Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Informatieloze MS update KB3126041

10-02-2016, 22:32 door [Account Verwijderd], 5 reacties
Vandaag updates toegepast (W8.1) uitgezonderd de KB3126041 (773kB) omdat MS daar geen info over verstrekt. (zie: https://support.microsoft.com/nl-nl/kb/3126041 Ik heb vanavond regelmatig deze pagina bezocht meer hij blijft melden: "Probeer te vinden wat je nodig hebt. Deze pagina bestaat niet." Dat laatste is dus zwetskoek. Die pagina is er wel maar geeft allen lucht i.p.v. info.
Hoewel een beveiligingsupdate wil je wel weten wàt het er voor een is voor je ongevraagd opgezadeld wordt met een W10 upgrade gerelateerd brokje software.
Iemand elders al iets gevonden hierover?
Reacties (5)
10-02-2016, 23:28 door Anoniem
Er zijn meer klachten over, bijv. deze:
http://geekingbad.altervista.org/microsoft-please-publish-support-pages-before-updates/

Je kunt in elk geval te weten komen waar de (beveiligings) update voor is door te googelen met KB3126041
Dan kom ik bijv. bij:
https://www.microsoft.com/en-us/download/details.aspx?id=50901

Open Details en klik op: Security bulletins: MS16-014
11-02-2016, 08:19 door FSF-Moses - Bijgewerkt: 11-02-2016, 08:19
Je kan ook de Engelstalige versie bekijken door in de url nl-nl te vervangen door en-us:

https://support.microsoft.com/en-us/kb/3126041

Inmiddels is de Nederlandse versie (weliswaar vertaald vanuit het engels) wel beschikbaar. Soms duurt het even voordat de Nederlandse versie beschikbaar is.
11-02-2016, 09:39 door Erik van Straten - Bijgewerkt: 11-02-2016, 09:48
Zoals FSF-Moses aangeeft, de NL pagina is er ondertussen wel, maar het betreft een automatische vertaling. Daar zou ik persoonlijk niet te snel conclusies uit trekken (en dus me op de US-EN pagina's baseren).

De reden voor de vertraging van KB3126041 is vermoedelijk deze, uit https://technet.microsoft.com/library/security/MS16-014:
[...]
Published: February 9, 2016 | Updated: February 10, 2016
Version: 2.0
[...]
Revisions
- V1.0 (February 9, 2016): Bulletin published.
- V2.0 (February 10, 2016): Bulletin revised to announce the availability of update 3126041 for Microsoft Windows Vista, Windows Server 2008, Windows Server 2008 for Itanium-based Systems, Windows 8.1, and Windows Server 2012 R2. Customers should apply the applicable updates to be protected from the vulnerabilities discussed in this bulletin. The majority of customers have automatic updating enabled and will not need to take any action because the updates will be downloaded and installed automatically.

Page generated 2016-02-10 17:36-08:00.
Uit https://support.microsoft.com/en-us/kb/3126041:
Article ID: 3126041 - Last Review: 02/11/2016 01:34:00 - Revision: 2.1

Overigens was MS16-014 sowieso al een chaotische update met veel KB artikelen eronder (met in de browser titelbalk vaak dezelfde titel, nl. "MS16-014: Description of ..." ofwel "MS16-014: Security update ..." en addresseert deze update ogenschijnlijk 4 verschillende kwetsbaarheden, uit https://technet.microsoft.com/library/security/MS16-014:
- Correcting how the Windows kernel handles objects in memory
- Correcting how Windows validates input before loading DLL files
- Correcting how Microsoft Sync Framework validates input
- Adding an additional authentication check

Echter, er is sprake van meer dan 4 CVE's, uit dezelfde pagina:
1) CVE-2016-0040 Windows Elevation of Privilege Vulnerability
2) CVE-2016-0041 DLL Loading Remote Code Execution Vulnerability
3) CVE-2016-0042 Windows DLL Loading Remote Code Execution Vulnerability
4) CVE-2016-0044 Windows DLL Loading Denial of Service Vulnerability
5) CVE-2016-0049 Windows Kerberos Security Feature Bypass Vulnerability

Punt 5 (CVE-2016-0049 ) is vooral een patch waard als je rondloopt met een AD-gekoppelde notebook of tablet, uit https://technet.microsoft.com/library/security/MS16-014:
A security feature bypass exists in Windows when Kerberos fails to check the password change of a user signing into a workstation. An attacker could bypass Kerberos authentication on a target machine and decrypt drives protected by BitLocker.

An attacker could bypass Kerberos authentication by connecting a workstation to a malicious Kerberos Key Distribution Center (KDC). The update addresses the bypass by adding an additional authentication check.
[...]
The following mitigating factors may be helpful in your situation.
- A domain user must be logged on to the target machine for the attack to succeed.
- This bypass can be exploited only if the target system has BitLocker enabled without a PIN or USB key.

Uit https://support.microsoft.com/en-us/kb/3126041 wordt duidelijk welke file deze patch vervangt:
Kerberos.dll

N.b. deze losse specifieke update (die kerberos.dll vervangt) is er NIET voor Windows 7! Volgens https://technet.microsoft.com/library/security/MS16-014 zou KB3126593 kwetsbaarheid CVE-2016-0049 verhelpen, en inderdaad komt kerberos.dll daar in voor (zie onder). Mogelijk dat Microsoft vergeten is om kerberos.dll mee te nemen in KB3126593, of wellicht waren er nog issues/moest er nog beter getest worden.


De punten 2 (CVE-2016-0041) en 3 (CVE-2016-0042) mitigeren vermoedelijk sommige "Binary planting" risico's: laden van DLL's uit onbedoelde plaatsen, mogelijk CWD (Current Working Directory) of de map waar de exe staat (een risico voor installers als je ook een kwaadaardige DLL in je download map hebt staan, exact voor deze reden waarschuwde Oracle eerder deze week, zie http://seclists.org/bugtraq/2016/Feb/41). Uit https://support.microsoft.com/en-us/kb/3126593, mogelijke meldingen in de Windows Event log, verduidelijkt/herschreven door mij:
1) Warning: DLL was not found in CWD, but was found in another, trusted, location;
2) Error: DLL was not found in CWD and in trusted locations.

Workaround: add a full path (string value) to HKLM\System\CurrentControlSet\Control\Session Manager\Safe Load Prefixes\
(let op de telkens 1 spatie tussen Session en Manager, en tussen Safe, Load en Prefixes). Deze patches zitten dus "in de hoek van" CWDIllegalInDllSearch en SafeDllSearchMode, values die direct onder bovenstaande "Session Manager" kunnen staan.


De Windows 7 x64 patches bestaan kennelijk uit 2 pakketten: KB3126593 en KB3126587 (voor W8.1 komt daar dus nog de door de TS genoemde KB3126041 bij).


Als ik uit https://support.microsoft.com/nl-nl/kb/3126593 de lijst met files voor W7/64 peuter, sorteer en door uniq haal, zie ik:
Acwow64.dll
Adtschema.dll
Advapi32.dll
Api-ms-win-core-console-l1-1-0.dll
Api-ms-win-core-datetime-l1-1-0.dll
Api-ms-win-core-debug-l1-1-0.dll
Api-ms-win-core-delayload-l1-1-0.dll
Api-ms-win-core-errorhandling-l1-1-0.dll
Api-ms-win-core-fibers-l1-1-0.dll
Api-ms-win-core-file-l1-1-0.dll
Api-ms-win-core-handle-l1-1-0.dll
Api-ms-win-core-heap-l1-1-0.dll
Api-ms-win-core-interlocked-l1-1-0.dll
Api-ms-win-core-io-l1-1-0.dll
Api-ms-win-core-libraryloader-l1-1-0.dll
Api-ms-win-core-localization-l1-1-0.dll
Api-ms-win-core-localregistry-l1-1-0.dll
Api-ms-win-core-memory-l1-1-0.dll
Api-ms-win-core-misc-l1-1-0.dll
Api-ms-win-core-namedpipe-l1-1-0.dll
Api-ms-win-core-processenvironment-l1-1-0.dll
Api-ms-win-core-processthreads-l1-1-0.dll
Api-ms-win-core-profile-l1-1-0.dll
Api-ms-win-core-rtlsupport-l1-1-0.dll
Api-ms-win-core-string-l1-1-0.dll
Api-ms-win-core-synch-l1-1-0.dll
Api-ms-win-core-sysinfo-l1-1-0.dll
Api-ms-win-core-threadpool-l1-1-0.dll
Api-ms-win-core-util-l1-1-0.dll
Api-ms-win-core-xstate-l1-1-0.dll
Api-ms-win-security-base-l1-1-0.dll
Apisetschema.dll
Appid-ppdlic.xrm-ms
Appid.sys
Appidapi.dll
Appidcertstorecheck.exe
Appidpolicyconverter.exe
Appidsvc.dll
Auditpol.exe
Bcryptprimitives.dll
Ci.dll
Cng.sys
Conhost.exe
Credssp.dll
Cryptbase.dll
Csrsrv.dll
Driver.stl
Ia32exec.bin
Instnm.exe
Kerberos.dll
Kernel32.dll
Kernelbase.dll
Ksecdd.sys
Ksecpkg.sys
Lsasrv.dll
Lsasrv.mof
Lsass.exe
Mrxsmb.sys
Mrxsmb10.sys
Mrxsmb20.sys
Msaudite.dll
Msobjs.dll
Msv1_0.dll
Ncrypt.dll
Ntdll.dll
Ntkrnlpa.exe
Ntoskrnl.exe
Ntvdm64.dll
Ole32.dll
Rpchttp.dll
Rpcrt4.dll
Schannel.dll
Secur32.dll
Setbcdlocale.dll
Setup16.exe
Smss.exe
Sspicli.dll
Sspisrv.dll
Tspkg.dll
Tspkg.mof
User.exe
Wdigest.dll
Winload.efi
Winsrv.dll
Wow32.dll
Wow64.dll
Wow64cpu.dll
Wow64win.dll
Wowia32x.dll

https://support.microsoft.com/en-us/kb/3126587 geeft bijna dezelfde lijst met files, alleen hebben die vaak verschillende versienummers (opmerkelijk). Verschillen, KB3126587 heeft wel:
  Msdaora.dll
  Msorcl32.dll
  Mtxoci.dll
Maar KB3126587 heeft niet:
  Ole32.dll

Tenzij Microsoft heel enge dingen doet, hebben al deze files vermoedelijk niets te maken met een upgrade naar W10. Maar gaandeweg wordt wel de hele kernel van Windows vervangen, als "onderdeeltje" van MS16-014...
11-02-2016, 11:18 door Anoniem
Er zijn meer klachten over

Ik snap die klachten niet. Met een google search weet je binnen een minuut dat het gaat om een security update, om onderstaande kwetsbaarheid te verhelpen -

Microsoft Security Bulletin MS16-014 - Important
Security Update for Microsoft Windows to Address Remote Code Execution (3134228)
https://technet.microsoft.com/library/security/MS16-014

Microsoft Knowledge Base artikel m.b.t. deze patch -

Security Update for Windows Server 2012 R2 (KB3126041)
https://www.microsoft.com/en-us/download/details.aspx?id=50901&WT.mc_id=rss_alldownloads_all

Indien mensen kwetsbaar willen blijven, omdat ze niet snappen waarvoor een security update bedoeld is, en niet de moeite nemen om dat uit te zoeken, dan moeten ze dit vooral zelf weten..... ;)
11-02-2016, 20:12 door [Account Verwijderd]
Door FSF-Moses, 08:19 uur: Je kan ook de Engelstalige versie bekijken door in de url nl-nl te vervangen door en-us:

https://support.microsoft.com/en-us/kb/3126041

Inmiddels is de Nederlandse versie (weliswaar vertaald vanuit het engels) wel beschikbaar. Soms duurt het even voordat de Nederlandse versie beschikbaar is.

Dank voor de tip om de url aan te passen. Dan kom ik terecht bij Microsoft voor een samenvatting over wat- en waarvoor het dient en dat is wat ik wil. Verdere uitvoerige uitleg is prima maar gezien mijn beperkte kennis met betrekking tot deze materie in vergelijking tot IT specialisten weet ik nu voldoende :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search