Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
KB2918614: Error 997.Overlapped I/O operation is in progress.
Sinds kort geeft de installatie van een aantal programma's een foutmelding 'Error 997.Overlapped I/O operation is in progress.'. Deze programma's konden tot voor kort altijd zonder problemen geïnstalleerd worden. Op het internet vonden we een aantal verwijzingen naar KB2918614 en dat de problemen opgelost kon worden door KB2918614 te deinstalleren. Ook onze programma's konden weer gewoon geïnstalleerd worden nadat KB2918614 (Vulnerability in Windows Installer Service Could Allow Elevation of Privilege (2962490)) verwijderd was.
Heeft iemand dezelfde ervaringen of kan iemand verklaren waarom het probleem optreedt en of er een andere oplossing is dan het deinstalleren van KB2918614.
Heeft iemand dezelfde ervaringen of kan iemand verklaren waarom het probleem optreedt en of er een andere oplossing is dan het deinstalleren van KB2918614.
Reacties (3)
Aangezien ik geen details kon vinden over wat hier gepatcht wordt, maar onder "Acknowledgments" [sic] in https://technet.microsoft.com/library/security/MS14-049 staat:
Echter, Stefan Kanthak (hierboven ook fout gespeld) is een bekende op de BugTraq en Full Disclosure maillijsten (Google: Kanthak site:seclists.org). De laatst tijd focust zijn onderzoek op het laden van excutables en DLL's waarbij geen 100% correct pad is opgegeven (bijv. een pad met spaties erin zonder dubbele aanhalingstekens te gebruiken).
Een van zijn trucs is dat hij een file C:\Program.exe op zijn computer heeft (bijv. een kopie van notepad.exe) dat wordt uitgevoerd in plaats van iets als "C:\Program Files\bedrijf\whatever.exe". Recent voorbeeld: http://seclists.org/bugtraq/2014/Sep/33.
Zijn werk is discutabel: op genoemde maillijsten krijgt hij de kritiek dat in recente Windows versies gewone gebruikers geen schrijfrechten hebben in C:\ (maar je kunt niet uitsluiten dat sommige bedrijven redenen hebben om dat weer open te zetten). Eindgebruikers horen daarnaast natuurlijk geen schrijfrechten te hebben in mappen genoemd in de PATH environment variabele van het systeem.
Microsoft vecht al veel langer met dit soort problemen. Zie ook https://isc.sans.edu/diary/Help+eliminate+unquoted+path+vulnerabilities/14464 en mijn comment daaronder.
De kwetsbaarheden die Stefan Kanthak beschrijft lijken zonder uitzondering om privilege escalation issues te gaan waarbij iemand met lokale maar beperkte rechten uitvoerbare bestanden op zodanige plaatsen kan neerzetten (of bestaande vervangen) dat deze kunnen worden uitgevoerd door een higher privileged user of dienst.
De reden voor de foutmelding 'Error 997. Overlapped I/O operation is in progress' weet ik zo niet, maar het zou kunnen dat de installler (wellicht een separate thread daarin) voor de tweede keer een specifieke map probeert te openen en/of een programma of DLL probeert te laden terwijl de eerste operatie nog niet volledig is afgerond (in dit geval waarschijnlijk omdat het door MSI gecorrigeerde pad niet bestaat).
Denis Gundarev of Entisys (http://www.entisys.com/) for reporting the Windows Installer Repair Vulnerability (CVE-2012-4784)
Stepfan Kanthak (http://home.arcor.de/skanthak/safer.html)for working with us on defense-in-depth changes included in this bulletin
Over CVE-2012-4784 is nog niets bekend (zie http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2012-4784). Noch Denis Gundarev, noch Entisys zeggen mij iets.Stepfan Kanthak (http://home.arcor.de/skanthak/safer.html)for working with us on defense-in-depth changes included in this bulletin
Echter, Stefan Kanthak (hierboven ook fout gespeld) is een bekende op de BugTraq en Full Disclosure maillijsten (Google: Kanthak site:seclists.org). De laatst tijd focust zijn onderzoek op het laden van excutables en DLL's waarbij geen 100% correct pad is opgegeven (bijv. een pad met spaties erin zonder dubbele aanhalingstekens te gebruiken).
Een van zijn trucs is dat hij een file C:\Program.exe op zijn computer heeft (bijv. een kopie van notepad.exe) dat wordt uitgevoerd in plaats van iets als "C:\Program Files\bedrijf\whatever.exe". Recent voorbeeld: http://seclists.org/bugtraq/2014/Sep/33.
Zijn werk is discutabel: op genoemde maillijsten krijgt hij de kritiek dat in recente Windows versies gewone gebruikers geen schrijfrechten hebben in C:\ (maar je kunt niet uitsluiten dat sommige bedrijven redenen hebben om dat weer open te zetten). Eindgebruikers horen daarnaast natuurlijk geen schrijfrechten te hebben in mappen genoemd in de PATH environment variabele van het systeem.
Microsoft vecht al veel langer met dit soort problemen. Zie ook https://isc.sans.edu/diary/Help+eliminate+unquoted+path+vulnerabilities/14464 en mijn comment daaronder.
De kwetsbaarheden die Stefan Kanthak beschrijft lijken zonder uitzondering om privilege escalation issues te gaan waarbij iemand met lokale maar beperkte rechten uitvoerbare bestanden op zodanige plaatsen kan neerzetten (of bestaande vervangen) dat deze kunnen worden uitgevoerd door een higher privileged user of dienst.
De reden voor de foutmelding 'Error 997. Overlapped I/O operation is in progress' weet ik zo niet, maar het zou kunnen dat de installler (wellicht een separate thread daarin) voor de tweede keer een specifieke map probeert te openen en/of een programma of DLL probeert te laden terwijl de eerste operatie nog niet volledig is afgerond (in dit geval waarschijnlijk omdat het door MSI gecorrigeerde pad niet bestaat).
06-09-2014, 22:00 door
W. Spu
Ik heb het installatie script aangepast en de optie toegevoegd om een verbose log bestand aan e maken tijdens de installatie. Hieronder het stukje van de log file met de error:
----------
MSI (s) (64!C4) [21:05:04:447]: SECREPAIR: Hash Database: C:\Windows\Installer\SourceHash{xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
MSI (s) (64!C4) [21:05:04:470]: Note: 1: 2262 2: SourceHash 3: -2147287038
MSI (s) (64!C4) [21:05:04:682]: SECREPAIR: New Hash Database creation complete.
MSI (s) (64!C4) [21:05:04:683]: SECREPAIR: A general error running CryptAcquireContext
MSI (s) (64!C4) [21:05:04:683]: SECREPAIR: Crypt Provider not initialized. Error:0
MSI (s) (64!C4) [21:05:04:683]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (64!C4) [21:05:04:684]: SECREPAIR: A general error running CryptAcquireContext
MSI (s) (64!C4) [21:05:04:684]: SECREPAIR: Crypt Provider not initialized. Error:997
MSI (s) (64!C4) [21:05:04:684]: SECUREREPAIR: Failed to CreateContentHash of the file: install.ini: for computing its hash. Error: 997
MSI (s) (64!C4) [21:05:04:684]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied. Counter after decrement: -1
MSI (s) (64!C4) [21:05:04:685]: SECREPAIR: Failed to create hash for the install source files
MSI (s) (64!C4) [21:05:04:685]: SECUREREPAIR: SecureRepair Failed. Error code: 3e5F2F934B8
MSI (c) (88:1C) [21:05:05:712]: Font created. Charset: Req=0, Ret=0, Font: Req=MS Shell Dlg, Ret=MS Shell Dlg
Error 997.Overlapped I/O operation is in progress.
----------
Ik heb vervolgens gezocht op "SECREPAIR: A general error running CryptAcquireContext KB2918614" en vond meer pagina's met vergelijkbare probelemen met dezelfde of een andere foutmelding.
----------
MSI (s) (64!C4) [21:05:04:447]: SECREPAIR: Hash Database: C:\Windows\Installer\SourceHash{xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
MSI (s) (64!C4) [21:05:04:470]: Note: 1: 2262 2: SourceHash 3: -2147287038
MSI (s) (64!C4) [21:05:04:682]: SECREPAIR: New Hash Database creation complete.
MSI (s) (64!C4) [21:05:04:683]: SECREPAIR: A general error running CryptAcquireContext
MSI (s) (64!C4) [21:05:04:683]: SECREPAIR: Crypt Provider not initialized. Error:0
MSI (s) (64!C4) [21:05:04:683]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (64!C4) [21:05:04:684]: SECREPAIR: A general error running CryptAcquireContext
MSI (s) (64!C4) [21:05:04:684]: SECREPAIR: Crypt Provider not initialized. Error:997
MSI (s) (64!C4) [21:05:04:684]: SECUREREPAIR: Failed to CreateContentHash of the file: install.ini: for computing its hash. Error: 997
MSI (s) (64!C4) [21:05:04:684]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied. Counter after decrement: -1
MSI (s) (64!C4) [21:05:04:685]: SECREPAIR: Failed to create hash for the install source files
MSI (s) (64!C4) [21:05:04:685]: SECUREREPAIR: SecureRepair Failed. Error code: 3e5F2F934B8
MSI (c) (88:1C) [21:05:05:712]: Font created. Charset: Req=0, Ret=0, Font: Req=MS Shell Dlg, Ret=MS Shell Dlg
Error 997.Overlapped I/O operation is in progress.
----------
Ik heb vervolgens gezocht op "SECREPAIR: A general error running CryptAcquireContext KB2918614" en vond meer pagina's met vergelijkbare probelemen met dezelfde of een andere foutmelding.
08-09-2014, 23:12 door
W. Spu
Zo onderhand is er steeds meer op internet te vinden over de problemen die de update KB2918614 veroorzaakt. Hierbij de link naar de pagina met informatie die ik gisteren gevonden heb:
WiX-users - SECREPAIR: CryptAcquireContext: Could not create the default key container http://windows-installer-xml-wix-toolset.687559.n2.nabble.com/SECREPAIR-CryptAcquireContext-Could-not-create-the-default-key-container-td7596414.html. Hier in staat ook dat Microsoft op de hoogte is en de klacht al van een aantal klanten heeft gehad.
Vandaag is het onderstaande artikel gepubliceerd:
Microsoft patch KB 2918614 triggers 'key not valid for use,' more errors: http://www.infoworld.com/t/microsoft-windows/microsoft-patch-kb-2918614-triggers-key-not-valid-use-more-errors-249973
In dit artikel staan diverse verwijzingen naar andere pagina's met vergelijkbare/dezelfde problemen:
KB2918614 breaks Windows Installer Service: https://answers.microsoft.com/en-us/windows/forum/windows8_1-windows_install/kb2918614-breaks-windows-installer-service/3d75a1c2-114a-4241-a527-35b536edc158
Possible issue with KB2918614 causing overlapped I/O operation in progress errors.: http://www.edugeek.net/forums/windows-7/140586-possible-issue-kb2918614-causing-overlapped-i-o-operation-progress-errors.html
Issues with kb2918614:http://community.spiceworks.com/topic/561791-issues-with-kb2918614
Did Microsoft break per-user minor upgrades with their recent kb2918614 Fix?: https://community.flexerasoftware.com/showthread.php?217786-Did-Microsoft-break-per-user-minor-upgrades-with-their-recent-kb2918614-Fix
KB2918614 – Windows Installer triggers UAC:http://ccmexec.com/2014/09/kb2918614-windows-installer-triggers-uac/
WiX-users - SECREPAIR: CryptAcquireContext: Could not create the default key container http://windows-installer-xml-wix-toolset.687559.n2.nabble.com/SECREPAIR-CryptAcquireContext-Could-not-create-the-default-key-container-td7596414.html. Hier in staat ook dat Microsoft op de hoogte is en de klacht al van een aantal klanten heeft gehad.
Vandaag is het onderstaande artikel gepubliceerd:
Microsoft patch KB 2918614 triggers 'key not valid for use,' more errors: http://www.infoworld.com/t/microsoft-windows/microsoft-patch-kb-2918614-triggers-key-not-valid-use-more-errors-249973
In dit artikel staan diverse verwijzingen naar andere pagina's met vergelijkbare/dezelfde problemen:
KB2918614 breaks Windows Installer Service: https://answers.microsoft.com/en-us/windows/forum/windows8_1-windows_install/kb2918614-breaks-windows-installer-service/3d75a1c2-114a-4241-a527-35b536edc158
Possible issue with KB2918614 causing overlapped I/O operation in progress errors.: http://www.edugeek.net/forums/windows-7/140586-possible-issue-kb2918614-causing-overlapped-i-o-operation-progress-errors.html
Issues with kb2918614:http://community.spiceworks.com/topic/561791-issues-with-kb2918614
Did Microsoft break per-user minor upgrades with their recent kb2918614 Fix?: https://community.flexerasoftware.com/showthread.php?217786-Did-Microsoft-break-per-user-minor-upgrades-with-their-recent-kb2918614-Fix
KB2918614 – Windows Installer triggers UAC:http://ccmexec.com/2014/09/kb2918614-windows-installer-triggers-uac/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.