

Daarom is het tijdelijk overstappen naar een andere browser (Google Chrome bijvoorbeeld) m.i. een betere keuze.

Overstappen op een andere browser gaat niet zo makkelijk in een organisatie met 70 medewerkers waaronder veel computeranalfabeten (die bijv. de browser 'het internet' nomen). IE9 blijft nodig voor een aantal specifieke toepassingen die niet werken op andere browsers.
EMET vind ik ook een risico om zomaar op het systeem te zetten; ik ken het niet en mogelijk geeft het conflicten met Citrix oid (dat software als Canon niet automatisch opstart bij het aansluiten van devices is niet zo´n punt).

Ik ben geneigd te wachten op een patch van Microsoft die hopelijk deze week komt.
18-09-2012, 12:45 door [Account Verwijderd]
[Verwijderd]
18-09-2012, 13:36 door Anoniem
Door wallum:

Overstappen op een andere browser gaat niet zo makkelijk in een organisatie met 70 medewerkers waaronder veel computeranalfabeten (die bijv. de browser 'het internet' nomen). IE9 blijft nodig voor een aantal specifieke toepassingen die niet werken op andere browsers.

Echt waar? IE9? Ik had toch echt gedacht (gehoopt) dat de amateurs die IE6-specifieke toepassingen hadden gemaakt in het verleden ondertussen hun lesje hadden geleerd... Om nog maar te zwijgen over de organisaties die dit soort technology lock-ins accepteren. Daar heb je vooral jezelf mee als je dadelijk weer niet kunt upgraden omdat MS de nieuwe versies van IE meer standaard-correct maakt, met alle beveiligingsrisico's van dien.
18-09-2012, 13:41 door Anoniem
Reactie op Peter V, u haalt daar ook juist de meest dramatische software uit en dat is die van Canon.
Hoeveel mensen knoeiden al niet met printersoftware, camera,scanner software verschil van usb kabel om sommige Canon toestellen in gang te krijgen.
Ik wil met deze opmerking geen steen werpen naar Canon hoor want ik heb zelf Canon toestellen.
Maar sommige upgrades/dates zijn verschrikkelijk onduidelijk voorgesteld op hun site.
Overschakelen naar Google Chrome lijkt mij ver gezocht.
Ik ga dit nog wel eens verder uittesten als thuisgebruiker dan wel. Voor bedrijven ligt dit wel iets gevoeliger dacht ik.
18-09-2012, 14:23 door Anoniem
"Overstappen op een andere browser gaat niet zo makkelijk in een organisatie met 70 medewerkers waaronder veel computeranalfabeten."


Uhm, dus jullie nemen digibeten aan, leiden ze niet op.
En gaan dan klagen ook nog dat het niet allemaal zo makkelijk is.

Is dit niet de reden waarom "Hackers" het ook steeds weer lukt en er dus geld mee verdienen ?
Dankzij schapen herders zoals jouw....
18-09-2012, 14:59 door Booze
Door Anoniem: "Overstappen op een andere browser gaat niet zo makkelijk in een organisatie met 70 medewerkers waaronder veel computeranalfabeten."


Uhm, dus jullie nemen digibeten aan, leiden ze niet op.
En gaan dan klagen ook nog dat het niet allemaal zo makkelijk is.

Is dit niet de reden waarom "Hackers" het ook steeds weer lukt en er dus geld mee verdienen ?
Dankzij schapen herders zoals jouw....

Dat is lekker makkelijk hoor, de it-er de schuld geven van de onkunde van de gebruikers. Blijkbaar geen ervaring met eindgebruikers ofzo, en de manier waarop directies op dit soort zaken reageren (die meestal net zo digibeet zijn). De meeste gebruikers weten niet wat ze doen, ze kunnen alleen een truukje wat teovallig hun werkt is.

Ik zit wat dat betreft met 150 users in het zelfde schuitje, maar zomaar overstappen op een andere browser heeft ook weer zo zijn nadelen:
Firefox: Niet centraal te managen/updaten enzovoorts
Google Chrome: Instellingen gaan niet mee naar andere plekken (roaming profile werkt niet), of je moet een google account instellen waarbij preferences buiten de organisatie bewaard worden (mag niet ivm non-disclosure overeenkomsten met opdrachtgevers)
Safari: Zie Firefox
Opera: Zie Firefox.

Oftewel, in een wat grotere ICT omgeving zoals deze is Internet Explorer het enige goede alternatief gezien de integratie in active directory, het uitrollen van updates, en het voorkomen van rare thema's in de browsers, controle over geinstalleerde plugins enzovoorts. Ondanks dat er al jaren om een versie van Google Chrome geroepen wordt die wel goed in een AD werkt, is die er nog altijd niet.

PS: Hackers hebben hier weinig kan, ondanks het gebruik van IE. Het geheim? Een HELE goede filterende firewall met intrusion detection, antivirus, antispam en de mogelijkheden om op categorie pagina's te blokkeren. Werkt als een trein.
18-09-2012, 15:20 door Spiff
Mooi stappenplan, redactie.
Fijn ook om elders op sites met minder onderlegde gebruikers naar te kunnen verwijzen.

Eerder had ik EMET 2.0 wel eens uitgeprobeerd. Maar omdat ik DEP en SEHOP al standaard ingeschakeld heb staan, en onder Vista en Win7 geen goede redenen zag voor het op specifieke programma's toepassen van de beschikbare mitigations anders dan DEP en SEHOP, had ik na EMET 2.0 de versies 3.0 of 3.5 nooit uitgeprobeerd en toegepast.

De mogelijkheid van het onder de huidige omstandigheden op IE toepassen van alle EMET mitigations is echter wél interessant. Ik heb nu EMET 3.5 toegepast op IE9, en daarbij alle mitigations toegepast, waaronder tevens de onder 3.5 aangeboden optionele ROP mitigations.
18-09-2012, 16:23 door Anoniem
Ik heb EMET 3.0 gedownload en geinstalleerd op een test werkstation.
Dat lukt zo te zien wel, hoewel hij bij het installeren zegt dat ik het als Administrator moet installeren
terwijl ik dit doe als een andere user die locaal lid is van de groep Administrators.
Beetje sneu dat dat niet werkt. Of zou de foutmelding dat hij geen event source kan toevoegen misschien
ergens anders door veroorzaakt worden (dat het een Nederlandse XP is bijvoorbeeld). De rest van de
installatie lukt wel.

Afijn, verder met het maken van een group policy. Helaas. Er zitten alleen een EMET.admx en EMET.adml file
bij en geen EMET.adm dat gaat dus niet werken op onze Windows 2003 domain controller.

Dat wordt dus weer friemelen met scripts vrees ik. Of de hele tool maar vergeten, want of het wat oplevert
is maar de vraag. (we hebben de veiligheids settings van de werkstations al zo staan dat de gebruikers
de exploit code toch niet kunnen uitvoeren)
18-09-2012, 16:38 door tegenlicht
Ik zie op de site dat de executable gestart wordt wordt vanuit internettemp directory. Dus als je applocker gebruikt heb je de aanvallen die nu in het wild worden gespot meteen gestopt. Waarschijnlijk gaan ze daarna overstappen op com, vbs of desnoods batch bestanden, maar die kun je voorlopig ook blocken. Althans tot oktober patch day. Hieronder een stappenplan om te blocken:

Stappenplan

- Ga naar het zoekveld in startmenu.
- Typ in: secpol.msc en dan enter
- Ga naar Application Control Policies -> App locker -> Excutable rules.
- Sla eerste pagina over, kies deny, kies path,

- Plak volgende regel:
C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.exe

- vervolgens klik, klik, klik. Je krijgt nog een waarschuwing, klik ok.
- En je rule is toegevoegd.

We moeten nu nog twee stappen uitvoeren om het werkend te krijgen. En dat is in het linkermenu klikken Applocker. In het rechter menu kies je: Configure rule enforcement. En vink je executable rules aan in het popupje.

Vervolgens moet je de service die dit allemaal regelt aanzetten. Of als deze aanstaat opnieuw starten. Dat doe je door naar startmenu te gaan: services.msc in te typen en dan dubbel klik je op application identity. Vervolgens stel je startup type in op automatic, zodat deze service altijd wordt opgestart. Als de service aanstaat, moet je deze stoppen en opstarten, en anders gewoon starten.
18-09-2012, 17:31 door Anoniem
<Quote:>
<b>Alternatieve browser</b></ br>
Als laatste is er natuurlijk nog altijd de mogelijkheid om een alternatieve browser te gebruiken, zoals Mozilla Firefox of Opera.
</Qoute:>
18-09-2012, 17:48 door Spiff
@ Anoniem 17:31 uur,
Dat was wellicht een nogal overbodige post, want je citeert enkel een stukje uit het bovenstaande artikel.
En aanwijzingen over quote- en andere codes vind je onder "Ondersteunde BBcodes".
18-09-2012, 19:00 door Anoniem

Ik zit wat dat betreft met 150 users in het zelfde schuitje, maar zomaar overstappen op een andere browser heeft ook weer zo zijn nadelen:
Firefox: Niet centraal te managen/updaten enzovoorts
Er zijn wel degelijk tools van derden partijen die dit regelen. En bovendien hoe update je Java, Flash, Adobe Reader en legio andere software die op de computers staan geïnstalleerd?
18-09-2012, 20:12 door MrTre
-niet meer relevant-
18-09-2012, 20:41 door Anoniem
De Firefox versie van Frontmotion is redelijk goed met group policies te sturen en m.i. geschikt voor gebruik in een bedrijfsomgeving.
Paul
19-09-2012, 00:12 door Anoniem
Alle browsers zijn kwetsbaar!
Alleen komt er bij mij echt niets binnen! Ik raak dus nooit in paniek.
Ik gebruik trouwens IE9 en ben zeer tevreden.
Dit wilde ik even kwijt!

RjSeeker.c.c
19-09-2012, 08:31 door alexNL
Door Booze:
<knipknipknip>
Firefox: Niet centraal te managen/updaten enzovoorts
Google Chrome: Instellingen gaan niet mee naar andere plekken (roaming profile werkt niet), of je moet een google account instellen waarbij preferences buiten de organisatie bewaard worden (mag niet ivm non-disclosure overeenkomsten met opdrachtgevers)
Safari: Zie Firefox
Opera: Zie Firefox.

FireFox heeft een versie met lange termijn support die zichzelf meen ik ook niet iedere paar weken update, worth a look! Ik vond ni de gouwigheid alleen deze link, maar er is meer info over:
http://webwereld.nl/nieuws/109087/firefox-krijgt-variant-met-lange-termijn-support.html
19-09-2012, 10:22 door Anoniem

FireFox heeft een versie met lange termijn support die zichzelf meen ik ook niet iedere paar weken update, worth a look!

Waar je aan moet denken is dat beheerders van netwerken niet alleen geirriteerd worden door de zeer frequente
updates in Firefox (die ook iedere keer weer user impact hebben) maar ook door het gebrek aan beheer mogelijkheden.

Internet explorer kun je beheren met Group Policy. Een keer op de server je instellingen doen en alle gebruikers
staan goed ingesteld. Probeer dat eens met Firefox.
Je kunt wel een file met vaste config settings uitrollen maar dat vereist studie en scripting waar veel Windows
beheerders die wel Group Policy aankunnen niet toe in staat zijn.

Wij gebruiken al Mozilla producten sinds Mozilla 4.x, toen er nog geen goed Microsoft alternatief was, en we hebben
in de loop der jaren heel wat tooling gemaakt. Silent install, automatisch copieren van de vaste settings file,
automatisch toevoegen van het gebruik van die file, het instellen als default browser, het configureren van een
user account voor mail, je moet het allemaal zelf uitvinden en regelen.

Het KAN allemaal wel, en het kan heel mooi werken, maar het is niet voor iedereen weggelegd.
19-09-2012, 19:09 door Anoniem
Ik gebruik zelf altijd de Google browser, maar als je een link selecteert, wordt steeds de internet explorer gebruikt. Hoe kan ik dit voorkomen?
19-09-2012, 20:56 door Anoniem
Ik vraag me dan af voor welke 'gebruikers' dit soort adviezen zijn bedoeld. Ik neem aan dat niemand hier serieus gelooft dat tante Truus uit Zwolle moet leren om EMET te installeren en configureren. De vraag is dan welk advies Truus wel krijgt.
20-09-2012, 10:21 door Anoniem
Door Anoniem: Ik gebruik zelf altijd de Google browser, maar als je een link selecteert, wordt steeds de internet explorer gebruikt. Hoe kan ik dit voorkomen?

Dan moet je Chrome instellen als de "default browser".
Ik gebruik nooit Chrome maar de meeste browsers zeuren je bij het opstarten aan de kop met een "wil je me echt niet instellen als de default browser" en dat moet je dan dus doen.
20-09-2012, 13:48 door yobi
Ook een oplossing: Ik gebruik nu al lange tijd Debian 6.0 met de Chrome browser. Werkt zeer snel op een oude machine!
20-09-2012, 17:05 door Anoniem
Gewoon Chrome installeren. Op het bureaublad kun je er dan tijdelijk voor kiezen Chrome te nemen in plaats van IE. Overigens denk ik dat het IE veel schade gaat opleveren omdat er relatief veel overstappers zullen zijn op Chrome.

Klopt het dat Internet op mijn oude pc veel sneller gaat dan met IE?

Groet, Maarten van Kamsteren
20-09-2012, 20:15 door SBBo
Aan een ieder.
Lees het volgense artikel en je weet waarom het gaat.

http://www.security.nl/artikel/40819/1/%22Hackers_verdienen_fortuin_met_tools_om_jouw_pc_te_kraken%22.html

Succes met overstappen!
21-09-2012, 09:04 door [Account Verwijderd]
[Verwijderd]
21-09-2012, 11:32 door Anoniem
http://www.iss.net/threats/456.html

zie de link...
28-09-2012, 11:46 door Booze
Hiervoor is ondertussen toch een patch uit? Update toevallig vanuit de redactie??
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.