Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Allemaal! 0-day treft álle Windows versies!

02-11-2021, 08:22 door [Account Verwijderd], 14 reacties
Laatst bijgewerkt: 02-11-2021, 08:23
https://www.bleepingcomputer.com/news/security/all-windows-versions-impacted-by-new-lpe-zero-day-vulnerability/

Madre de Diablo! Dit is toch écht niet mis! Alle Windows versies zijn kwetsbaar voor deze nieuwe vulnerability!
Reacties (14)
02-11-2021, 08:57 door Vuurvliegje87
Wat ik alleen niet begrijp is, je moet dus credentials hebben.
Maar hoe kun je als "User" in een domein een "admid Commandpromt" openen?
Daarvoor moet je inloggen met een Domein Admin account of een Local Admin account..

Kan iemand mij dit uitleggen?
02-11-2021, 09:12 door Anoniem
Door Vuurvliegje87: Wat ik alleen niet begrijp is, je moet dus credentials hebben.
Maar hoe kun je als "User" in een domein een "admid Commandpromt" openen?
Daarvoor moet je inloggen met een Domein Admin account of een Local Admin account..

Kan iemand mij dit uitleggen?

Zoals ik het lees open je zelf ook geen 'admin command prompt'. Je opent met standaard rechten iets anders met de credentials van een andere gebruiker (je hebt dus 2 setjes credentials nodig) en terwijl de UAC prompt verschijnt om toestemming te vragen zorgt deze exploit ervoor dat er een command prompt verschijnt met SYSTEM rechten. Zoals ik lees is het ook niet een heel betrouwbare exploit, hij werkt dus niet altijd.

Het stuk wat geschreven wordt over het feit dat Microsoft blijkbaar aan symptoombestrijding doet i.p.v. het daadwerkelijke onderliggende issue oplossen is wel zorgelijk.
02-11-2021, 09:57 door Anoniem
Toje.. toje... toje...

Uit het artikel:
"As this bug requires a threat actor to know a user name and password for another user, it will not be as heavily abused as other privilege elevation vulnerabilities we have seen recently, such as PrintNightmare.

"Definitely still a problem. And there may be scenarios where it can be abused. But the 2 account requirement probably puts it in the boat of NOT being something that will have widespread use in the wild," Dormann told BleepingComputer."

Ja... Het is een bug
Nee, de soep wordt niet zo heet gegeten als je paniekerige kop doet vermoeden.. ;)
02-11-2021, 14:16 door Anoniem
Doet me denken aan een probleem in sharepoint, volgens mij is dat opgelost. Daar kon je als lid van een sharepoint groep een ander lid uitnodigen en dan kon je opgeven dat die "beheerder" moet worden, ook als je zelf geen beheerder bent. Die ander krijgt dan een mail met een link en als ie daar op klikt is ie dus beheerder van die groep en kan jou ook beheerder maken, en daarna kun je die gebruiker er weer uit gooien.
Op die manier kon je als je 1 andere gebruiker in hetzelfde bedrijf kent die nog geen lid van die groep is (ofwel je weet het wachtwoord ofwel je hebt zijn of haar medewerking) jezelf promoten tot beheerder.
02-11-2021, 15:06 door winux4 - Bijgewerkt: 02-11-2021, 15:08
Alsof zoiets bij andere OS niet gebeurt... Trof vrijwel alle Linux distro's en ook Macs.

https://securityboulevard.com/2021/02/the-linux-flaw-you-cant-afford-to-ignore-cve-2021-3156/


The Security Concern
This vulnerability in sudo has been present for nearly 10 years, all sudo versions prior to sudo 1.9.5p2 are to be considered vulnerable. The issue is Linux is embedded everywhere, yet many systems are rarely, and even never updated. From IoT devices to internet-based services, the security of countless devices and web-based services’ are dependant upon a secure Linux account privilege model. While their Linux operating systems remain unpatched to prevent exploitation of the CVE-2021-3156 vulnerability, they sit there insecure and waiting to be hacked.

Niets is 100% veilig...
02-11-2021, 20:44 door Anoniem
Zucht . .
02-11-2021, 20:49 door [Account Verwijderd]
Door Anoniem: Toje.. toje... toje...

Uit het artikel:
"As this bug requires a threat actor to know a user name and password for another user, it will not be as heavily abused as other privilege elevation vulnerabilities we have seen recently, such as PrintNightmare.

"Definitely still a problem. And there may be scenarios where it can be abused. But the 2 account requirement probably puts it in the boat of NOT being something that will have widespread use in the wild," Dormann told BleepingComputer."

Ja... Het is een bug
Nee, de soep wordt niet zo heet gegeten als je paniekerige kop doet vermoeden.. ;)

Hij relt graag als er maar 'een windows' aan vooraf gaat.
Of anders verzint hij bij een topic wel 'een windows' als dat woord niet is gevallen.
03-11-2021, 20:15 door [Account Verwijderd]
Door Ard van Wiersum:
Door Anoniem: Toje.. toje... toje...

Uit het artikel:
"As this bug requires a threat actor to know a user name and password for another user, it will not be as heavily abused as other privilege elevation vulnerabilities we have seen recently, such as PrintNightmare.

"Definitely still a problem. And there may be scenarios where it can be abused. But the 2 account requirement probably puts it in the boat of NOT being something that will have widespread use in the wild," Dormann told BleepingComputer."

Ja... Het is een bug
Nee, de soep wordt niet zo heet gegeten als je paniekerige kop doet vermoeden.. ;)

Hij relt graag als er maar 'een windows' aan vooraf gaat.
Of anders verzint hij bij een topic wel 'een windows' als dat woord niet is gevallen.

Dit gaat toch wel degelijk over weer een probleem met Windows en neem speculaties over dat het allemaal niet zo erg zou zijn s.v.p. op met de auteur van het artikel.
03-11-2021, 20:40 door Anoniem
Door Toje Fos: https://www.bleepingcomputer.com/news/security/all-windows-versions-impacted-by-new-lpe-zero-day-vulnerability/

Madre de Diablo! Dit is toch écht niet mis! Alle Windows versies zijn kwetsbaar voor deze nieuwe vulnerability!

Het moet toch heerlijk voor jou zijn om dergelijk schokkend nieuws hier te kunnen melden. Jij hebt voorlopig geen Viagra meer nodig, hier kan je nog lang op teren.

;-)
03-11-2021, 22:34 door Anoniem
Ik ben het zeer vaak oneens met argumenten die Toje Fos aanvoert als hij, zij iets post zeker als het aankomt op enige Windows vs Linux post of discussie die meestal zich aarin ontaard. Maar dat is hier niet van toepassing (of althans tot nu toe)

Ik denk dat we hier wel moeten kijken naar het hele traject en dat sommige hier zich ook een beejte laten beinvloeden door wie het gepost heef. Dit is een oude bug exploit Microsoft heeft gekozen voor een niet adequate patch door symptomen bestrijden maar niet de oorzaak. Dat is te zien in de documentatie die de onderzoeker ook geeft als aanvulling op de PoC (te vinden hier https://github.com/klinix5/ProfSvcLPE/blob/main/write-up.docx) en ook toegelicht nogmaals door 02-11-2022 09:12 door Anoniem

En even specifiek het zorgelijke stukje in het document toegelicht:
This normally should be able to fix any junction related bug, but it doesn’t.
This code only expect that we cannot control both directories parent, in our case we can.

Kijk goed naar de code toegelicht in het document en je snapt waarom de onderzoeker hier terecht een punt van maakt.
Het klopt inderdaad dat de PoC niet 100% werkbaar is waarom is dat? Geen idee wij hebben ook simulaties gedraait en kregen 68 op 100 simulaties dat het lukte met exact zelfde systeem image en tijd van snapshot. Het is en blijft het exploiten van een bug en dat maakt dit ook lastig want als de PoC niet 100% werkbaar is is de oplossing die doorgevoerd moet worden ook lastiger te ontwikkelen voor de leverancier (in dit geval Microsoft) En het lijkt erop dat hun bekende code remedie niet afdoende is voor dit nieuwe type exploit. Dus dit wordt waarschijnlijk gepuzzel en de oplossing kan nog wel eens op zich laten wachten. Ik heb ook nog nergens een mitigation strategy of solution gevonden in officiele kanalen als in de community.

Maar veel belangrijker dan de onzekerheid over het succescvol uitvoeren van de exploit in de PoC is de PoC gebaseerd op privilege escalation met twee bekende accounts en wachtwoorden. **Maar** de onderzoeker geeft ook aan dat mogelijk het kan met het weten van een enkel set van acount en wachtwoord in plaats van twee en kan het zijn dat een volgende PoC (als dat er nog komt van waarschijnlijk Trend Micro) dit aanzienlijk makkelijker maken om te misbruiken en aantrekkelijk voor gerichten aanvallen.


Dus ik wil adviseren aan mede ITers hier die Windows omgevingen beheren, Ja natuurlijk blinde paniek is nooit goed maar ik zou wel de status van deze exploit van guarded zien als elevated want de geschiedenis leert ons dat dit soort bugs vaker later groter blijken te zijn (kijk naar Print nightmare)

Zodra bevestigd wordt dat het echt niet mogelijk is zonder een tweede account denk ik dat we deze minder intensief kunnen gaan monitoren maar iedergeval bij ons staat hij op dit moment hoger in de scenario lijst puur om de onzekerheid die op dit moment er nog rond hangt maar wel met een bewezen PoC een niet effectieve patching en een zeer aantrekkelijke methode als blijkt dat dit niet twee account wachtwoorden vereist.

Als er tegen argumenten zijn dit minder serieus te nemen dan voer ze a.u.b. aan ze worden op prijs gesteld. Altijd voorstander van minder werk hoeven te doen.
04-11-2021, 19:25 door Anoniem
Door Anoniem: Toje.. toje... toje...

Uit het artikel:
"As this bug requires a threat actor to know a user name and password for another user, it will not be as heavily abused as other privilege elevation vulnerabilities we have seen recently, such as PrintNightmare.

"Definitely still a problem. And there may be scenarios where it can be abused. But the 2 account requirement probably puts it in the boat of NOT being something that will have widespread use in the wild," Dormann told BleepingComputer."

Ja... Het is een bug
Nee, de soep wordt niet zo heet gegeten als je paniekerige kop doet vermoeden.. ;)
We houden de ransomware attacks in de gaten.
05-11-2021, 14:11 door A.J.
Onze Linux predikant maakt zich weer vreselijk druk om niks.
06-11-2021, 18:01 door [Account Verwijderd]
[Verwijderd door moderator]
06-11-2021, 19:22 door Japie Apie
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.