image

Microsoft komt met noodpatch voor kritiek beveiligingslek in Windows

woensdag 7 juli 2021, 09:45 door Redactie, 13 reacties

Microsoft heeft een noodpatch uitgebracht voor een kritieke kwetsbaarheid in Windows waardoor een aanvaller willekeurige code met systeemrechten kan uitvoeren. Het techbedrijf roept organisaties op om de beveiligingsupdate met spoed te installeren.

De kwetsbaarheid, aangeduid als CVE-2021-34527 en "PrintNightmare", bevindt zich in de Windows Print Spooler en maakt remote code execution mogelijk. De Print Spooler is verantwoordelijk voor de verwerking van printjobs. Het beveiligingslek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren. Hierdoor is het mogelijk om de Print Spooler-service een willekeurig dll-bestand met systeemrechten te laten uitvoeren. Het probleem is in alle ondersteunde Windowsversies aanwezig.

De nu uitgebracht beveiligingsupdate zorgt ervoor dat niet-systeembeheerders alleen gesigneerde printdrivers op een printserver kunnen installeren. Systeembeheerders kunnen standaard zowel niet-gesigneerd als wel gesigneerde drivers installeren. Microsoft laat weten dat beveiligingsupdates voor Windows Server 2016, Windows 10 versie 1607 en Windows Server 2012 binnenkort zullen verschijnen, aangezien die op dit moment nog niet klaar zijn om te worden uitgebracht.

Reacties (13)
07-07-2021, 11:06 door Anoniem
"Signed drivers are trusted by the installed root certificates in the system’s Trusted Root Certification Authorities"
Dus... elk gestolen code signing certificaat dat gesigneerd is door een CA uit die enorme lijst met trusted CA's wordt vertrouwd? Nog los van het feit dat je een code signing certificaat kunt kopen...: ransomwareboeren kunnen die certificaten bij bosjes stelen op de netwerken waar ze toegang toe hebben. Wat een waardeloze patch
07-07-2021, 13:29 door Anoniem
Door Anoniem: "Signed drivers are trusted by the installed root certificates in the system’s Trusted Root Certification Authorities"
Dus... elk gestolen code signing certificaat dat gesigneerd is door een CA uit die enorme lijst met trusted CA's wordt vertrouwd? Nog los van het feit dat je een code signing certificaat kunt kopen...: ransomwareboeren kunnen die certificaten bij bosjes stelen op de netwerken waar ze toegang toe hebben. Wat een waardeloze patch

Welk advies zou je aan MS geven zodat het beter kan?
07-07-2021, 13:35 door Anoniem
Door Anoniem: "Signed drivers are trusted by the installed root certificates in the system’s Trusted Root Certification Authorities"
Dus... elk gestolen code signing certificaat dat gesigneerd is door een CA uit die enorme lijst met trusted CA's wordt vertrouwd? Nog los van het feit dat je een code signing certificaat kunt kopen...: ransomwareboeren kunnen die certificaten bij bosjes stelen op de netwerken waar ze toegang toe hebben. Wat een waardeloze patch
Wanneer je het certificatensysteem niet vertrouwt, koppel je de systemen los van internet. Simpel toch? Als je dan niet kunt werken, weet je zeker dat je veilig bent.

Het certificatensysteem kent de mogelijkheid om een certificaat te revoken. Wordt een certificaat gestolen, of aangetoond misbruikt, dan gebeurt precies dat. Het principe is goed en wie dit niet wil/kan vertrouwen is er dus het alternatief om los te koppelen.
07-07-2021, 16:05 door Overcome
Door Anoniem: "Signed drivers are trusted by the installed root certificates in the system’s Trusted Root Certification Authorities"
Dus... elk gestolen code signing certificaat dat gesigneerd is door een CA uit die enorme lijst met trusted CA's wordt vertrouwd?

Dat is het idee achter (en een van de bedreigingen van) een PKI infrastructuur. Misschien is het aardig om de "attack tree" colleges van Jeremy Clarkson te kijken op Youtube. In die colleges gebruikt hij TLS als onderwerp en wat er allemaal mis kan gaan. In een van die college's wordt het impliciete vertrouwen in CA's als risico behandeld.

Zie voor de gehele serie https://www.youtube.com/watch?v=soXM5dN13yM&list=PLnD_TI73e88dqEmqeYSQLbFh1n5Y-jgNx. Lessen 3, 4 en 5 gaan dieper op de materie in. Les 2 (Evaluation Frameworks) is trouwens ook leuk om te bekijken. Daarin wordt interactief een attack tree opgebouwd om een parkeergarage te verlaten zonder te betalen (naast een hoop andere nuttige dingen).
07-07-2021, 16:07 door Anoniem
Ik kan me nog herinneren dat ik een vraag stelde op dat technet forum, over welke services ik allemaal kon uitzetten die niet nodig zijn. Was het antwoord van microsoft "Ze zijn allemaal nodig".
07-07-2021, 16:35 door Anoniem
@ anoniem van 13:29,

Welk advies? Met de witte vlag zwaaien, want dat is ongeveer hun positie,
voordat de echte grote aanval op Interwebz hen zal gaan treffen.
Je kunt geen vertrouwen hebben in iets dat je niet ten principale kunt vertrouwen.

Als je aan dll hijacking kan blijven doen met de effecten als je deze juist kan positioneren?
Webshell aanvallen. Aangekochte hacks.
Alles wat je nu al via snort en SNYK moet zien te mitigeren en dat wat nog niet bekend is.

Je hebt een oplossing nodig a la NoScript.
Een oplossing die en altijd werkt en ook voor gevallen in de toekomst dat doet.
Overal en altijd dus zoals bij script blokkering. Wat niet kan aflopen, kan je niet besmetten.
Een executable die zich niet kan (laten) uitvoeren, vormt geen gevaar.
Ongesigneerd is verdacht tot het tegendeel is bewezen.
Onveilig is onveilig tot er beveiliging komt (connection security, hader security, CSP etc. etc.).

En dan een groot probleem security through obscurity.
Je denkt dan dat het veilig is, doch het is het niet echt.

luntrus
08-07-2021, 07:55 door Bitje-scheef
Door Anoniem: Ik kan me nog herinneren dat ik een vraag stelde op dat technet forum, over welke services ik allemaal kon uitzetten die niet nodig zijn. Was het antwoord van microsoft "Ze zijn allemaal nodig".

Er zou structuur in zitten hadden ze beloofd.
08-07-2021, 08:51 door Anoniem
Door Anoniem: @ anoniem van 13:29,

Welk advies? Met de witte vlag zwaaien, want dat is ongeveer hun positie,
voordat de echte grote aanval op Interwebz hen zal gaan treffen.
Je kunt geen vertrouwen hebben in iets dat je niet ten principale kunt vertrouwen.

Als je aan dll hijacking kan blijven doen met de effecten als je deze juist kan positioneren?
Webshell aanvallen. Aangekochte hacks.
Alles wat je nu al via snort en SNYK moet zien te mitigeren en dat wat nog niet bekend is.

Je hebt een oplossing nodig a la NoScript.
Een oplossing die en altijd werkt en ook voor gevallen in de toekomst dat doet.
Overal en altijd dus zoals bij script blokkering. Wat niet kan aflopen, kan je niet besmetten.
Een executable die zich niet kan (laten) uitvoeren, vormt geen gevaar.
Ongesigneerd is verdacht tot het tegendeel is bewezen.
Onveilig is onveilig tot er beveiliging komt (connection security, hader security, CSP etc. etc.).

En dan een groot probleem security through obscurity.
Je denkt dan dat het veilig is, doch het is het niet echt.

luntrus
Hoe denk je dat het internet werkt? Ga jij bij iedere website nabellen of het certificaat dat gebruikt wordt, daadwerkelijk te vertrouwen is (en hebt natuurlijk de lijst met vertrouwde CA certs leggegooid, ze zijn immers onbetrouwbaar)? Natuurlijk niet, dat is hoe een PKI infrastructuur werkt. Is het onfeilbaar? Ook dat niet, maar het is de meest werkbare oplossing met een afdoende niveau van veiligheid.
08-07-2021, 09:34 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: "... Wat een waardeloze patch ..,

Welk advies zou je aan MS geven zodat het beter kan?

Maak alle broncode van al jullie software open source en zet het onder publiek toegankelijk versiebeheer.
08-07-2021, 10:11 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Anoniem: "... Wat een waardeloze patch ..,

Welk advies zou je aan MS geven zodat het beter kan?

Maak alle broncode van al jullie software open source en zet het onder publiek toegankelijk versiebeheer.

Proest!

Alsof dat altijd zo goed werkt.
Bij Linux is het goed dat Linus er bovenop zit, anders was het daar ook een bende....

Open Source betekend niet altijd 'vlekkeloos schoon'.
09-07-2021, 08:17 door [Account Verwijderd] - Bijgewerkt: 09-07-2021, 08:18
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Door Anoniem: "... Wat een waardeloze patch ..,

Welk advies zou je aan MS geven zodat het beter kan?

Maak alle broncode van al jullie software open source en zet het onder publiek toegankelijk versiebeheer.

Proest!

Alsof dat altijd zo goed werkt.
Bij Linux is het goed dat Linus er bovenop zit, anders was het daar ook een bende....

Open Source betekend [sic] niet altijd 'vlekkeloos schoon'.

Dat staat er ook niet maar het zou in geval van Microsoft wel inzichtelijkheid geven en laksheid tegengaan. En leer eens Nederlands.
09-07-2021, 10:52 door Anoniem
en wat veiligheids certificaten betreft er staan ook oude browser certificaten in edge/chroom/ff.?.....deze worden niet op
verwijderd ???????
12-07-2021, 14:43 door Anoniem
Hoe kan ik zien of ik deze update al geïnstalleerd heb? Wat is de code van de update.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.