MS, zeg gewoon de ****king waarheid. Windows 10 kan net zo goed geïnfecteerd worden. Het is was minder dankzij de automatische updates. (Lang leve 0days mischien?)

En de meeste bedrijven zijn toch niet up to date met hun 7s en misschien nog wel XPs.
En misschien ook nog wel Vista (LOL).

Het was juist dankzij automatische updates medoc dat de aanval gericht actief gemaakt werd.
Betere mitigatie geen automatische updates van derden onder admin rechten (local server). Beter is daarvoor aparte service accounts te gebruiken. Kan prima maar vraagt meer voorbereiding en afstemming. Kwestie van secùrity beleid en via controlerende instanties. De richtlijnen bestaan al lang.

'Toevallig zeg
Net nu microsoft en kaspersky juridisch overhoop liggen blijkt dat kaspersky rampzalig is voor windows 10?
Wat een heerlijke marketingkans die uitbraak. Daar kan je wel pap van lusten als het je uitkomt.'

Je geeft zelf het antwoord al. Installaties worden gedaan met admin rechten(root). Makkelijk je kan overal bij, de auto_update laat je dat ook doen. Daarmee staan de administratie rechten op de doos open en kan je met de reguliere admin (root) rechten verder. Precies de beschrijving.

Een service account moet je voorbereiden en inrichten voordat je aan de slag gaat. Zitten er speciale delen in als setuid dll's machine register updates dan moet je dat isoleren en apart beheren. Zo iets is veel complexer om uit te rollen dan enkel set up enter enter. Denk aan de kosten..

Het voordeel van een service account is dat je heel minimale rechten kan geven, dus geen admin rechten en toegang tot shares etc hoeft ook allemaal niet. Het is investeren in informatieveiligheid.


Geef eens aan welke organisaties jij jkent die de moeite nemen om aangekochte software van leveranciers op die manier te analyseren en naar security eisen neer te zetten.
Zelfs het ncsc neemt de moeite niet. Die zeggen dat je de instructies van de leverancier op moet volgen.

Als je de hand op een Windows doos kan leggen moet je maar eens kijken onder welk account de services draaien.
https://msdn.microsoft.com/en-us/library/ms677959(v=vs.85).aspx geeft een richting hoe dat voor elkaar te krijgen met Windows. Voor linux Unix moet het minder een probleem zijn als je het concept en doel snapt.

In beide gevallen krijg je voor je het weet veel service accounts. Heb je een probleem met veel van die dingen?

Persoonlijk vind ik 20.000 een erg laag aantal. Ik zou toch denken dat het aanzienlijk hoger ligt. Dat zou betekenen dat er ongeveer 14.000 in Oekraïne waren en 6000 in de rest van de wereld. Als je na gaat dat TNT, Maersk en nog wat grote bedrijven al plat lagen, dat dit dit aantal al snel zal overstijgen. En er dus veel meer geïnfecteerde machines waren.

Ik vind boeiend de bewering dat UEFI en secure boot zouden kunnen helpen de MBR versleuteling te voorkomen. Dat heeft misschien wel bijgedragen allerlei recent aangeschafte endpoints (gedeeltelijk) te beschermen.

"minder dan 20.000, zo stelt Microsoft": waar stelt Microsfot dat?

Hoe dan? Gaarne onderbouwing.

Duurt wel lang voordat een of ander vaag bedrijfje wat zichzelf security analyst noemt ofzo de boel richting rusland schuift.
Alsof 'ja, malware xx heeft dezelfde 2% code als malware yy, dus is yy door xx gemaakt.."....

Juist bij malware is het zaak om anoniem te blijven, zeker als er schade toegebracht wordt...
Juist dan is copy/paste van andere code het beste...

Wat de consumenten machines betreft, kan dat beeld wel aardig kloppen, voor zo ver ze gepatched waren en de verdere onveiligheden die uitgebuit werden door not-Petya niet aanwezig waren.

De aanval was wiper-crippleware ingezet tegen een politiek afgebakende vijand, targeted cyberattack ofwel door de Russen ofwel door Amerikanen om de Russen de schuld in de schoenen te schuiven of door het getroffen land zelf om Rusland als aanvaller neer te zetten. We weten het niet en zullen het wellicht tijdens ons leven lang nooit horen.

Waar het tegen gericht was, de firma's met de betreffende boekhoudsoftware updates en alle gerelateerden, daar zullen er wel wat meer van geweest zijn dan gemeld vanwege reputatieschade. Welk bedrijf gaat als het niet verplicht is zeggen dat het getroffen is door staatsterreur van welke aard dan ook. Slechte reclame. De Oekraïense Microsoft licenties, daar zal ook wel het een en ander aan schorten, vermoed ik zo. Er draait nog veel illegaal XP, Win 7 etc.

Het vage bedrijfje dat nu aangeeft "het was een Russische cyberactie" heeft het toch wat moeilijk met het onderbouwen van de bewijslast. Dit soort hacks blinken niet uit in visitekaartjes weggeven voor researchers. Voor het zelfde geld was het NSA of CIA of Oekraïne zelf. Cloak and dagger actie.

Voor de veiligheid van de infrastructuur telt zoiets wat minder, voor het terugdringen van de total control surveillance staat heeft het wellicht enigszins momentum, alhoewel de verantwoordelijken wel weer heel snel in slaap sukkelen.

De mens reageert wat dat aangaat vreemd en niet primair. Ging je gelijk van roken dood, dus binnen een trekje of tien aan een sigaret, dan begon geen hond eraan. Nu gebeurt het na dertig jaar of meer en zijn er een heleboel die toch er weer eentje opsteken. Mijn opa heeft zijn hele leven gerookt en had er niks van, dat soort prietpraat. Van het geld had ie een leuk tabletje kunnen kopen of een ander onnuttig iets kunnen doen, Dutchaboo, als je maar gezellig strrropwafels eet. (iron.).

Rare wezens, die mensen, ik ben er ook een en hou dat steeds voor ogen. Kijk in de spiegel en ken uzelve!
Praat maar eens met cleverbot, die nooit weet te overtuigen dat ie AI is.. ;)

Lauferek.

Maar klopt die stelling dan nog wel als Microsoft deze harde bewering zelf weer uit hun artikel wist?

Met psexec / wmic.

checking....
https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx en https://msdn.microsoft.com/en-us/library/aa394531(v=vs.85).aspx het lijkt er meer dat als er een infectie is dat gebruikt kan worden om andere te besmetten.

Het kinkt als dat je root kunt krijgen als je root rechten hebt verkregen.
Dat is nadat er wat aan de hand is niet voordat er wat gebeurd is.

en klaarblijkelijk zijn de update binaries niet off-line off-site via een PGP oid gesigneerd door de makers van de software en hebben de OSes / beheerders dus een trojan binnen gehaald zoder dat ze dat door hadden?

kijk als je auto updates wilt, moet je dingen wel goed doen he: gesigneerde binaries via secure protocollen (https oid) vanuit betrouwbare bronnen. dat kan in de praktijk wel weten sommigen uit ervaringen :).