Aanpassing Windowsregister voorkomt automatische download installatiesoftware
Vorige week hebben onderzoekers aangetoond hoe het mogelijk is om door het aansluiten van een muis of keyboard systeemrechten op een Windowscomputer te krijgen, maar een aanpassing van het Windowsregister voorkomt deze aanvalsvector. Dat laat Will Dormann weten, analist bij het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.
Hardwarefabrikanten die hun drivers bij Microsoft indienen om via Windows te verspreiden kunnen ook apparaatspecifieke co-installers opgeven, die automatisch na de installatie van de driver worden uitgevoerd. Wanneer een Razer-muis op een systeem wordt aangesloten zal Windows Update na de driver-installatie automatisch de Razer Synapse-software voor de muis downloaden, waarmee gebruikers het apparaat kunnen instellen. Het installatieprogramma wordt uitgevoerd door een Windowsproces met systeemrechten, waardoor ook het installatieprogramma systeemrechten heeft.
Tijdens de installatie wordt gebruikers gevraagd in welke map ze de software willen installeren. Vanuit het dialoogvenster is het mogelijk om een PowerShell-venster te starten dat ook met systeemrechten wordt uitgevoerd. De gebruiker kan vervolgens vanuit het PowerShell-venster allerlei commando's met systeemrechten uitvoeren. Bij het aansluiten van muizen en keyboards van fabrikant SteelSeries deed zich een soortgelijk probleem voor. Deze fabrikant besloot om de automatische start van het installatieprogramma bij het aansluiten van een nieuw apparaat proactief uit te schakelen
Dormann laat via Twitter weten dat een aanpassing aan het Windowsregister dit gedrag voorkomt en ervoor zorgt dat dergelijke installatieprogramma's niet meer automatisch worden gedownload. Via de optie "DisableCoInstallers" wordt het uitvoeren van co-installers bij het aansluiten van usb-apparaten geblokkeerd.
Deze instelling voorkomt dat het inpluggen van een apparaat admin rechten geeft (of eigenlijk SYSTEM dat is hoger dan administrator) aan iemand die geeft admin rechten heeft, dat is privilege escalation.
Net zoals al die andere handige tweaks die we vaker voorbij zien komen.
Aan de andere kant, een goed OS zou de gebruiker na installatie ook geen admin moeten maken. Niet dat een sudo optie ineens alle problemen oplost,want er zullen vast gebruikers zijn die toch wel alles accepteren, maar het voorkomt wel automatische installaties van ongevalideerde software zonder dat de gebruiker dit kan zien.
Aan de andere kant, een goed OS zou de gebruiker na installatie ook geen admin moeten maken. Niet dat een sudo optie ineens alle problemen oplost,want er zullen vast gebruikers zijn die toch wel alles accepteren, maar het voorkomt wel automatische installaties van ongevalideerde software zonder dat de gebruiker dit kan zien.
Bij typische Linux/Unix installaties werk je de hele tijd als een unprivileged user en met iets als su of sudo "word je root"
en mag je ineens alles.
Als je in Windows werkt als Administrator mag je wel veel dingen, maar niet alles. Daarvoor krijg je dan eerst weer een
waarschuwing en dat is natuurlijk net zo iets als de constructie met sudo. Juist met sudo is er het risico dat mensen op
een gegeven moment aanleren om overal sudo voor te typen, sommigen gaan wellicht zelfs denken dat dat rare woordje
sudo iets is wat je nou eenmaal altijd moet intikken op die vreemde Linux commandline.
Zelf gebruik ik sudo vrijwel alleen in combinatie met configuratiefiles in sudoers.d die 1 specifiek doel dienen mbt het voor
een bepaalde gebruiker uitvoeren van een bepaald commando. Ik zie niet zo het nut van het gebruik van sudo voor
alle systeemadmin, daarvoor zet ik gewoon 1 terminal window in de user root (via su of sudo bash) en daar werk ik normaal
niet in.
Net zoals al die andere handige tweaks die we vaker voorbij zien komen.
Aan de andere kant, een goed OS zou de gebruiker na installatie ook geen admin moeten maken. Niet dat een sudo optie ineens alle problemen oplost,want er zullen vast gebruikers zijn die toch wel alles accepteren, maar het voorkomt wel automatische installaties van ongevalideerde software zonder dat de gebruiker dit kan zien.
Bij typische Linux/Unix installaties werk je de hele tijd als een unprivileged user en met iets als su of sudo "word je root"
en mag je ineens alles.
Als je in Windows werkt als Administrator mag je wel veel dingen, maar niet alles. Daarvoor krijg je dan eerst weer een
waarschuwing en dat is natuurlijk net zo iets als de constructie met sudo. Juist met sudo is er het risico dat mensen op
een gegeven moment aanleren om overal sudo voor te typen, sommigen gaan wellicht zelfs denken dat dat rare woordje
sudo iets is wat je nou eenmaal altijd moet intikken op die vreemde Linux commandline.
Zelf gebruik ik sudo vrijwel alleen in combinatie met configuratiefiles in sudoers.d die 1 specifiek doel dienen mbt het voor
een bepaalde gebruiker uitvoeren van een bepaald commando. Ik zie niet zo het nut van het gebruik van sudo voor
alle systeemadmin, daarvoor zet ik gewoon 1 terminal window in de user root (via su of sudo bash) en daar werk ik normaal
niet in.
alle systeemadmin, daarvoor zet ik gewoon 1 terminal window in de user root (via su of sudo bash) en daar werk ik normaal
niet in.
Voor windows admins die ook Linux doen (meestal is het andersom) is het handig om cockpit te gebruiken: https://cockpit-project.org/
Wacht even! Je gaat toch geen GUI-laag installeren op je server alleen maar omdat je geen command line wil? Of kan je dit remote gebruiken, waarbij je server lean and mean blijft? Géén GUI op een server! Nergens voor nodig en het vergroot alleen maar je aanvalsoppervlak.
Voor windows admins die ook Linux doen (meestal is het andersom) is het handig om cockpit te gebruiken: https://cockpit-project.org/
Wacht even! Je gaat toch geen GUI-laag installeren op je server alleen maar omdat je geen command line wil? Of kan je dit remote gebruiken, waarbij je server lean and mean blijft? Géén GUI op een server! Nergens voor nodig en het vergroot alleen maar je aanvalsoppervlak.
Voor windows admins die ook Linux doen (meestal is het andersom) is het handig om cockpit te gebruiken: https://cockpit-project.org/
Wacht even! Je gaat toch geen GUI-laag installeren op je server alleen maar omdat je geen command line wil? Of kan je dit remote gebruiken, waarbij je server lean and mean blijft? Géén GUI op een server! Nergens voor nodig en het vergroot alleen maar je aanvalsoppervlak.
Dan vind ik het gaaf!
Voor windows admins die ook Linux doen (meestal is het andersom) is het handig om cockpit te gebruiken: https://cockpit-project.org/
Wacht even! Je gaat toch geen GUI-laag installeren op je server alleen maar omdat je geen command line wil? Of kan je dit remote gebruiken, waarbij je server lean and mean blijft? Géén GUI op een server! Nergens voor nodig en het vergroot alleen maar je aanvalsoppervlak.
Dan vind ik het gaaf!
Ik lees anders op https://cockpit-project.org/ dat je het pakket eerst moet installeren en enablen op de (linux) server. Daarna is het vanaf een moderne webbrowser remote te benaderen......
Voor windows admins die ook Linux doen (meestal is het andersom) is het handig om cockpit te gebruiken: https://cockpit-project.org/
Wacht even! Je gaat toch geen GUI-laag installeren op je server alleen maar omdat je geen command line wil? Of kan je dit remote gebruiken, waarbij je server lean and mean blijft? Géén GUI op een server! Nergens voor nodig en het vergroot alleen maar je aanvalsoppervlak.
Dan vind ik het gaaf!
Ik lees anders op https://cockpit-project.org/ dat je het pakket eerst moet installeren en enablen op de (linux) server. Daarna is het vanaf een moderne webbrowser remote te benaderen......
Ja? Dat wil nog niet zeggen dat je een GUI-laag op de server hoeft te installeren (een webservice heeft dat niet nodig). En pakketten installeren kan vanaf de commandline, remote zelfs via ssh. Allemaal op Linux natuurlijk want bij Windows is de GUI verspaghetticoded in het besturingssysteem en kan je helemaal niet spreken over een GUI-laag.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.