Gepubliceerd: Dinsdag 8 september 2009
Een dag voor Patch Tuesday is er weer een lek in Windows bekendgemaakt. Een aanvaller kan een pc met Windows Vista of 7 op afstand laten crashen.
Toon volledig artikel
File Sharing uitzetten en een Firewall gebruiken die poorten 139 en 445 dichtgooien. Dan ben je van het probleem af.
Nee, dan heb je een workaround verzonnen. Het probleem blijft gewoon bestaan, je hebt het alleen omzeild.
Nee, dan heb je een workaround verzonnen.
Bij mij staan alle poorten dicht die ik niet specifiek van buiten nodig heb. Ik dacht dat dit zo'n beetje best practise was, ongeacht de (on)veiligheid van je eigen netwerkje erachter.
Je internet gateway inderdaad afsluiten en alle inbound communicatie laten lopen via een VPN tunnel. Dat is IMHO ook het beste.
Zeker nu bekend geworden is, dat ook malicious code kan worden gestart:
Redmond has promised to patch a vuln that gives hackers complete control of PCs running the Windows 7 RTM, Vista, and 2008.
bron: TheRegister
Je kunt ook je netwerk uitschakelen of de voedingskabel verwijderen. Werkt gegarandeerd!
Waar je aan voorbij gaat is dat SMB nu eenmaal op veel locaties een vereiste is. Denk bijvoorbeeld aan de meeste kleine tot middelgrote bedrijfsnetwerken. SMB uitzetten of de poorten blokeren is gewoonweg niet een werkbare optie.
Wat mij keer op keer weer blijft verbazen is dat ze daar bij Microsoft nog steeds niet geleerd lijken te hebben om hun code met met betere input validatie uit te rusten. Je zou toch met alle gedonder met buffer overflows verwachten dat ze inmiddels geleerd zouden hebben beter te programmeren.
Het is leuk dat ze keer op keer beweren dat ze hun code "verbeterd" hebben, maar als dit soort problemen op blijven duiken in nieuwe code, dan geeft dat alleen maar blijk van het feit dat een bijscholingscursus voor hun programmeurs een noodzaak is.
Ooit in een grijs verleden, toen MS net begon met netwerken (MSNET). wilden ze even snel worden als die anderen. Lees Novel.
Wat deed MS? Die sloopte alle protocol violation detectie uit hun protocol stacks. En dat ging goed omdat de hardware steeds beter werd. Crackers bestonden nog niet. Iedereen wild het laten werken.
En zie, lieve kindertjes zo veroverde Microsoft de wereld met een wrakke protocol stack.
En reken maar niet dat Microsoft het ooit goed gaat doen, want iedereen is aan snelheid verslaaft. Af en toe een paar patches
is alles wat je krijgt.
Zorg zelf voor een goede router/firewall, dan word de meeste rottigheid wel tegen gehouden. En interne hakkers krijgen natuurlijk op staande voet ontslag.
Windows Firewall blockt standaard port 139, 445, e.a. Dus dit probleem zou je in de praktijk nooit moeten tegenkomen. Tenzij je geen enkele firewall gebruikt. Maar nog steeds een erg lelijke bug.
interne gebruikers kunnen heel erg zijn!
voor sommigen is er niets leukers dan de desktop van de baas laten crashen. Dat was in de ping of death tijd al
Hier een diff met deze code, zodat je het ip vanaf de commandline kunt meegeven.
# diff Smb-Bsod.py Smb-Bsod_v0.1.py
4a5
> from optparse import OptionParser
6c7,12
< host = "IP_ADDR", 445
---
> use = "Usage: %prog ipaddress"
> parser = OptionParser(usage = use)
> options, args = parser.parse_args()
> address = args[0]
>
> host = address, 445
SMB is toch altijd al zo lek als een mandje geweest. Ik herinner me een enorme stortvloed aan wormen en virussen die via deze service naar binnen wandelden. Ongelooflijk dat het ze nog steeds niet lukt een veilige implementatie te verzinnen.
Redelijk???????!!!!!!!!
Samba-Runs-Rings-Around-Windows-2003
Wij hebben net een Windows SBS 2003 -> Samba migratie uitgevoerd bij een klant. Het is gewoon onvoorstelbaar met welke problemen Windows gebruikers door het platform zijn opgescheept.
SED's legendarische woorden zijn hier wel toepasselijk:
Dus kritische gaten 3 jaar open laten staan, oude versies meeleveren met bekende gaten, en updates lopen structureel achter. De prijs van succes vrees ik. Daar zullen MS fans aan moeten leren wennen.
(heb tijdschaal flink moeten oprekken om hier toepasbaar te laten zijn)
Geef maar toe, je mist hem gewoon nu. Je ziet dat de discussie een stuk minder leuk is geworden... :)
Het missen is inderdaad vergelijkbaar met het gevoel van het net missen van de trein... Maar dan wel de variant van het net missen op een spoorwegovergang als de trein achter je langs raast met 140 km per uur. :)
Wat moet hij zeggen dan? Het lek is een feit en een probleem in netwerkomgevingen. Thuisgebruikers zullen er weinig last van hebben. De gemiddelde router laat geen verkeer naar binnen op de genoemde poorten en onderling de boel laten crashen zal de gemiddelde thuisgebruiker ook niet doen, net als File Sharing. Binnen een bedrijf is dit wel een probleem, zeker gezien Windows 2008 Server er ook vatbaar voor schijnt te zijn. Maar eigenlijk is toch alles al gezegd?!? Tijd voor wederom een snelle update van Microsoft dus...
Wat moet hij zeggen dan?
Nou, als dit weer een topic was met 'Apple', 'Mac' of 'iPhone' in de kop, stond SED voorop om alles zo ongenuanceerd als mogelijk te veroordelen. Dus ik vind de stelling niet heel vreemd.
Los van dat maak ik er me niet zo druk om, net zo min als ik me heel druk om maak als er wél 'Apple' o.i.d. in de kop had gestaan.
En nee, mijn reactie is niet off-topic, maar een volledig duidelijke mening op een vraag...
lees de nieuwe Apple problemen ( en linux) en zie dat tenminste MS er iets aan poogt te doen.
Waar blijft Apple met de patch?
( er is hooguit een slecht werkende en beperkte workaround)
Meer als antwoord op Queerfan.
Ik heb hier weinig aan toe te voegen.. het is een probleem dat men met spoed op moet lossen maar daar waren de meesten serieuze deelnemers het al over eens. Zie voor een goede samenvatting: U4iA op Dinsdag 8 September 2009 22:16
De Windows 7 disks worden as we speak gedrukt, dus die fout blijft erin.
Ik denk dat ik mijn collega ga plagen als hij Win7 gaat uitproberen eind oktober.
lees de nieuwe Apple problemen (en linux)
Ik gok dat je je verder in een mysterieus stilzwijgen gaat hullen of een oud nieuwtje gaat oprakelen?
Ik heb net even mijn Linux feeds doorgenomen, maar ik heb daar geen schokkend nieuws aangetroffen. Ik kan natuurlijk wat over het hoofd zijn, dus ik zou zeggen: Enlighten me.
On the bright side:
Microsoft, Cisco Finally Patch TCP DoS Flaw
The Microsoft Patch Tuesday release included the fix for the TCP flaw, which affects Windows Server 2003 and 2008, as well as Windows Vista, both the 32-bit and 64-bit editions, and Windows 2000 SP4, for which no fix is coming. The TCP flaws were identified several years ago and were made public last year by two researchers at Outpost24, developed a tool called Sockstress that tested for the flaw and was able to maintain extremely long-term TCP connections with remote machines using very little bandwidth.
Dit artikel is onjuist.
De denial of service werkt niet tegen Windows 7.
news.cnet.com/8...0347289-56.html
De exploit werkte mogelijk wel op een eerdere test versie van Windows 7 maar niet op de huidige final.
Dit is wel een remote issue maar alleen als je file en of printer sharing aan hebt staan. Dat is bij Vista op het internet standaard niet het geval.
Dit issue zal dus vooral een rol spelen in local area networks.
Leuk voor scriptkiddies die hun schoolcomputers willen platleggen misschien.
Wat je vergeet is dat het ding ook gewoon op localhost uitgevoerd kan worden. Dus naast een remote exploit kan het spul dus ook als local exploit gebruikt worden. Iemand een executable laten openen is niet zo moeilijk.
als echte local host kun je zelfs op de reset knop drukken ;)
Is een stuk sneller en effectiever..
En zoals gezegd ( lees ook update) het werkt niet op W7!
Met local bedoelt hij softwarematig op dezelfde computer, niet fysiek als in dezelfde werkplek.
Snap je dit niet of ben je aan het trollen?
Snap je dit niet of ben je aan het trollen?
yeah right.. en dat van onze local supertroll ;)
Ga toch spelen joh.
Dezelfde flauwe reactie geef je op humor waar je absoluut geen gevoel voor hebt ( zie de vele erg flauwe filmpjes die je telkens linkt) Er is niks zo erg als geleende grappen die je vervolgens niet begrijpt. Daar ben je een prachtig voorbeeld van.
Leuk, net even geprobeerd en windows 7 gaat mooi dood.
Doet me denken aan een exploit van een paar jaar geleden waardoor je met een simpel C programmaatje met NULL logins op SMB de meeste windows versies kon laten crashen.
Natuurlijk kan het voorkomen dat er een bugje zit in een service en dat deze crasht.
Wat ik echt NIET snap is dat het complete OS meegaat als er een service overlijdt. Als SMB doodgaat moet de mogelijkheid tot herstarten van de service komen, maar het OS moet gewoon doordraaien.
Wat ik echt NIET snap is dat het complete OS meegaat als er een service overlijdt. Als SMB doodgaat moet de mogelijkheid tot herstarten van de service komen, maar het OS moet gewoon doordraaien.
Dat is omdat Microsoft nog steeds niet doorheeft dat applicaties geen onderdeel horen te zijn van de Kernel.
Zelfs niet om rechtszaken over monopoly misbruik te voorkomen.
Update on the update:
Critical bug infests newer versions of Microsoft Windows
The bug, which fails to adequately parse network negotiation requests, was previously believed only to generate a debilitating blue screen of death, but on Tuesday, Microsoft confirmed in some cases it could also be used to remotely execute malicious code on vulnerable machines.
...
Still, the advisory means that at present there are at least two zero-day vulnerabilities in Microsoft products that are relied on by large business customers.
(link is naar TheRegister)
on vulnerable machines
lezen blijft lastig voor je.. W7 en 2008R2 zijn niet kwetsbaar. Bepaalde oudere systemen wel, de support daarvoor loopt gewoon nog dus een patch komt.
Wist je dat windows 95 ook niet helemaal stabiel was (desgewenst helemaal niet).. met wat zoekwerk is daar vast een linkje naar te vinden ;)
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
