image

Windows kwetsbaar door lekken in DHCP, LNK en Word

woensdag 14 augustus 2019, 08:04 door Redactie, 30 reacties

Windows-gebruikers worden dringend geadviseerd om Microsofts beveiligingsupdates van augustus zo snel als mogelijk te installeren. Naast verschillende kwetsbaarheden in Windows Remote Desktop Services die door een worm zijn te misbruiken bevat het besturingssysteem verschillende andere lekken waardoor een aanvaller op afstand kwetsbare systemen zonder interactie van gebruikers kan overnemen.

Tijdens de patchdinsdag van augustus kwam Microsoft met updates voor in totaal 93 kwetsbaarheden. De belangrijkste beveiligingslekken zijn vier kwetsbaarheden in Remote Desktop Services die op afstand zijn te misbruiken. Voor twee van deze lekken gaf Microsoft zelfs een aparte waarschuwing omdat ze door een worm gebruikt kunnen worden om zich van de ene naar de andere machine te verspreiden, zonder dat er enige interactie van gebruikers is vereist. Hiervoor hoeft een aanvaller alleen via RDP met de computer verbinding te maken.

Een ander beveiligingslek dat de aandacht verdient is een kwetsbaarheid in de Windows DHCP Client. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller de computer van zijn slachtoffer overnemen. Net als bij de kwetsbaarheden in Remote Desktop Services is er geen interactie van de gebruiker vereist. Volgens het Zero Day Initiative kan een worm zich in theorie ook via dit lek verspreiden.

De Stuxnetworm die negen jaar geleden werd ontdekt maakte misbruik van een lek in de manier waarop Windows met LNK-bestanden omging. In 2019 wordt het besturingssysteem opnieuw door een soortgelijke kwetsbaarheid geplaagd. Door het slachtoffer een kwaadaardig LNK-bestand te laten openen kan een aanvaller kwetsbare systemen overnemen. Een aanvaller zou een dergelijk bestand op een usb-stick kunnen plaatsen. "Het is een handige manier om een air-gapped systeem aan te vallen", zo stelt het Zero Day Initiative.

Gebruikers van Microsoft Word zijn daarnaast gewaarschuwd voor een kwetsbaarheid die op afstand is te misbruiken. De meeste Word-lekken vereisen dat het slachtoffer een kwaadaardig document met een exploit opent. In dit geval is dat niet nodig. Via de voorbeeldweergave (preview pane) in Outlook is het mogelijk om de kwetsbaarheid op afstand aan te vallen en kwaadaardige code uit te voeren.

Van de 93 kwetsbaarheden die Microsoft heeft gepatcht zijn er 29 als ernstig aangemerkt, wat inhoudt dat een aanvaller die kan gebruiken om systemen over te nemen. Deze meeste van deze kwetsbaarheden zijn aanwezig in Microsoft Edge en Graphics. In het geval van dit laatste onderdeel wordt de kwetsbaarheid veroorzaakt door de manier waarop Windows fonts verwerkt. De beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd.

Reacties (30)
14-08-2019, 08:18 door Anoniem
Weer 93 gepatchte kwetsbaarheden, zucht. Ik krijg de indruk dat als je door de jaren heen alle kwetsbaarheden optelt van een dergelijk product dat dit meer is dan het totale aantal regels source-code.
14-08-2019, 08:47 door Anoniem
Wat is dat toch met dat MS, willen ze niet leren secure te programmeren, kunnen ze niet leren secure te programmeren, of doen ze het expres niet?
14-08-2019, 09:34 door Bitje-scheef
Door Anoniem: Wat is dat toch met dat MS, willen ze niet leren secure te programmeren, kunnen ze niet leren secure te programmeren, of doen ze het expres niet?

Ik denk dat vele te voorkomen zijn, door de software en/of updates beter te testen (MS dus). Een aantal zullen nooit te voorkomen zijn (kom je bij toeval achter of verschijnt bij een nieuwe versie of in combinatie met...).

Nieuwe producten staan altijd onder tijdsdruk van uitbrengen, veel fabrikanten gooien eigenlijk een 0.9x versie op de markt.
De updates komen later wel en die instelling stelt mensen/gebruikers uiteindelijk te leur. Die omslag is gekomen rond 1998 en inmiddels soort van geaccepteerd in IT land.

MS/Linux bashen is populair, soms onterecht en soms terecht, maar heeft niet zoveel zin. We zijn nu op het niveau aangekomen dat welke mededeling/opmerking je al maakt direct in een bepaalde hoek wordt geschoven. Hierdoor is een constructieve discussie niet meer mogelijk en dat is jammer.
14-08-2019, 09:44 door Anoniem
Volgens mij is dat een software probleem. Kijk hoe vaak software updates worden gestuurd. Smartphones apps steeds worden ze weer 1 gestuurd. Lijkt mij onnodig als software goed gemaakt is.
14-08-2019, 09:58 door Anoniem
Door Anoniem: Weer 93 gepatchte kwetsbaarheden, zucht. Ik krijg de indruk dat als je door de jaren heen alle kwetsbaarheden optelt van een dergelijk product dat dit meer is dan het totale aantal regels source-code.

Wees blij dat er prompt gereageerd wordt door Microsoft.
14-08-2019, 10:27 door Anoniem
We zijn nu op het niveau aangekomen dat welke mededeling/opmerking je al maakt direct in een bepaalde hoek wordt geschoven. Hierdoor is een constructieve discussie niet meer mogelijk en dat is jammer.
Dit ben ik helemaal met je eens, en proberen om gewoon taalgebruik te blijven houden zeker als je het niet
met iemand eens bent, iedereen heeft recht op zijn mening.

Wat kan het iemand uitmaken wat voor OS je gebruikt.

Je moet gewoon het OS gebruiken wat je wat je het meest licht en meestal zullen dat er meer zijn dan een.
14-08-2019, 10:27 door eL-Prova - Bijgewerkt: 14-08-2019, 10:46
Ik irriteer mij mateloos aan het bashen, zeker zonder enige goede onderbouwing.
Niet om MS in bescherming te nemen maar wist men dat alleen Windows XP 45 miljoen regels code bevat? En dan praten wij over een systeem uit 2011...MS is goed bezig door steeds meer code publiekelijk te maken waarbij zij openheid van zaken geven. Dit komt de features van MS ten goede, maar ook de kwaliteit die getoetst wordt door de community.

Ik ben blij dat wij, lees software ontwikkelaars en security branch niet onze kop in het zand steken maar elkaar proberen te helpen. Aantonen en verbeteren.

Ik deel echter de mening van Bitje-scheef, tijdsdruk zorgt voor grotere risico's net als de soms (te) snelle innovatie waarin security achteraan mag hobbelen. Gelukkig gaan we steeds meer naar DevOps waarbij het updaten van systemen steeds korter en sneller moet gebeuren dus gevolgen kleiner zijn. Als we dit afwegen tegen bijvoorbeeld een testronde van dikke maand is het soms beter sneller te lanceren en reacties af te wachten en daar op te anticiperen als denken alles te hebben afgetest voor het stempeltje.
14-08-2019, 10:35 door Anoniem
Een aanvaller zou een dergelijk bestand op een usb-stick kunnen plaatsen. "Het is een handige manier om een air-gapped systeem aan te vallen", zo stelt het Zero Day Initiative.

Een air-gapped systeem waar zomaar een "aanvaller" heen kan lopen en een USB stick in kan prikken????
Okeeeejjjj...
14-08-2019, 11:19 door Anoniem
Door Anoniem: Weer 93 gepatchte kwetsbaarheden, zucht. Ik krijg de indruk dat als je door de jaren heen alle kwetsbaarheden optelt van een dergelijk product dat dit meer is dan het totale aantal regels source-code.

Ik zal zeggen bekijk Linux CVE eens.... https://www.cvedetails.com/top-50-products.phpOf per leverancier https://www.cvedetails.com/top-50-vendors.php Leuke is wel, het aantal #Vulnerabilities/#Products
14-08-2019, 11:43 door Anoniem
Door Anoniem: Weer 93 gepatchte kwetsbaarheden, zucht. Ik krijg de indruk dat als je door de jaren heen alle kwetsbaarheden optelt van een dergelijk product dat dit meer is dan het totale aantal regels source-code.

Stel Je voor dat processen aangepast worden over tijd...
Drama ja...

Is linux met zn constante kernel updates natuurlijk beter in...
14-08-2019, 12:47 door Anoniem
@eL-Prova,

Daar zitten er nog wel een paar lieden bij in de weg. Namelijk diegenen, die de beslissingen doorgaans nemen,
gespeend van enige relatieve kennis en dan andere prioriteiten laten overwegen. Die geloven in one-click-
oplossingen en dozenschuiver praatjes. Gelikt uiterlijk en marketing zijn belangrijker dan gedegen testen.

Werkdruk verhogend en alles gaat ten dienste van profijt en aandeelhouder en de eigen bonus niet te vergeten.
Daar gaat het mis en daar is het steeds weer misgegaan. erlos ons van de niet werkende makkelijk cashende top.
Deze houdt ons meestal arm en onveilig.

Ga dit soort mensen maar is bijbrengen dat security geen "last-resort-issue" dien te zijn.
Je krijgt hun blinde vlekken bijkans niet weg gewreven.
Dit is met name de specifieke grote ergernis van Bitje-scheef e.a.

luntrus
14-08-2019, 13:26 door Open source gebruiker
Door Bitje-scheef:
Door Anoniem: Wat is dat toch met dat MS, willen ze niet leren secure te programmeren, kunnen ze niet leren secure te programmeren, of doen ze het expres niet?

Ik denk dat vele te voorkomen zijn, door de software en/of updates beter te testen (MS dus). Een aantal zullen nooit te voorkomen zijn (kom je bij toeval achter of verschijnt bij een nieuwe versie of in combinatie met...).

Nieuwe producten staan altijd onder tijdsdruk van uitbrengen, veel fabrikanten gooien eigenlijk een 0.9x versie op de markt.

Daar begrijp ik dus helemaal niks van, MS heeft nauwelijks concurrentie, Apple, Linux stellen nauwelijks iets voor qua marktaandeel.

Waarom naaien ze zichzelf zo op om een os op de markt te brengen dat achteraf stikt van de lekken, bugs, etc?
14-08-2019, 13:30 door Anoniem
Door Anoniem: Weer 93 gepatchte kwetsbaarheden, zucht. Ik krijg de indruk dat als je door de jaren heen alle kwetsbaarheden optelt van een dergelijk product dat dit meer is dan het totale aantal regels source-code.
Adobe heeft er meer dan 100 gedicht met de laatste update, dus... Getrol!
14-08-2019, 14:16 door Bitje-scheef
Door Open source gebruiker:
Daar begrijp ik dus helemaal niks van, MS heeft nauwelijks concurrentie, Apple, Linux stellen nauwelijks iets voor qua marktaandeel.

Waarom naaien ze zichzelf zo op om een os op de markt te brengen dat achteraf stikt van de lekken, bugs, etc?

Het zijn veelal kostenbesparingen, de concurrentie is er wel maar erg versnipperd. Het herschrijven, oplappen, testen en bijwerken zijn harde kosten. Time to market moet steeds korter, de geldstroom moet steeds harder stromen.
14-08-2019, 14:53 door Anoniem
Eerst een flinke zak zout klaarzetten, dan daarna dit lezen:
https://conspiracy.fandom.com/wiki/Windows_Insecurity

Ieder past de "korrel zout" aan aan de eigen overtuiging of inzicht.

MS opererend binnen het grote cyberwar spel:
https://arstechnica.com/information-technology/2016/11/windows-zero-day-exploited-by-same-group-behind-dnc-hack/

J.O.
14-08-2019, 15:14 door Anoniem
Tja, het enige wat altijd wel goed werkt in Windows is telemetry. Dat staat nou nooit eens echt uit of zo.
14-08-2019, 16:27 door Anoniem
Wat mensen blijkbaar nog steeds niet begrijpen is dat ondanks ) danzij hun naieve "ik heb niets te verbergen" houding, overheden wereldwijs, ook onze NedDDRlandse regering zijn veranderd van fatsoenlijke saaie, stoffige, incompetente politici van vroeger (tot aan 9-11) zijn veranderd in egoistische, leugenachtige, paranoide, maniakale, criminele maffiosi die het liefst alle burgers 24/7 bespioneren en achtervolgen middels honderden miljoenen slimme (gezicht-en-patroonsherkennende) camera's en ov stalk kaart, kenteken scanners, alsmede digitaal bespioneren via internet en telefoon taps etc etc.

Alsof dat allemaal niet erg genoeg is, hebben we in NL de sleepweg / terughack wetgeving en hebben regeringen (vs en Nl en uk etc) wetgeving aangeomen waarmee ze alle producenten (dus niet alleen software en hardware) kunnen dwingen mee te werken in de strijd tegen (zogenaamd terrorisme en pedofielerie, maar stiekem worden al deze middelen ook ingezet voor het bestrijden van kattekwaad als wildplasserij, foutparkeren, door roodlicht fietsen, etc) alles.

Overheden dwingen bedrijven als Microsoft, Apple, Google, Adobe, Firefox, etc etc etc om onder juridische dreiging tegen hun zin (vaak) en logica en wetgeving in gedwongen achterdeurtjes in te bouwen waarmee deze gestoorde overheden en hun gestoorde criminele ambtenaren drempel vrij IEDEREEN voor elk mogelijke reden kunnen stalken, hacken, volgen, chanteren, ergens mee in luizen etc etc.

Updates die zogenaamd lekken dichten, brengen altijd ook weer nieuwe lekken en achterdeurtjes. De dingen die ze lekken zijn de zwakke plekken die criminele hackers hebben ontdekt. Overheden kopen regelmatig lekken op en melden deze dan niet zodat ze er misbruik mee kunnen maken.

Dat zijn dus onze overheden, onze agenten, onze ambtenaren, die dit uitvoeren, geheimhouden niet aan de grote klok hangen maar er zonder gewetensbezwaren vrolijk mee door gaan.
Kots
14-08-2019, 17:59 door Anoniem
Door eL-Prova: Ik irriteer mij mateloos aan het bashen, zeker zonder enige goede onderbouwing.
Niet om MS in bescherming te nemen maar wist men dat alleen Windows XP 45 miljoen regels code bevat? En dan praten wij over een systeem uit 2011...MS is goed bezig door steeds meer code publiekelijk te maken waarbij zij openheid van zaken geven. Dit komt de features van MS ten goede, maar ook de kwaliteit die getoetst wordt door de community.

Ik ben blij dat wij, lees software ontwikkelaars en security branch niet onze kop in het zand steken maar elkaar proberen te helpen. Aantonen en verbeteren.

Ik deel echter de mening van Bitje-scheef, tijdsdruk zorgt voor grotere risico's net als de soms (te) snelle innovatie waarin security achteraan mag hobbelen. Gelukkig gaan we steeds meer naar DevOps waarbij het updaten van systemen steeds korter en sneller moet gebeuren dus gevolgen kleiner zijn. Als we dit afwegen tegen bijvoorbeeld een testronde van dikke maand is het soms beter sneller te lanceren en reacties af te wachten en daar op te anticiperen als denken alles te hebben afgetest voor het stempeltje.

Probleem met de besturingssystemen van Microsoft is dat commercie het wint van de degelijkheid.

Er zijn wel alternatieven te vinden maar om uiteenlopende redenen zullen die wel nooit in die mate gebruikt gaan worden, waarbij ik bijvoorbeeld denk aan QNX. Niet uit de V.S., nee. En alleen om die reden daar al zo goed als kansloos.
14-08-2019, 18:56 door Anoniem
Door Anoniem: @eL-Prova,

Daar zitten er nog wel een paar lieden bij in de weg. Namelijk diegenen, die de beslissingen doorgaans nemen,
gespeend van enige relatieve kennis en dan andere prioriteiten laten overwegen. Die geloven in one-click-
oplossingen en dozenschuiver praatjes. Gelikt uiterlijk en marketing zijn belangrijker dan gedegen testen.

Werkdruk verhogend en alles gaat ten dienste van profijt en aandeelhouder en de eigen bonus niet te vergeten.
Daar gaat het mis en daar is het steeds weer misgegaan. erlos ons van de niet werkende makkelijk cashende top.
Deze houdt ons meestal arm en onveilig.

Ga dit soort mensen maar is bijbrengen dat security geen "last-resort-issue" dien te zijn.
Je krijgt hun blinde vlekken bijkans niet weg gewreven.
Dit is met name de specifieke grote ergernis van Bitje-scheef e.a.

luntrus

M.a.w.: "You should upgrade to the fractured but whole gold edition of our Windows software".

(South Park)
14-08-2019, 19:38 door karma4
Door Open source gebruiker:
Daar begrijp ik dus helemaal niks van, MS heeft nauwelijks concurrentie, Apple, Linux stellen nauwelijks iets voor qua marktaandeel.

Waarom naaien ze zichzelf zo op om een os op de markt te brengen dat achteraf stikt van de lekken, bugs, etc?
Je hebt het alleen over de desktop. Een monocultuur bij smartphones en servers heeft dezelfde nare gaten en gebrek aan beheer voor uitrol. Feitelijk is het daar op servers ernstiger wat dat lekt nu echt massaal gevoelige gegevens,.
15-08-2019, 00:11 door Anoniem
Door Anoniem: Tja, het enige wat altijd wel goed werkt in Windows is telemetry. Dat staat nou nooit eens echt uit of zo.
O, ja! Vergeten te zeggen. Mijn systeem draait op Xubuntu, dus ik heb er geen last van :-)
15-08-2019, 10:42 door Anoniem
Door Anoniem:
Een aanvaller zou een dergelijk bestand op een usb-stick kunnen plaatsen. "Het is een handige manier om een air-gapped systeem aan te vallen", zo stelt het Zero Day Initiative.

Een air-gapped systeem waar zomaar een "aanvaller" heen kan lopen en een USB stick in kan prikken????
Okeeeejjjj...

En jij geeft een gevonden 256GB USB stick in een open envelop met geadresseerde "HR - loonsverhogingen 2020" gewoon zonder te loeren af bij HR of flikkert 'm in de kliko. Of er zit een label op met "vakantie 2019 <naam dochter CEO/smakelijke collega>".

De mens is nog altijd de zwakste schakel. Een air-gapped systeem zou liefst nog een PS/2 muis en keyboard moeten hebben of anders een BT keyboard/muis. Geen Vendor/Device ID filtering op de USB want dat kan ook al makkelijk omzeild worden met een geflashte firmware die gewoon alle combinaties probeert te brute-forcen, gewoon USB volledig uit en liefst de poorten dichtsmeren met epoxy oid.
15-08-2019, 10:56 door Anoniem
Daar begrijp ik dus helemaal niks van, MS heeft nauwelijks concurrentie, Apple, Linux stellen nauwelijks iets voor qua marktaandeel.

Waarom naaien ze zichzelf zo op om een os op de markt te brengen dat achteraf stikt van de lekken, bugs, etc?

Wel een beetje het nieuws volgen als je het hebt over marktaandeel, zelfs op Azure wordt Linux al meer gebruikt dan Windows:
https://www.zdnet.com/article/microsoft-developer-reveals-linux-is-now-more-used-on-azure-than-windows-server/

aangepaste quote uit het artikel:
"Mark Russinovich, Azure CTO said, "One in four [Azure] instances are Linux." Next, in 2017, Microsoft revealed that 40% of Azure virtual machines (VM) were Linux-based. Then in the fall of 2018, Scott Guthrie, Microsoft's executive VP of the cloud and enterprise group, told in an exclusive interview, "About half Azure VMs are Linux". Now, Sasha Levin, Microsoft Linux kernel developer, revealed that "the Linux usage on our cloud has surpassed Windows"."

En dat gaat dan alleen over Server market share. Linux (en BSD) staat op ontelbare NAS-sen, routers, IPcamera's, navigatiesystemen en smart (al dan niet IOT) devices.
15-08-2019, 12:26 door Anoniem
Door Anoniem: Volgens mij is dat een software probleem. Kijk hoe vaak software updates worden gestuurd. Smartphones apps steeds worden ze weer 1 gestuurd. Lijkt mij onnodig als software goed gemaakt is.

Smartphone apps misbruiken het update mechanisme ook om te kunnen zien wie en hoeveel mensen hun software gebruiken
16-08-2019, 12:40 door Anoniem
Door karma4:
Je hebt het alleen over de desktop. Een monocultuur bij smartphones en servers heeft dezelfde nare gaten en gebrek aan beheer voor uitrol. Feitelijk is het daar op servers ernstiger wat dat lekt nu echt massaal gevoelige gegevens.
Maar je zegt het goed: in de geval is BEHEER de schuldige. Als je het patchbeleid goed volgt zou er weinig aan de hand zijn. Dat is dan niet de schuld van het systeem, maar van de prutser(s) die het beheren (en die liever de hele dag aan het lullen en aan het WhatsAppen zijn, wat ik regelmatig zie bij de automatiseringsafdeling).
16-08-2019, 12:43 door Anoniem
Wat dan weer wél grappig is: je probeert je Windows te updaten, krijg je de melding dat het niet kan. En of je de update dan voor 7 dagen wilt uitstellen.

Nu is mijn vraag: wat voor veiligheidsmaatregel is dat? Je wilt je systeem updaten, om één-of-andere vage reden lukt dat niet, en vervolgens zegt Windows: "Nou, het is niet gelukt. Wil je het volgende week wéér proberen?" Met andere woorden: je krijgt de optie om nog een week langer kwetsbaar te zijn.

Zeg nou zelf: dat raakt toch kant noch wal?
18-08-2019, 00:11 door [Account Verwijderd]
@15-08-2019, 10:56 door Anoniem

Geweldig! Ik heb uren zitten janken uit pure gelukzaligheid!
18-08-2019, 08:58 door [Account Verwijderd]
Door eL-Prova: Ik irriteer mij mateloos aan het bashen, zeker zonder enige goede onderbouwing. Niet om MS in bescherming te nemen maar wist men dat alleen Windows XP 45 miljoen regels code bevat?

De grenzen van closed source software zijn duidelijk bereikt. Een bedrijf als Microsoft blijkt niet meer in staat om dit te behappen.
20-08-2019, 08:29 door Anoniem

Daar begrijp ik dus helemaal niks van, MS heeft nauwelijks concurrentie, Apple, Linux stellen nauwelijks iets voor qua marktaandeel.

Op de desktop markt. Zodra het aan internet hangt (web, mail, dns, etc) wordt het marktaandeel al een stuk kleiner dan OSS
29-08-2019, 17:35 door potshot
Door Anoniem: Wat is dat toch met dat MS, willen ze niet leren secure te programmeren, kunnen ze niet leren secure te programmeren, of doen ze het expres niet?

hoe zit het ook weer met android?
veel beter zeg je?
volgens de rechter hoeven licentiehouders een os niet langer te ondersteunen dan 2 jaar..
oh boy zou ms eens moeten flikken..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.