image

ZDI looft 200.000 dollar uit voor lekken in OpenSSH en Windows SMB

donderdag 8 november 2018, 17:24 door Redactie, 13 reacties

Het Zero Day Initiative (ZDI) van anti-virusbedrijf Trend Micro heeft 200.000 dollar uitgeloofd voor kwetsbaarheden in OpenSSH, Windows SMB en ISC Bind waardoor een aanvaller op afstand code kan uitvoeren. Het ZDI beloont onderzoekers voor het melden van kwetsbaarheden in allerlei software.

Vervolgens waarschuwt het ZDI de kwetsbare softwareleverancier zodat die een beveiligingsupdate kan ontwikkelen en gebruikt het de informatie over de kwetsbaarheid om eigen klanten te beschermen. In juli werd het Targeted Incentive Programma door het bedrijf aangekondigd. Een speciaal beloningsprogramma voor belangrijke software. In eerste instantie werden er beloningen uitgeloofd voor kwetsbaarheden in Joomla, Drupal, WordPress, NGINX, Apache-webserver en Microsoft IIS.

Sinds de lancering van het programma heeft het ZDI geen enkele inzending ontvangen die in aanmerking voor één van de hoofdprijzen kwam. Nu is het programma aangepast en hebben Joomla, Drupal en WordPress plaats gemaakt voor OpenSSH, Windows SMB en ISC Bind. Kwetsbaarheden in deze software waardoor een aanvaller op afstand code kan uitvoeren worden elk met 200.000 dollar beloond. Onderzoekers kunnen beveiligingslekken in de software tot en met de eerste maanden van 2019 inzenden.

Reacties (13)
08-11-2018, 17:51 door Anoniem
Het probleem alleen is dat een lek in OpenSSH velen malen meer waard is dan de geboden 200k.
08-11-2018, 19:37 door Anoniem
Door Anoniem: Het probleem alleen is dat een lek in OpenSSH velen malen meer waard is dan de geboden 200k.

Stel dat ik die superpentester ben die dat lek vindt, waar is het loket dat meer betaald ?

Ietwat serieus , want je kunt wel roepen dat het voor deze of gene groepering of organisatie meer waard is, maar hoe ga je dat verkopen ?

Je hebt hetzelfde probleem als iemand die toevallig een tas vol coke vindt - het heeft een straatwaarde, maar waar ga je die waarde cashen en niet bedrogen en bestolen worden ?

'Bewijs maar dat je hebt' - dan doe je je exploit naar een aangewezen server en geef je het feitelijk weg.

Sta je met je USB stick op een parkeerplaats in de nacht, en dan denk je dat een koffer met 500K gaat krijgen en daarmee gewoon wegrijdt. En niet dat je een 9mm stukje lood krijgt ? Of op het vliegveld van Moskou/Washington/Beijing , en die cheque/koffer/overboeking , en geen 'random controle' waarbij 'iets fouts' gevonden wordt ?
En om leukere dingen te doen moet je de opbrengst ook nog witwassen - ook een vak apart, ondanks alle borreltafel kenners.

Dat is een probleem wanneer je als amateur/buitenstaander 'vage' zaken wilt doen met partijen die erg veel machtiger zijn - en voor bedragen waarbij de verleiding van bedrog sterk wordt.
08-11-2018, 19:53 door karma4 - Bijgewerkt: 08-11-2018, 19:55
Smb v1 van ibm/redhat of v3 ms.?
Ah ik lees het in de link v1 is uitgesloten. Dat wordt dan lastiger. Pas sinds 2008 is er linux ondersteuning voor.
08-11-2018, 21:02 door -karma4 - Bijgewerkt: 08-11-2018, 21:06
Door karma4: Smb v1 van ibm/redhat of v3 ms.?
Ah ik lees het in de link v1 is uitgesloten. Dat wordt dan lastiger. Pas sinds 2008 is er linux ondersteuning voor.

Onder Linux is uitzetten van SMB1 al lang een peuleschil: min protocol = SMB2 in smb.conf.

Windows heeft echter pas sinds 2018 een oplossing: SMBv1 no longer installed with latest Microsoft Windows 10 and 2016 update (version 1709) - Updated March 8 2018 at 9:59 PM - https://access.redhat.com/articles/3164551
09-11-2018, 08:51 door Anoniem
@The Foss,
Laat je niet zo uit de tent lokken, gewoon negeren.


OT: Niet al te hoge beloningen als je het mij vraagt, zeker gezien de positie van deze producten in de infrastructuur van het internet.

NGINX Ubuntu Server 18.04 x64 $200,000 August 2018 through November 2018
Apache HTTP Server Ubuntu Server 18.04 x64 $200,000 August 2018 through December 2018
Microsoft IIS Windows Server 2016 x64 $200,000 August 2018 through January 2019
OpenSSH Ubuntu Server 18.04 x64 $200,000 November 2018 through February 2019
ISC BIND Ubuntu Server 18.04 x64 $200,000 November 2018 through March 2019
Windows SMB Windows Server 2016 x64 or Windows 10 x64 $200,000 November 2018 through April 2019
09-11-2018, 09:03 door karma4 - Bijgewerkt: 09-11-2018, 09:04
Door The FOSS:
Windows heeft echter pas sinds 2018 een oplossing: SMBv1 no longer installed with latest Microsoft Windows 10 and 2016 update (version 1709) - Updated March 8 2018 at 9:59 PM - https://access.redhat.com/articles/3164551
SMB V2 is van 2006 opvolger van de V1 afkomstig is. Hadden ze meteen alles van V1 uitgezet (had gekund) dan waren de OSS jongens op achterste benen gaan staan. Ale hun devices en software zou dan buitengesloten zijn en niet meer werken. https://en.wikipedia.org/wiki/Server_Message_Block#SMB_2.0 we zijn nu al bij 3.1.1

Het falen van linux OSS om samen te werken en voor veilige omgevingen te gaan is de echte oorzaak dat die interface op Windows bleef draaien terwijl dat niet meer hoefde. Vraag: Doe is wat een fact cheking ipv een geloof uitdragen.
09-11-2018, 11:17 door Anoniem
Door karma4: Smb v1 van ibm/redhat of v3 ms.?
Ah ik lees het in de link v1 is uitgesloten. Dat wordt dan lastiger. Pas sinds 2008 is er linux ondersteuning voor.

Heeft Microsoft ook al ondersteuning voor APFS, ext2,3,4, BTRFS, ZFS geformateerde externe schijven?
Heeft Microsoft ook al ondersteuning voor ssh en rsync (out of the Box)?

Waarom zou Linux wel closed source Windows protocollen moeten ondersteuen maar Windows geen open source *nix protocollen?
09-11-2018, 12:50 door beatnix
Er zijn verschillende inlichtingendiensten die zo meer dan een miljoen dollar en ook euro krijgen te betalen om een dikke openssh zeroday en met name dat je je mond erom dicht krijgt te houden.

dus dat loket is niet zo moeilijk te vinden anoniem (19:37, 8/11/2018) en nog sterker: eventueel witwassen daarvan is ZO makkelijk dat ik het bespreken van dat witwassen eenvoudig mag krijgen te laten.
09-11-2018, 16:42 door Anoniem
Door beatnix: Er zijn verschillende inlichtingendiensten die zo meer dan een miljoen dollar en ook euro krijgen te betalen om een dikke openssh zeroday en met name dat je je mond erom dicht krijgt te houden.

Goh, leg eens uit hoe zeker je dat weet - en hoe zeker je bent dat je dat geld krijgt en ze geen goedkopere manier nemen om te zorgen dat je je mond gegarandeerd houdt ?


dus dat loket is niet zo moeilijk te vinden anoniem (19:37, 8/11/2018) en nog sterker: eventueel witwassen daarvan is ZO makkelijk dat ik het bespreken van dat witwassen eenvoudig mag krijgen te laten.

Yup. borreltafel expert.
09-11-2018, 19:35 door Anoniem
Door Anoniem:
Door karma4: Smb v1 van ibm/redhat of v3 ms.?
Ah ik lees het in de link v1 is uitgesloten. Dat wordt dan lastiger. Pas sinds 2008 is er linux ondersteuning voor.

Heeft Microsoft ook al ondersteuning voor APFS, ext2,3,4, BTRFS, ZFS geformateerde externe schijven?
Heeft Microsoft ook al ondersteuning voor ssh en rsync (out of the Box)?

Waarom zou Linux wel closed source Windows protocollen moeten ondersteuen maar Windows geen open source *nix protocollen?
Sinds Windows 10 1803 is OpenSSH ingebouwd, zowel de server als de client. In je PowerShell of CMD hetzelfde commando met dezelfde argumenten als onder Linux. Rsync volgens mij niet nee, maar dan gebruik je gewoon de Ubuntu/Debian/OpenSUSE app uit de Microsoft Store, dan heb je gewoon een zo goed als complete Bash omgeving.
09-11-2018, 21:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door karma4: Smb v1 van ibm/redhat of v3 ms.?
Ah ik lees het in de link v1 is uitgesloten. Dat wordt dan lastiger. Pas sinds 2008 is er linux ondersteuning voor.

Heeft Microsoft ook al ondersteuning voor APFS, ext2,3,4, BTRFS, ZFS geformateerde externe schijven?
Heeft Microsoft ook al ondersteuning voor ssh en rsync (out of the Box)?

Waarom zou Linux wel closed source Windows protocollen moeten ondersteuen maar Windows geen open source *nix protocollen?
Sinds Windows 10 1803 is OpenSSH ingebouwd, zowel de server als de client. In je PowerShell of CMD hetzelfde commando met dezelfde argumenten als onder Linux. Rsync volgens mij niet nee, maar dan gebruik je gewoon de Ubuntu/Debian/OpenSUSE app uit de Microsoft Store, dan heb je gewoon een zo goed als complete Bash omgeving.

Oei, Open source software in een Microsoft product, daar gaat iemand niet bliij van worden.

Maar je mist een beetje de kern van mijn vraag.
10-11-2018, 13:46 door karma4 - Bijgewerkt: 10-11-2018, 13:52
Door Anoniem:
Heeft Microsoft ook al ondersteuning voor APFS, ext2,3,4, BTRFS, ZFS geformateerde externe schijven?
Heeft Microsoft ook al ondersteuning voor ssh en rsync (out of the Box)?
Waarom zou Linux wel closed source Windows protocollen moeten ondersteuen maar Windows geen open source *nix protocollen?

SSH en Rsync zijn nooit problematisch geweest met Windows. Je kunt en kon elk programma dat daaraan voldeed er bij zetten. Ik weet niet of je de https://en.wikipedia.org/wiki/VT100 dan wel https://en.wikipedia.org/wiki/IBM_3270 (een oude model2 coax). Als je het over ssh hebt dan zie ik die denkwijze voor me. Niet veel veranderd.
https://nl.wikipedia.org/wiki/Rsync om data over netwerken te symchroniseren mits encoding en filestructuur gelijk is gewoon achterhaald. Met DFS en AD is er geen Rsync gebruik voor een niet bestaand probleem. Je zou je eens in SAN / NAS moeten verdiepen.


[/url]https://nathangau.wordpress.com/?s=emc[/url] Een derde partij die de SAN levert is geen enkel probleem, wat er op de SAN voor OS draait is niet relevant. Er is zo te zien een heel andere ontwikkeling gaande https://docs.microsoft.com/en-us/sharepoint/administration/overview-of-sql-server-in-a-sharepoint-server-2013-environment
Applicaties willen opslagruimte en hoe die opslagruimte geregeld wordt is niet zo relevant. Met de Blob types in DBMS systemen krijg je ook storage aangeboden. Een RDBMS is veel verder ontwikkeld in roll-back roll forward failover etc.
Goedkoper in high availablity cloud aan te bieden dan wat dan ook.


Als je persé met schijfjes wilt spelen: https://www.paragon-software.com/home/linuxfs-windows/#how_it_works


De hele clou de je gemist hebt:
- SMB als opens standaard om OVER EEN NETWERK apparatuur operationeel voor automatische processen te verbinden.
- APFS Ext4 ZFS VSAM (3390) ASCII Utf8 EBCDIC hoe de verwerking binnen een (virtueel) doosje afgehandeld wordt. Specifiek en zonder noodzaak tot uitwisseling. Enkel een backup/archivering moet op orde zijn.
12-11-2018, 12:21 door Anoniem

Heeft Microsoft ook al ondersteuning voor APFS, ext2,3,4, BTRFS, ZFS geformateerde externe schijven?
Heeft Microsoft ook al ondersteuning voor ssh en rsync (out of the Box)?

Ja irritant he, dat je niet even een linux disk aan een windows machine kan hangen. Zou gewoon per wet geregeld moeten worden, zoals het forceren van open document formats.
Maar ja het gaat stapje voor stapje, ze leren het wel daar bij de EU
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.