'Ernstig lek' in Windows en Internet Explorer

De site Secunia komt met een advisory over een 'ernstig lek' in Windows en Internet Explorer. Het lek waar melding van wordt gemaakt komt door een zogenaamde 'boundary error' waardoor het lek geëxploiteerd kan worden en zodoende een 'buffer overrun' veroorzaakt worden door hackers met kwade bedoelingen. Bij een succesvolle hack kan er foute code worden gedraaid en kan Internet Explorer via de code gedwongen worden verbinding te maken met een 'foute' fileserver of website.

Volgens een artikel in de Microsoft Knowledge Base zou SP1 voor Windows XP en SP4 voor Windows 2000 het lek moeten hebben gedicht, maar er zijn volgens het Secunia-artikel meldingen van succesvolle inbraken bij volledig gepatchte systemen. De naam die het lek heeft gekregen van Secunia is 'Windows Explorer / Internet Exporer Long Share Name Buffer Overflow' en er wordt dan ook geadviseerd om bij netwerkkaarten de "Client for Microsoft Networks" uit te schakelen teneinde filesharing-verkeer te beperken.

Reacties (79)

Delta2

27 april 2004 23:07

Ze willen me nu serieus gaan vertellen dat er mensen zijn die nog andere opties behalve TCP/IP hebben openstaan op hun internet verbinding ?

Of trek ik nu de verkeerde conclusie uit de tekst ?

Verwijderd @Delta2 • 28 april 2004 10:21

"Client for Microsoft Networks" is een client, TCP/IP is een protocol. Dus ja er zijn mensen die beide hebben omdat dat standaard zo wordt geinstalleerd (in de meeste gevallen). Dat is hartstikke handig voor een thuisnetwerkje maar als je het ook op een externe verbinding hebt zitten dan zie ik dat ook als een deur sluiten en de sleutel erop laten zitten. Het sluiten van een alle inkomende TCP en UDP poorten (en expliciet openen van degene die echt nodig zijn) is dan eigenlijk ook een verplichting! Het is niet Windows wat een LEK heeft maar het zijn de gebruikers die hun computer niet beveiligen. Nu zijn er veel mensen die net met een computer kunnen werken maar daar zie ik dan ook de taak van de provider om bij de installatie ook die PC dicht te spijkeren. Mensen met een doe-het-zelf-pakket moeten dit als extra service kunnen bestellen.

Ik ben blij dat Microsoft nu hard werkt om het andersom te doen zodat alles standaard dicht staat en je open kunt zetten wat je wilt.

Janoz Moderator PRG/SEA @Verwijderd • 28 april 2004 10:42

Je haalt hier twee dingen door elkaar. Dat het mogenlijk is om van buitenaf (of van binnenuit geinitieerd) een smb verbinding te krijgen is inderdaad een fout van de gebruiker en niet van windows.

Dat het protocol door een bug gebruikt kan worden om de computer over te nemen is wel de fout van microsoft.

Het is dus wel een lek van windows, maar een fout van de gebruiker dat het lek ook via internet (ipv alleen het lan) misbruikt kan worden.

tweakerbee @Delta2 • 27 april 2004 23:09

Wat als je die kaart voor zowel internet als netwerk gebruikt?
Ik weet dat het inherent onveilig is, maar je zult verbaasd staan hoeveel mensen dat doen.

Hoewel ik mij afvraag in hoeverre een NAT systeem vatbaar is...

blade181 @tweakerbee • 28 april 2004 00:10

Ik denk dat een NAT systeem het wel tegenhoudt moet ik zeggen.

Er kan namelijk nooit een verbinding van buiten opengezet worden naar binnen.

Zodra de pakketjes opnieuw geschreven zijn (NAT veranderd source ip's etc) dan wordt het IP gebruikt van de pc die direct verbonden is met internet. Dus het lijkt me voldoende beschermd.

jkf @blade181 • 28 april 2004 06:48

Een NAT systeem is volledig vatbaar aangezien jouw computer de verbinding opzet na te zijn getriggerd door bijvoorbeeld het volgen van een link. Ook smb kan gewoon genat worden. Als je in de box waar je nat uitvoert ook firewall rules hebt gezet, poorten gesloten bv, dan kan die dit tegenhouden.

Verwijderd @tweakerbee • 28 april 2004 09:52

Met NAT zit je niet veilig. Ik snap ook werkelijk niet dat mensen denken dat wanneer ze een router gebruiken met NAT dat ze 100% secure zitten.

Natuurlijk kan je wel (zoals op bijna alle routers) NETBIOS verkeer e.d. van buiten af blocken. Je router zal dit dan niet routeren naar en van het LAN.

Maar zoals altijd adviseer ik ook hiernaast gewoon een degelijke Firewall te installen zoals Zone Alarm Pro.

Targeter @Verwijderd • 28 april 2004 12:33

nu haal je NetBEUI en NetBIOS door elkaar. NetBIOS draait wel degelijk over TCP/IP en kan dus ook meegerouteerd worden.

(edit: reactie op freaky)

delenn @Verwijderd • 28 april 2004 14:19

Zodat meer mensen de helpdesk kunnen bellen omdat hun zonealarm de POP3 verbinding spontaan is gaan blokkeren.

freaky @Verwijderd • 28 april 2004 11:04

Tenzij je over netbios over ip praat zou ik het knap vinden als je dat uberhaupt over het internet bij mij kunt krijgen.

Netbios is nl geen IP en het is ook niet routable.

PoisonouZ @tweakerbee • 28 april 2004 02:35

Daarnaast blokken de grote isp's als @home verkeer over die portjes dus

bogy @PoisonouZ • 28 april 2004 05:49

dat is niet altijd een "feature"...

mijn provider blokkeert niets, en dat is net de reden waarom ik bij mijn provider zit

Verwijderd @PoisonouZ • 28 april 2004 09:53

"Daarnaast blokken de grote isp's als @home verkeer over die portjes dus"

Net als NAT, meestal wel inkomend, maar niet uitgaand.

Chatslet @PoisonouZ • 28 april 2004 10:21

@bogy:
welke provider heb je?

alt-92 @Delta2 • 27 april 2004 23:21

Afgaande op de hoeveelheid Windows Networking broadcasts die ik hier op een kabel internetaansluiting zie is dat wel het geval..
(ook al draait er vaak wel iets van Symantec wat zich firewall noemt)

voodooless @Delta2 • 27 april 2004 23:11

99% van de mensen weten niet eens wat TCP/IP is, laat staan Client for Microsoft Networks...

egeltje @voodooless • 28 april 2004 07:10

En zet het dus braaf uit en gaat dan klagen dat ze niet meer bij shares en bij netwerk printers kunnen...

Dit is natuurlijk een leuk verhaal voor thuisgebruikers, maar in een kantooromgeving heb je hier niets aan.
De buitenkant is vaak goed beschermd door een firewall (harde schelp), maar de binnenkant is vaak helemaal open (weke massa). Er hoeft daar vaak maar een grapjas het te proberen (of met een geinfecteerde laptop binnen te komen) en hopla, voor je het weet heeft iedereen het.

Uit het orginele artikel:

NOTE: Secunia would normally rate this kind of vulnerability as "Moderately critical", since this kind of traffic should be restricted to a LAN via border routers and firewalls. However, this is not the case on many networks, which leads to the higher rating.
Beetje flauw he? Zo kun je dus lekker makkelijk alles op 'highly critical' gooien wat met SMB te maken heeft.

Jerdenberg 28 april 2004 08:54

Het advies om de Client uit te schakelen is secundair. Zoals het oorspronkelijke artikel zegt:
normaliter alleen bedreiging vanuit lokaal netwerk, maar bij slecht opgezette verbinding met "buiten" ook vanaf internet. Eerste advies is (logischerwijs) de verbinding met buiten te fatsoeneren; het uitschakeladvies is symptoombestrijding.

Sorcerer8472 27 april 2004 23:26

Er is nog een andere exploit in omloop welke veel gevaarlijker is voor systemen waar NetBIOS internet- of ander-wan-toegankelijk is!!!:

securityresponse.symantec.com/avcenter/venc/data/hacktool.lsasssba.htm l
www.k-otik.com/exploits/04252004.ms04011lsass.c.php

Ik wens alle sysadmins veel plezier morgen.

wildhagen

@Sorcerer8472 • 28 april 2004 06:39

Daar is al ruim 2 weken een patch voor, zie het laatste Security Bulletin wat je gekregen hebt van Microsoft.

Dus mensen die nu nog door deze bug getroffen worden zijn daar zélf de schuldige aan, kennlijk te lui of te lam om die patch te installen.

Verwijderd @wildhagen • 28 april 2004 07:49

Daar is al ruim 2 weken een patch voor, zie het laatste Security Bulletin wat je gekregen hebt van Microsoft.

Dus mensen die nu nog door deze bug getroffen worden zijn daar zélf de schuldige aan, kennlijk te lui of te lam om die patch te installen.

Mensen zoals jij die deze opmerking maken blijven me verbazen: want blijkbaar ben je geen leek,

-Dus hoe kan het dan dat jij je geen zorgen maakt over allerlei nieuwe patches waar mogelijk alleen maar nog ergere lekken in zitten (Het vreselijke lek van een paar maaden geleden zat alleen op pc's die een fix hadden geinstalleerd!)

-Het kan best dat andere dingen opeens niet meer werken. Vaak genoeg gebeurd. De update vorige week heeft een hoop mensen naar een reinstall van windows gedwongen, lees de fora er maar op na.

-Het oplossen van fouten wil niet zeggen dat elke verantwoordelijkheid voor het bestaan van de fout niet meer relevant is (zeker met 1 vreselijke fout per maand)

maw waarom erken je fouten in een systeem met ongetwijfeld het argument "in alle software zitten bugs", maar schijn je wel te geloven in de onbetwiste perfectheid van patches?

Janoz Moderator PRG/SEA @Verwijderd • 28 april 2004 10:47

Ik trek liever de firewall wat strakker aan dan dat ik een live server met daarop 350 webapplicaties (dus niet slechts sites) moet herstarten! (5 minuten offline) en dan maar hopen dat alles nog werkt.

Chatslet @Verwijderd • 28 april 2004 10:28

@mike_mike:
Dus wat wil je nu eigenlijk? Helemaal niet patchen? Dan zet ik er liever een patch op die het oude en bekende lek dicht en een nieuw onbekent lek open zet. Een bekent lek word sneller misbruikt dan een onbekent lek. Het is overigens ook bij hoge uitzondering dat patches lekken bevatten.

Verwijderd @Verwijderd • 28 april 2004 22:57

Dus wat wil je nu eigenlijk? Helemaal niet patchen?

Dat zeg ik helemaal niet, ik reageerde op de post boven mij die zei: "dan had je maar moeten patchen". Alsof blind patchen alles oplost en je zelf schuldig bent aan een bug omdat je niet gepatched had. Dat zou alleen maar waar zijn als patches altijd 100% gegarandeerd niet voor nieuwe problemen zorgen, en dan nog blijft de vraag legitiem over hoe zo'n vreselijke bug er in kan zitten. Laten we niet kritiekloos meeliften met de MS strategie dat het patchen ook de verantwoordelijkheid patched.

Systeembeheerders zijn echt niet blij met nieuwe patches elke week, met mogelijke risico's dat z'n 20+ gebruikers boos bij hem aankloppen om allemaal dingen die niet meer werken.

Dan zet ik er liever een patch op die het oude en bekende lek dicht en een nieuw onbekent lek open zet. Een bekent lek word sneller misbruikt dan een onbekent lek.

Theoretisch klinkt dat leuk, maar het is al vaker gebeurd dat het nieuwe lek VEEL erger is dan het oude onschuldige lek, dat moet je ook meewegen.
Bovendien werd het patch-lek waar ik het over had een jaar lang verzwegen door MS, tijd genoeg om voor problemen te zorgen. Het was veel erger dan de de 10 lekken die daarvoor gepatched waren bij elkaar.

Wat mij vooral stoort is dat op de MS site slechts tussen neus en lippen door wordt vermeld dat alleen pc's die hotfix XY hebben geinstalleerd hadden er last van hebben, zonder conclusies te trekken dat hun "zoveel mogelijk patchen"-advies niet altijd het beste is.

Het is overigens ook bij hoge uitzondering dat patches lekken bevatten.

Niet als je opeens niet werkende functies + compleet verknallen van je windows installatie door nieuwe patches meerekent.

Pietervs @Verwijderd • 28 april 2004 13:31

volledig eens met mike_mike.
Daarnaast: met name Microsoft Updates willen ook nog wel eens je besturingssysteem vernaggelen! Dus enige voorzichtigheid voor installatie is echt geen overbodige luxe!

edit:

Zoals Jan al terecht opmerkt: na een patch opnieuw opstarten en dan maar hopen dat alles nog werkt...

crisp Senior Developer 28 april 2004 00:13

De laatste hotfixes hebben mijn systeem (win2kSP4) niet bepaald stabieler gemaakt; de cure was in dat geval erger dan het potentieel kwaad dus heb ik die zooi weer ge-deinstalleerd. Ik hoop dat MS dit keer wat extra tijd uittrekt om z'n fixes te testen, maar gezien het feit dat de laatste hotfixes o.a. lekken dichtte die al meer dan een half jaar bekent waren heb ik daar weinig vertrouwen meer in

erkje @crisp • 28 april 2004 11:03

Ik weet niet waar al de updates voor zijn, het 'schijnt' veilig te zijn, security, vulnerability patch, etc.
De enige waar ik wat aan gehad was de RPC-update die het Blaster virus buiten de deur hield. Volgens mij is de rest voor de gemiddelde user niet zo heel belangrijk

Icheb 27 april 2004 23:08

In het originele artikel staat:

Solution:
Restrict traffic in border routers and firewalls.

Disable "Client for Microsoft Networks" for network cards. This will impact file sharing functionality.

Dus ook het goed instellen van een router/hardware firewall kan wel helpen

(Voor mensen met een LAN)

Heb ik echt een first post ?
edit: Niet dus

Verwijderd 27 april 2004 23:09

Ja, iedereen die Windows XP standaard installeerd b.v. Je zult het toch echt zelf moeten regelen.

Gehakt 27 april 2004 23:20

Ja hallo, ik heb 1 router en via die router heb ik internet en ook verbinding met de pc beneden.
Dan ga ik toch niet nog een extra netwerk kaart plaatsen en een extra kabel trekken die geen verbinding met de router (en dus internet) heeft.

Whieee Moderator Apple Talk @Gehakt • 28 april 2004 12:05

jouw netwerkkaart is niet van buitenaf te benaderen, dus jij hoeft het niet uit te schakelen. Desalniettemin raad ik je wel aan om op je router een firewall te draaien.

Verwijderd 28 april 2004 09:14

inderdaad, gewoon de ms-client draaien op je tcp stack die ook internet verzorgt, maar wel je firewall opdracht geven om die ms-client ALLEEN door te laten van en naar het lokale lan.

imo een normale gang van zaken bij mij thuis en op mijn werk

Verwijderd 28 april 2004 01:43

Waarom stappen mensen niet af van dat brakke IE

Het is zo lek als een mandje en het is verouderd (niet eens tabbed browsing) .. volgens mij moet er bij heel veel mensen thuis nog een enorm bewustwordingsproces in gang worden gezet ...

Verwijderd @Verwijderd • 28 april 2004 08:19

Omdat IE het ook doet, en het 99.99% van de mensen echt aan hun aars zal oxideren welke browser het is, zolang ze hun hotmail maar kunnen lezen en startpagina een beetje werkt...

bbr @Verwijderd • 28 april 2004 09:06

genoeg trojans en andere leuke spyware grappen die je startpagina om zeep helpen.

YaPP @Verwijderd • 28 april 2004 09:13

Omdat IE het ook doet, en het 99.99% van de mensen echt aan hun aars zal oxideren welke browser het is, zolang ze hun hotmail maar kunnen lezen en startpagina een beetje werkt...

Ik zeg altijd tegen mensen dat ze firefox beter kunnen gebruiken, zodat ze geen spyware e.d. binnen krijgen. Daarnaast zeg ik dat ze gelukkig altijd kunnen terugvallen op Internet Explorer als een website die nodig heeft.

YaPP @Verwijderd • 28 april 2004 09:19

Het is zo lek als een mandje en het is verouderd (niet eens tabbed browsing)

Tabbed browsing vind ik nog tot daar aan toe, maar ik zit eerder met deze dingen in mijn maag:
- geen ondersteuning voor alpha blending in PNG
- geen volledige css1/css2 support
...en genoeg rendering bugs waardoor ik steeds mijn xhtml/css pagina's moet aanpassen voor IE

het lijkt bijna wel de omgekeerde wereld. vroeger had ik dit probleem met Netscape, maar tegenwoordig Firefox perfect bij pagina's die de standaarden volgen! IE helaas niet altijd.

ik zal zeggen, neem eens een kijkje met IE op
http://www.meyerweb.com/eric/css/edge/

Exirion @Verwijderd • 28 april 2004 10:54

Ja, jij hebt gelijk en de rest is gek

Ten eerste overdrijf je enorm: als je kijkt naar het percentage van de gebruikers die IE gebruiken dan kan het niet anders zijn dan dat de hoge boom veel wind vangt.

Verder is tabbed browsing maar onhanding vind ik. Ook in Mozilla Firebird doe ik er niet aan, en waarom moet je perse een andere browser gebruiken? Omdat M$ Sux0rz ofzo? Grow up...

Verwijderd @Verwijderd • 28 april 2004 08:52

Ik kom regelmatig op sites die zgn. Microsoft embedded controls gebruiken voor het afspelen van geluid / video. Werken die ook in andere browsers ?

Verwijderd @Verwijderd • 28 april 2004 08:58

Noem eens een voorbeeld? Ik gebruik bijna alleen maar FireFox en kom zelden een site tegen die het niet doet. Als je met die embedded controls WMP bedoelt, nooit problemen mee gehad. Lastiger wordt het met DHTML controls want die willen nog wel eens in het geheel niet werken onder FireFox. Maar goed, ik kom dus zelden een site tegen die het niet fatsoenlijk doet...

Tijger @Verwijderd • 28 april 2004 07:23

Omdat IE werkt zoals het moet voor de meeste mensen en 'tabbed' browsing voor jou mischien grandioos is maar ik bv vind het een grote gruwel.

Verwijderd 27 april 2004 23:22

*kuch*mozilla*hoest*

stappel_ @Verwijderd • 28 april 2004 08:02

Het zit eigenljk niet in de internet explorer maar in windows. de truc is om iemand te verleiden op een link te drukken die naar een enorm lange (300+ letters) link naar een share te drukken. En om dit weer te geven gebruiken ze IE. De fout is echter windows SMB.

cc bcc @Verwijderd • 27 april 2004 23:29

*kuch*abacus*kuch*

Pietervs @Verwijderd • 28 april 2004 13:28

*kuch*mozilla*hoest*
Hoewel ik thuis ook Mozilla gebruik, is dit hier geen volledige oplossing: het probleem zit namelijk *ook* in Windows, niet alleen in Internet Explorer...

Op dit item kan niet meer gereageerd worden.

'Ernstig lek' in Windows en Internet Explorer

Lees meer

Reacties (79)

Sorteer op:

Weergave: