image

Microsoft dicht lek dat virusscanners kon uitschakelen

woensdag 18 juni 2014, 09:53 door Redactie, 14 reacties

Microsoft heeft een lek in de eigen Malware Protection Engine gedicht, die onder andere door Security Essentials en Windows Defender wordt gebruikt, en het mogelijk maakte voor een aanvaller om Microsofts virusscanners uit te schakelen door het versturen van een speciaal geprepareerd bestand.

Via het bestand kon een aanvaller een Denial of Service van de virusscanner veroorzaken, die daardoor stopte met het monitoren van het systeem. Alleen als het bestand in kwestie handmatig werd verwijderd en het systeem werd herstart zou de virusscanner weer operationeel worden. Het probleem treft naast de consumentenvirusscanners ook de zakelijke beveiligingssoftware van Microsoft.

Het lek werd door een onderzoeker van Google ontdekt en direct aan Microsoft gerapporteerd. Volgens de softwaregigant zijn er geen aanwijzingen dat de kwetsbaarheid ook actief wordt gebruikt. Daarnaast is het onwaarschijnlijk dat aanvallers exploits zullen ontwikkelen die van het lek misbruik zullen maken.

Om het lek te dichten heeft Microsoft een update voor de betrokken producten uitgebracht die automatisch wordt geïnstalleerd. De virusscanners kunnen zich namelijk zelf updaten. Microsoft stelt dat, afhankelijk van de gebruikte software, internetverbinding en configuratie van de infrastructuur, de update binnen 48 uur overal geïnstalleerd zou moeten zijn.

Reacties (14)
18-06-2014, 10:13 door Above
Volgens de softwaregigant zijn er geen aanwijzingen dat de kwetsbaarheid ook actief wordt gebruikt? Wat een leugenaars.
18-06-2014, 11:41 door passer
euh... baseer jij je ergens op of is het een buikgevoel?
18-06-2014, 11:45 door [Account Verwijderd] - Bijgewerkt: 18-06-2014, 12:07
Betreft het hier alleen Windows Defender in Windows 8 of ook over die van Windows XP, Vista en 7? Dit kan ik namelijk niet uit het artikel halen.

aanvulling

Gevonden ''Malware Protection Engine'' dus als het goed is zou het alleen Windows Defender van Windows 8 betreffen.
18-06-2014, 13:00 door Above
Door passer: euh... baseer jij je ergens op of is het een buikgevoel?

Virus bij meerdere gebruikers eraf moeten halen. Deze virus was in staat om compleet Microsoft Security Essentials uit te schakelen. Microsoft manipuleert de boel als het om hun scanners gaat. Troep van hun deugt voor geen meter. Ze kunnen beter gewoon ophouden en het alleen bij een OS houden met ontwikkelen. Voor de rest falen ze verschrikkelijk op elk gebied.
18-06-2014, 13:22 door Mysterio
Door Above:(..)Voor de rest falen ze verschrikkelijk op elk gebied.
Yes! Daar gaan we weer! Goede motivatie ook trouwens.

OT: heb jij aanwijzingen dat het virus wat jij moest verwijderen gebruik maakt van deze kwetsbaarheid?
18-06-2014, 13:54 door remco8264 - Bijgewerkt: 18-06-2014, 13:56
Het betreft hier de volgende producten:

- Microsoft Forefront Client Security
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Forefront Security for SharePoint Service Pack 3
- Microsoft System Center 2012 Endpoint Protection
- Microsoft System Center 2012 Endpoint Protection Service Pack 1
- Microsoft Windows-hulpprogramma voor het verwijderen van schadelijke software*
- Microsoft Security Essentials
- Microsoft Security Essentials Prerelease
- Windows Defender voor Windows 8, Windows 8.1, Windows Server 2012, en Windows Server 2012 R2
- Windows Defender voor Windows RT en Windows RT 8.1
- Windows Defender voor Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, en Windows Server 2008 R2
- Windows Defender Offline
- Windows Intune Endpoint Protection

*Alleen voor versies van mei 2014 en eerder.

Het probleem is opgelost in engineversie 1.1.10701.0.

Bron: https://technet.microsoft.com/nl-nl/library/security/2974294
18-06-2014, 14:02 door Anoniem
Door Above:
Door passer: euh... baseer jij je ergens op of is het een buikgevoel?

Virus bij meerdere gebruikers eraf moeten halen. Deze virus was in staat om compleet Microsoft Security Essentials uit te schakelen.
Virus of malware? Naam / variant?

Er zijn genoeg soorten malware die een AV kunnen uitschakelen, niet alleen die van MS.
Ook ben ik laatst een variant van ZeroAcces tegengekomen die de AV gewoon door laat lopen maar het downloaden van update's voorkomt, helemaal smerig...


Kortom, waar is het bewijs dat uitgerekend deze kwetsbaarheid door malware (of in jouw woorden "virus") in het wild wordt misbruikt?
18-06-2014, 14:37 door Spiff has left the building
Door remco8264:
Het betreft hier de volgende producten:
[...]
- Windows Defender voor Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, en Windows Server 2008 R2
[...]
Het probleem is opgelost in engineversie 1.1.10701.0.

Bron: https://technet.microsoft.com/nl-nl/library/security/2974294

Ik heb het net even gecontroleerd voor Windows Defender onder Vista.
De engineversie is nog 1.1.10600.0 en bij opnieuw zoeken naar updates wordt nog géén update gevonden.

Mogelijk biedt Microsoft de update niet gelijk voor alle affected software, maar gefaseerd?
the built-in mechanism for the automatic detection and deployment of updates will apply the update within 48 hours of release. The exact time frame depends on the software used, Internet connection, and infrastructure configuration.
Microsoft's beschrijving kan betekenen dat het moment van update afhangt van het systeem en de configuratie, maar zou ook kunnen impliceren dat de update gefaseerd wordt aangeboden.
18-06-2014, 14:51 door [Account Verwijderd] - Bijgewerkt: 18-06-2014, 14:58
Door remco8264: Het betreft hier de volgende producten:

- Microsoft Forefront Client Security
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Forefront Security for SharePoint Service Pack 3
- Microsoft System Center 2012 Endpoint Protection
- Microsoft System Center 2012 Endpoint Protection Service Pack 1
- Microsoft Windows-hulpprogramma voor het verwijderen van schadelijke software*
- Microsoft Security Essentials
- Microsoft Security Essentials Prerelease
- Windows Defender voor Windows 8, Windows 8.1, Windows Server 2012, en Windows Server 2012 R2
- Windows Defender voor Windows RT en Windows RT 8.1
- Windows Defender voor Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, en Windows Server 2008 R2
- Windows Defender Offline
- Windows Intune Endpoint Protection

*Alleen voor versies van mei 2014 en eerder.

Het probleem is opgelost in engineversie 1.1.10701.0.

Bron: https://technet.microsoft.com/nl-nl/library/security/2974294

Toch wel voor Windows Defender voor Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, en Windows Server 2008 R2? had ik niet verwacht omdat Windows Defender op Windows 7 en ouder in hoeverre ik weet alleen op spyware wordt gescand.

voor wie MSE geïnstalleerd en ingeschakeld heeft staan wordt Windows Defender uitgeschakeld. Als het goed is worden er dan ook geen updates voor Windows Defender geïnstalleerd en wordt het lek ook niet gedicht. Of vergis ik me hierin?
18-06-2014, 15:48 door [Account Verwijderd] - Bijgewerkt: 18-06-2014, 15:53
[Verwijderd]
18-06-2014, 15:59 door [Account Verwijderd] - Bijgewerkt: 18-06-2014, 16:08
Door Spiff:
Ik heb het net even gecontroleerd voor Windows Defender onder Vista.
De engineversie is nog 1.1.10600.0 en bij opnieuw zoeken naar updates wordt nog géén update gevonden.

Ik weet niet zeker of dit werkt of dat dit alleen voor servers geldt maar of de volgende pagina kun je handmatig de laatste definitie updates voor Windows Defender downloaden:

http://support.microsoft.com/kb/923159

Maar misschien is het beter om gewoon te wachten tot de update vanzelf via Microsoft update binnen komt.

Overigens staat er op de volgende pagina ook nog een link naar een andere pagina waar de definitie updates handmatig kunnen worden gedownload maar dit geld alleen voor Engelse versies van Windows

http://support.microsoft.com/kb/918355/nl

Overigens wordt er op beide pagina's waar de links naartoe wijzen alleen gesproken over de definities bijwerken dus ik weet niet zeker of dit werkt.
18-06-2014, 17:11 door Spiff has left the building
@ _kraai__ 15:59 uur,

Dankjewel.
Maar ik wacht eerst eens af of die Defender engine update wellicht morgen nog wordt aangeboden.
Het is immers interessant om te weten of zo'n update werkt zoals Microsoft dat aankondigt.
Mocht de Defender engine update in een paar dagen tijd nog steeds niet aangeboden worden, dan kan ik altijd nog handmatig te werk gaan. In de tussentijd ben ik beslist niet bang voor malware die Windows Defender uitschakelt. Windows Defender is onder XP, Vista en Win7 immers toch slechts redundant (of zelfs overbodig) wanneer er een net antivirusprogramma actief is.
20-06-2014, 10:37 door Spiff has left the building
Door Spiff, 18-06-2014, 14:37 uur:

Ik heb het net even gecontroleerd voor Windows Defender onder Vista.
De engineversie is nog 1.1.10600.0 en bij opnieuw zoeken naar updates wordt nog géén update gevonden.

Mogelijk biedt Microsoft de update niet gelijk voor alle affected software, maar gefaseerd?
https://technet.microsoft.com/nl-nl/library/security/2974294
the built-in mechanism for the automatic detection and deployment of updates will apply the update within 48 hours of release. The exact time frame depends on the software used, Internet connection, and infrastructure configuration.
Microsoft's beschrijving kan betekenen dat het moment van update afhangt van het systeem en de configuratie, maar zou ook kunnen impliceren dat de update gefaseerd wordt aangeboden.

Door Spiff, 18-06-2014, 17:11 uur:

ik wacht eerst eens af of die Defender engine update wellicht morgen nog wordt aangeboden.
Het is immers interessant om te weten of zo'n update werkt zoals Microsoft dat aankondigt.

Betreffend die Defender engine update onder Vista,
die werd tot gisteravond 19-06 ongeveer 22:00 uur nog steeds niet aangeboden,
maar vanochtend 20-06 is die Defender engine update van engineversie 1.1.10600.0 naar 1.1.10701.0 nu inmiddels wel aangeboden.
20-06-2014, 12:30 door [Account Verwijderd]
@Spiff 20-06-2014 10:37

Bedankt dat je even meld dat de update inmiddels wel is aangeboden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.