
Ormandy maakt exploit voor 0-day in Windows t/m 8
Google's security-expert Tavis Ormandy heeft een werkende exploit gemaakt voor het door hem ontdekte 0-day gat in Windows van NT t/m 8.
Google's security-expert Tavis Ormandy heeft een werkende exploit weten te maken voor het door hem ontdekte 0-day gat in Windows. Deze kwetsbaarheid zit in versies NT tot en met 8, inclusief de servervarianten NT, 2000, 2003 en 2008.

Ormandy maakt exploit voor 0-day in Windows t/m 8
Google's security-expert Tavis Ormandy heeft een werkende exploit weten te maken voor het door hem ontdekte 0-day gat in Windows. Deze kwetsbaarheid zit in versies NT tot en met 8, inclusief de servervarianten NT, 2000, 2003 en 2008.
In het rijtje kwetsbare Windows-versies noemt Ormandy niet de meest recente serverversie (2012) van Microsofts besturingssysteem. Alle andere versies en varianten worden wel genoemd als zijnde vatbaar voor de lokale exploit die toegang op kernelniveau geeft. Het gaat om een kwetsbaarheid in de Windows-kerneldriver Win32k.sys.
Windows NT/2K/XP/2K3/VISTA/2K8/7/8 EPATHOBJ local ring0 exploit article.gmane.org/gmane.comp.sec…
— Nicolas Krassas (@Dinosn) June 3, 2013
De bekende security-expert, die in dienst is bij Google, heeft die kwetsbaarheid twee weken terug geopenbaard. Toen was er nog geen manier om er concreet misbruik van te maken middels malware. Wel was het mogelijk om crashes te veroorzaken. Nu heeft Ormandy zijn 0-day weten om te zetten in een misbruikbaar beveiligingsgat.
Idee aangedragen
Daarbij spreekt de onderzoeker zijn dank uit voor hulp van hacker progmboy die hem een idee voor exploitation heeft geopperd waar hij zelf niet aan had gedacht. Dit is het terugspringen tijdens de hele complex triggering van de kwetsbaarheid om een SystemCall-parameter op te halen. Dat levert dan, uiteindelijk, de mogelijkheid op om eigen code uit te voeren op een Windows-systeem.
De 'tussenstap' aangedragen door Programmeboy moet mogelijk wel enkele keren achter elkaar worden uitgevoerd, merkt Ormandy op. De benodigde geheugentoewijzing (allocation) om de eigen code uit te voeren, treedt namelijk niet altijd meteen op. "Het crash niet als het niet werkt, dus je kunt het blijven proberen", geeft de security-expert als aanwijzing. Hij weet niet zeker of dit nog valt te verbeteren, om de exploit betrouwbaarder of sneller te maken.
Lokaal, maar wel Ring 0
De maandag geopenbaarde exploit raakt de kernel, die draait in het zogeheten Ring 0 van het besturingssysteem. De impact is nog enigszins beperkt doordat het gaat om een lokale exploit. Een kwaadwillende moet dus al zijn binnengedrongen op een computer om deze aanvalscode los te kunnen laten. Dan valt een Windows-machine echter wel volledig te pwnen.
maar het is helemaal geen hobbyproject. Hij krijgt gewoon salaris voor zijn werk
@outsider
Het gaat om een bijdrage in spare time
Er zijn MS programmeurs die bijdagen leveren aan linux ( net zoals ca 80% van de linux code uit commerciele hoek komt) en die zijn daar inderdaad op aanspreekbaar.
weer afleiding nodig van het onderwerp? Gebrek aan argumenten zeker weer eens.. tja.
Dus volgens Blieb als er Microsoft programmeurs in hun vrije tijd werken aan Linux en die zijn er is Microsoft verantwoordelijk voor Linux?
Deze voormalige MS medewerker had het windows8 resultaat trouwens aardig voorspeld:
[Link]
maar het is helemaal geen hobbyproject. Hij krijgt gewoon salaris voor zijn werk.
gezellig, een flamewar ;-)
OK, Ik wil best toegeven dat ik niet wist dat er zo'n gat zit in de auteurswetgeving, dat werkgevers eigendomsrecht kunnen claimen op een werknemers hobby project.
Maar dat is iets heel anders dan dat Google juridisch aansprakelijk is voor Ormandy's hobby project.
@ (☻☺☻)
Auterusrecht is door vele verdragen redelijk gehomologiseerd in de wereld.
Als de amerikaanse wet op dit anders is dan wil ik daar wel wat bewijs van zien.
--
--
"Jij zou graag willen dat Google aansprakelijk zou kunnen worden gesteld voor eventuele schade, die Ormandy's hobby teweeg brengt"
--
Dat is ook weer onzin want het publiceren van lekken en exploits in het kader van security onderzoek is in de VS niet verboden. Dat valt onder de vrijheid van meningsuiting. Google mag dat dus gewoon doen.
Het is echter wel heel schadelijk voor consumenten die in de toekomst bestookt kunnen worden met malware op basis van zo'n exploit (misschien niet deze specifiek want het is een maar local exploit en geen remote exploit).
Het is dus goed gebruik te wachten op een patch of in ieder geval een partij daar voldoende tijd te gunnen om een patch uit te brengen zodat de consumenten beschermd blijven.
Jij zou graag willen dat Google aansprakelijk zou kunnen worden gesteld voor eventuele schade, die Ormandy's hobby teweeg brengt. Maar helaas. Dat gaat dus niet op.
Dat geldt dus voor de Nederlandse wet, en die is dus niet dezelfde als de Amerikaanse wet.
Dat stuk in intermediair gaat over het specifieke geval van iemand die een app maakt en er "auteursrecht" in het spel is. Dat gaat heus niet op in elk geval waar er raakvlakken zijn tussen hobby en werk.
Hier nog een linkje met een voorbeeld van een app bouwer:
[Link]
Ik heb je de link naar het blog van Arnoud Engelfriet al gegeven. Lees het nog eens zou ik zeggen.
Daarin staat duidelijk dat het een misverstand is om te denken dat als iets buiten werktijd gemaakt wordt het dan niet van de wekgever zou zijn.
De auteurswet zegt ook alleen iets over bij wie je in dienst bent. Die is eigenaar van elk werk dat je maakt mbt je dienstverband.
Het zegt niets over het vervaardigen in werktijd of in eigen tijd.
Nee Blieb, Ook al zeg je iets, het maakt nog niet dat het ook waar is. Geef maar eens voorbeelden van waar bedrijf X eigendom is van - en juridisch aansprakelijk is voor - een hobby project van een van zijn werknemers. Als het juridisch allemaal zo duidelijk is, moet het toch een eitje voor je zijn om met een aantal voorbeelden te komen. En iets als waar 2 mensen aan een handleiding werken is niet echt een voorbeeld wat hier van toepassing is.
@ (☻☺☻)
Dan kan jij wel claimen maar juridisch is het vrij duidelijk dat wat hij publiceert tav zijn security werk gewoon van Google is.
Ook als hij dat in zijn eigen tijd doet.
Nee Blieb, Wat Ormandy in zijn vrije tijd doet/creëert is niet van Google en kun je Google dus niet aanrekenen. Simpel.
Hij is gewoon een security engineer in dienst van Google. Alles wat hij zegt of doet mbt zijn security werk is dus effectief het werk van Google en daar is Google dus ook verantwoordelijk voor
Lees anders nog eens:
[Link]
Webwereld's niveau in de reacties :r
.
Webwereld is geen FOK! of Tweakers, jongens! -.-
@Outsider, Het enige wat JIJ doet is onaangenaam wezen. Verder kom je nergens mee. Geen bewijs, alleen maar vervelend doen. In de link die Uberbofh gaf staat duidelijk dat Ormandy dit soort reverse-enginering als hobby doet. En ga nu maar weer verder door met onaangenaam wezen.
"Als het kwaakt als een..."? Als er een hond in je gezicht staat te blaffen denk je nog dat het een eend is :-) Verder heb IK trouwens geen meerdere accounts nodig.
Security research is zijn hobby. Dit doet hij niet alleen voor Google maar ook als hobby: [Link] en niet alleen windows maar ook andere besturingssystemen neemt hij onder de loop.
.
@outsider ga nu niet andere van dubbele accounts beschuldigen. Je bent pas zelf ontmaskert. Je aanhef is ook weer geheel in sed stijl .Zielig hoor.
@dirty faces ( was fuckface ook al een nick van je? Hoeveel actieve accounts heb je hier wel niet?)
Het feit dat hij geen google account gebruikt is inderdaad een overtuigend argument? LOL...
Feit Ormandy werkt voor google.
Zijn taak is precies wat hij hier doet.. leken opsporen
het waggelt, het kwaakt het lijkt op een eend.. tja wat zou dat nu toch zijn ;)
Een security onderzoeker met een te groot ego en geen verantwoordelijkheidsgevoel die een OS van de concurrent in diskrediet poogt te brengen..
Eigen bugs ( soms al behoorlijk oud in chromium kan ineens wel anders.. [Link]
Tavis op zijn best..
Maar 8ista was toch zo veilig mijnheer! LOL
Meneer Ormandy gebruikt niet eens een Google email account om te communiceren over deze materie.
@Outsider, gut, kom eerst maar eens met bewijs dat hij dit in opdracht doet van Google. Ik heb mijn redenatie gegeven waarom ik ik denk dat dit een hobby project is van Tavis Ormandy. Als jij weet dat dit niet zo is: kom maar met je bewijs.
triest figuur om eerst anderen een code te laten ontwikkelen en dan deze te publiceren met een klein dankje.. dit gaat om een te groot ego waar google maar wat graag gebruik van maakt.
@dirtyfaces, waar haal jij de overtuiging vandaan dat hij dit buiten google om doet?
Geef daar eens een bron van....
Wat sterker nog? ... vertel! Leg nu eens uit waarom zijn hobby eigenlijk eigendom is van Google?
Sterker nog. De exploitcode die hij publiceert is juridisch gezien gewoon code van Google.
Je kan dus in juridische zin gewoon stellen dat Google hier een Windows exploit publiceert.
Ik denk dat zijn werk als security researcher voor Google veel meer gaat om gaten en veiligheidsrisico's te vinden in software en diensten van Google.
Het zou vreemd zijn als hij werk gaat zitten te doen, om MS te helpen zijn software veiliger te maken, in opdracht van Google.
Lijkt mij veel logischer dat hij dit doet in zijn vrije tijd, puur om zijn persoonlijke kick te krijgen
Dus alles wat jij hier zegt wat eventueel ook een raakvlak heeft met jouw werk, daar is je werkgever aansprakelijk voor. Vreemde opvatting.
Als iemand in dienst is van Google als security researcher en hij gaat dan security lekken publiceren dan lijkt me dat wel degelijk werkgerelateerd en, jawel, is Google ook juridisch aansprakelijk daarvoor.
Als hij gaat zitten keuvelen over zaken ongerelateerd aan zijn werk niet.
.
Maar dit gaat juist puur over zijn werk.
Jij bent ook ergens in dienst. Is jou werkgever dan ook aansprakelijk voor wat jij hier allemaal neer plempt?
@ (☻☺☻)
Hij geeft gewoon zelf aan in dienst te zijn bij Google.
@Blieb, En misschien, heel misschien wordt jou het nu duidelijk dat die gozer dit allemaal niet in opdracht van Google doet. Zou dat mogelijk zijn, denk je?
Aangezien er hier geen sprake is van actieve exploitatie van ddeze kwetsbaarheid blijft het openbaren in strijd met de Google gedragscode rondom kwetsbaarheden.
Reageer
Preview