Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Printnightmare fix FAIL
De noodpatch die Microsoft gisteren heeft uitgebracht [1] voor het RCE-lek in de print spooler service blijkt eenvoudig te omzeilen, zo meldt The Register ([2]).
In dat artikel kun je lezen dat Benjamin Delpy, de ontwikkelaar van mimikatz, in [3] meldt dat Microsoft in hun fix probeert vast te stellen of de library niet op een remote server staat door te checken of het pad niet met \\ begint (zoals in \\server\share\hebbes.dll).
Daarbij is Microsoft vergeten dat \??\UNC\ een alternatief is voor \\ (in de zin van "\??\UNC\server\share\hebbes.dll"). Zucht...
Aanvulling: dit naast het feit dat de gisteren gepubliceerde fix de LPE (Local Privilege Escalation) kwetsbaarheid niet repareerde - waarmee deze patch compleet waardeloos is. Microsoft zou bij elke nieuwe Windows versie minder moeten tweaken aan start-menu's maar eens serieus oude onveilige legacymeuk uit het NT-tijdperk opschonen.
[1] https://www.security.nl/posting/711062/Microsoft+komt+met+noodpatch+voor+kritiek+beveiligingslek+in+Windows
[2] https://www.theregister.com/2021/07/07/printnightmare_fix_fail/
[3] https://twitter.com/gentilkiwi/status/1412771368534528001
In dat artikel kun je lezen dat Benjamin Delpy, de ontwikkelaar van mimikatz, in [3] meldt dat Microsoft in hun fix probeert vast te stellen of de library niet op een remote server staat door te checken of het pad niet met \\ begint (zoals in \\server\share\hebbes.dll).
Daarbij is Microsoft vergeten dat \??\UNC\ een alternatief is voor \\ (in de zin van "\??\UNC\server\share\hebbes.dll"). Zucht...
Aanvulling: dit naast het feit dat de gisteren gepubliceerde fix de LPE (Local Privilege Escalation) kwetsbaarheid niet repareerde - waarmee deze patch compleet waardeloos is. Microsoft zou bij elke nieuwe Windows versie minder moeten tweaken aan start-menu's maar eens serieus oude onveilige legacymeuk uit het NT-tijdperk opschonen.
[1] https://www.security.nl/posting/711062/Microsoft+komt+met+noodpatch+voor+kritiek+beveiligingslek+in+Windows
[2] https://www.theregister.com/2021/07/07/printnightmare_fix_fail/
[3] https://twitter.com/gentilkiwi/status/1412771368534528001
Reacties (12)
08-07-2021, 08:01 door
Bitje-scheef
Aanvulling: dit naast het feit dat de gisteren gepubliceerde fix de LPE (Local Privilege Escalation) kwetsbaarheid niet repareerde - waarmee deze patch compleet waardeloos is. Microsoft zou bij elke nieuwe Windows versie minder moeten tweaken aan start-menu's maar eens serieus oude onveilige legacymeuk uit het NT-tijdperk opschonen.
Ben ik volledig met je eens.
Door Erik van Straten: ... Microsoft zou bij elke nieuwe Windows versie minder moeten tweaken aan start-menu's ...
Levert potentieel veel nieuwe klanten op als hyped PR-feature.
Door Erik van Straten: ... maar eens serieus oude onveilige legacymeuk uit het NT-tijdperk opschonen. ...
Naah... Is erg duur en wat levert dat eigenlijk op? Goedkoper om de klant er gewoon tegenop te laten lopen en dan paar stagiairs een fix te laten maken. Is toch closed source software dus er zal geen haan naar kraaien.
Microsoft zou bij elke nieuwe Windows versie minder moeten tweaken aan start-menu's maar eens serieus oude onveilige legacymeuk uit het NT-tijdperk opschonen
Tuurlijk, maar je weet toch dat bedrijven tegenwoordig alleen nog maar werken voor de "reviewers", vroeger in de blaadjes en tegenwoordig op websites en youtube?Die gaan de boel uitpakken en enthousiast vertellen over de nieuwe ronde hoekjes (en de vierkante hoekjes in de volgende versie), en allerlei grappige ballonnetjes met nikszeggende meldingen.
Die krijg je niet enthousiast voor verbeteringen in de printer spooler, dus is het ook zinloos om daar geld en moeite in te steken want dat leidt niet tot meer verkopen en meer gebruikerstevredenheid.
Helaas, het is hoe men tegenwoordig werkt. Niet alleen bij Microsoft.
Dit moet wel heel erg effectief zijn, ik sta wel eens verbaast wat fabrikanten (zeker hardware fabrikanten, voor wie het echt geld kost om een review exemplaar te versturen) kennelijk allemaal over hebben om een product in een filmpje met een kwartier tot een half uur dom geleuter door een youtuber met veel kijkers te krijgen.
Dit werkt kennelijk erg goed als verkoopkanaal, wat toch wel zorgwekkend is.
(Semi-on-topic:) KB5004945 zorgt er ook voor dat mijn tweede beeldscherm niet meer werkt (opgelost door deze te de-installeren).
Door Anoniem: je zou er maar voor betaald hebben, voor die klungelarij....
Jammer dat dit soort draadjes steevast bevolkt worden door lui die niets nuttigs toe te voegen hebben, terwijl op deze site juist een bak kennis aanwezig is waar je praktisch iets aan hebt. Probleem oplossen > bashing.
Door Anoniem:
Jammer dat dit soort draadjes steevast bevolkt worden door lui die niets nuttigs toe te voegen hebben, terwijl op deze site juist een bak kennis aanwezig is waar je praktisch iets aan hebt. Probleem oplossen > bashing.
Door Anoniem: je zou er maar voor betaald hebben, voor die klungelarij....
Jammer dat dit soort draadjes steevast bevolkt worden door lui die niets nuttigs toe te voegen hebben, terwijl op deze site juist een bak kennis aanwezig is waar je praktisch iets aan hebt. Probleem oplossen > bashing.
Wat jij 'bashing' noemt is in feite het aan de kaak stellen van wat iedere professional al lang weet, namelijk (a) dat spaghetticode niet te onderhouden is, omdat een fix op de ene plek onvoorziene en niet te voorziene gevolgen heeft op andere plekken én (b) dat veel Microsoft software (met name Windows) alle kenmerken vertoont van een spaghetticodebouwwerk, met een vanaf het begin belabberde maar nu zeker achterhaalde architectuur (als daar überhaupt al sprake van is) én (c) dat je met closed source software bijna overal mee weg kan komen, waarbij de klant al snel de dupe wordt van commerciële afwegingen achter de schermen, van grote bedrijven zonder scrupules.
11-07-2021, 09:29 door
Erik van Straten
Door Toje Fos:
Wat jij 'bashing' noemt is in feite het aan de kaak stellen van wat iedere professional al lang weet, namelijk (a) dat spaghetticode niet te onderhouden is, omdat een fix op de ene plek onvoorziene en niet te voorziene gevolgen heeft op andere plekken én (b) dat veel Microsoft software (met name Windows) alle kenmerken vertoont van een spaghetticodebouwwerk, met een vanaf het begin belabberde maar nu zeker achterhaalde architectuur (als daar überhaupt al sprake van is) én (c) dat je met closed source software bijna overal mee weg kan komen, waarbij de klant al snel de dupe wordt van commerciële afwegingen achter de schermen, van grote bedrijven zonder scrupules.
Klopt.Door Anoniem:
Jammer dat dit soort draadjes steevast bevolkt worden door lui die niets nuttigs toe te voegen hebben, terwijl op deze site juist een bak kennis aanwezig is waar je praktisch iets aan hebt. Probleem oplossen > bashing.
Door Anoniem: je zou er maar voor betaald hebben, voor die klungelarij....
Jammer dat dit soort draadjes steevast bevolkt worden door lui die niets nuttigs toe te voegen hebben, terwijl op deze site juist een bak kennis aanwezig is waar je praktisch iets aan hebt. Probleem oplossen > bashing.
Wat jij 'bashing' noemt is in feite het aan de kaak stellen van wat iedere professional al lang weet, namelijk (a) dat spaghetticode niet te onderhouden is, omdat een fix op de ene plek onvoorziene en niet te voorziene gevolgen heeft op andere plekken én (b) dat veel Microsoft software (met name Windows) alle kenmerken vertoont van een spaghetticodebouwwerk, met een vanaf het begin belabberde maar nu zeker achterhaalde architectuur (als daar überhaupt al sprake van is) én (c) dat je met closed source software bijna overal mee weg kan komen, waarbij de klant al snel de dupe wordt van commerciële afwegingen achter de schermen, van grote bedrijven zonder scrupules.
Jammer alleen dat verreweg de meeste open source producten net zo'n legacy spaghettibende zijn, het daarin ook barst van de kwetsbaarheden (die je sneller moet patchen omdat een diff van de open source onmiddelijk duidelijk maakt wat het probleem is) en je tegen nog meer compatibiliteitsproblemen aanloopt ondat de meeste mensen nou eenmaal Microsoft producten gebruiken.
Ik SNAK naar een fatsoenlijk, van de grond af veilig ontworpen, alternatief (niet van Google of Apple, en ook niet de een of andere BSD variant of iets anders met een geitenwollensokken /etc map).
Door Erik van Straten: ... Ik SNAK naar een fatsoenlijk, van de grond af veilig ontworpen, alternatief (niet van Google of Apple, en ook niet de een of andere BSD variant of iets anders met een geitenwollensokken /etc map).
Er zijn initiatieven, zoals:
https://www.rvo.nl/subsidies-regelingen/projecten/secure-os: Dit project voorziet in de ontwikkeling van een validatie model welke [sic] gebruikt gaat worden voor encryptie dwars door hard- en software.
Helaas vallen zij bij voorbaat al af want ze schrijven 'welke' i.p.v. 'die'.En zoiets als de seL4® Microkernel betreft alleen de kernel en is nog mijlenver van praktische toepassing, lijkt het. https:/sel4.systems/ (en de security.nl url processing code is verouderd want herkent geen recentere tld's).
Door Toje Fos:...
Er zijn initiatieven, zoals:
...
Er zijn initiatieven, zoals:
https://www.rvo.nl/subsidies-regelingen/projecten/secure-os: Dit project voorziet in de ontwikkeling van een validatie model welke [sic] gebruikt gaat worden voor encryptie dwars door hard- en software.
...
25k subsidie, dat gaat het niet worden!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.