Kinesere udnytter dugfrisk sårbarhed til at lave blå skærm i Windows XP

Hvilken gavn har kineserne af, at Windows går i "blå skærm", og at vi tvinges til, at slå automatiske opdateringer til, for at undgå problemer?

Det kan jo være at man kan udnytte sikkerhedsbristen til andet end blot at lægge servere ned. Som artiklen nævner, så er RDP jo generelt åben på de fleste servere, så hermed er der en mulighed for at tilgå forretningsdata.

Men selvom usikkerheden udelukkende medfører BSoD, så kan det være meget generende for virksomheder der aktivt anvender RDP til deres medarbejderes adgang til systemer. Eventuelt kan man jo også forestille sig at de vil anvende dette til blackmailing.

Mvh,
Kim

Jeg vil tro de gør det for fornøjelsens skyld og vise at de kan udnytte sårbarheden til at opnå et resultat. Blå skærm er ikke = at de har tilgang til data, der står jo ingen steder, at de har udnyttet sårbarheden til andet end at crashe maskinen.

Om det er kinesere eller danskere, er vel egentlig også underordnet. Problemet er ikke, at nogen laver et exploit, problemet er heller ikke, at der er en fejl i microsofts software. De ting, de er forventelige, uanset OS og eller kode nørders fritidsinteresser.

Problemet er udelukkende folk, der fra start af ikke formår, at holde deres OS opdateret sikkerhedsmæssigt, eller ikke forstår deres ansvar og rolle i administrationen af deres systemer. Når selvsamme mennesker, placerer data, der på den ene eller anden måde, er kritisk, på disse systemer, opstår skaden.

Så, medmindre du vil lave en honeypot, bør du altid have automatiske opdateringer slået til. Medmindre da din XP maskine står udenfor netværk, og du aldrig tilfører systemet ny data, f.eks. via USB nøgler eller lignende.

Om så alle opdateringer skal godkendes manuelt eller ej, ændrer det intet på, at ansvaret for et givent system, ligger hos dem, der administrerer det.

Det vel IT børnehave viden :-)

Jeg har lige haft problemer med blå skærm, på 2 maskiner.
Den ene, har kørt som hjemmeserver, og den anden er en almindelig netmaskine.

Så det er måske anvendt bredt.
Hvis man får et svar der beskriver at man har ramt rigtigt, så behøver man efterfølgende kun at kigge der hvor man har ramt rigtigt.

@ Lars Hansen

Her vil det ikke hjælpe at have sine maskiner opdateret, for opdateringen kommer først efter at hullet er udnyttet.

For kritisk data, er jeg helt enig i, at man ikke skal smide det på en maskine der har net tilsluttet. Dette gælder for alle systemer, om så det er en mindre virksomhed, eller det er en stor offentlig institution.

Om så alle opdateringer skal godkendes manuelt eller ej, ændrer det intet på, at ansvaret for et givent system, ligger hos dem, der administrerer det. Det vel IT børnehave viden :-)

Det kan næsten ikke bive mere korrekt.
Men jeg er ikke sikker på, at alle har gået i den børnehave.

Det mener du forhåbentlig ikke alvorligt?

Og hvem er det du er enig med? Lars Hansen skriver:

Men det kan du da ikke læse som en anbefaling af, aldrig at have kritiske data på en maskine, hvorfra de kan tilgås.

@ Peter Stricker

Jo, jeg mener at man ikke kan sikre sig mod net-exploit, med mindre man sørger for, at man aldrig bruger net på den pågældende maskine/system.

Jeg kører med alle opdateringer slået til, jeg kigger også efter om der skulle ligge en opdatering, uden for normalt opdateringsinterval.
Det har jeg altid gjort.
Jeg har selv vært med til, at sørge for, at opdateringer og antivirus kunne komme rundt til alle, tilbage inden internettet.
Jeg er meget opmærksom på den slags, og har været det i 30 år.
Alligevel, kan jeg af og til finde forskellige trojanere, eller andet snavs, på mine maskiner.
En hel enkel metode til at efterprøve dette, er at tage en gammel HD, og smide den igennem en virus-scan på en ny maskine.
I de tilfælde jeg har gjort det, har der i 100 % af alle tilfælde været en eller anden form for trojaner eller virus på de pågældende HD, hvilket også betyder at disse trojanere eller virus, har været aktive, i det tidsrum hvor maskinerne har været i drift.

Jeg er helt enig med Lars Hansen, når han skriver " at ansvaret for et givent system, ligger hos dem, der administrerer det. "
Undtagelsen fra dette, skal ligge i, at en given bruger forsætligt misbruger, eller udviser uagtsomhed.
Ved almindeligt brug, af et givent system ligger ansvaret hos administratoren.

Det er IT-børnehave viden, som Lars Hansen også kalder det.

I forbindelse med Internet, er der tale om et globalt system. Derfor har det ingen værdi, når man i Danmark beskriver at det er ulovligt at trænge uretmæssigt ind hos andre. Det er ikke noget man har nogen juridisk kontrol med, det er helt enkelt umuligt, for Dansk lov, gælder kun i Danmark.
Om man opholder sig i Kina, eller i Køge, er lige meget, hvis man vil trænge ind i et givent system, internettet er globalt.
Derfor er det ekstra vigtigt, at man som administrator er ekstra opmærksom på sit ansvar, hvis dette er placeret i Danmark.

er man en mindre virksomhed, så er det min anbefaling, at man udviser denne ansvarlighed over for egen virksomhed.
Er man et stort offentligt IT-system, skal denne ansvarlighed udvises over for det samlede system.

Og det ER muligt. Ofte handler det kun om at overholde helt grundlæggende principper.

Læs http://aluigi.org/adv/termdd_1-adv.txt
og http://isc.sans.org/diary/INFOCON+Yellow+-+Microsoft+RDP+-+MS12-020/12805 m.fl.

Det er en alvorlig sårbarhed som formentlig snart bliver til en orm. Det kan ikke siges ofte nok, overvej hvad der er udstillet til internet og netop RDP bør kun være åbent til admins, evt. via VPN. Al software har fejl og skal opdateres.

Dernæst angående auto-update eller ej, hvis man har forretningskritiske data på Windows bør man følge MS patch tuesday og straks læse release notes for deres opdateringer - og overveje hvornår man opdaterer. Jeg kunne snildt forestille mig at man generelt havde et servicevindue når patch tuesday kom, så man KUNNE installere updates hurtigt.

"Patch Tuesday is usually the second Tuesday of each month, on which Microsoft releases security patches."
http://en.wikipedia.org/wiki/Patch_Tuesday

Det er godt nok mange år siden, jeg sidst har haft en computer, der ikke var på nettet. Både privat og professionelt.

Prøv lige at overveje én gang til, om du virkelig skriver det, du mener.

Resten af dit alt for lange svar er jeg sådan set enig med dig i, men det har jo ingen relevans for maskiner der ikke er på nettet.

Nej, opdateringen kom først og efter ca 2 dage kom første "exploit" (som dog kun giver BSoD). Der går nok et par dage endnu, før de første rigtige remote code execution bliver set in the wild.

Det er godt nok mange år siden, jeg sidst har haft en computer, der ikke var på nettet. Både privat og professionelt. Prøv lige at overveje én gang til, om du virkelig skriver det, du mener.

Jeg har maskiner der ikke kommer på nettet.
Jeg har også maskiner der kun kommer på nettet i forbindelse med opdatering, hvor jeg kun har SW på, og ingen Data.

Jeg sletter også data, hvis ikke jeg mener det kommer andre ved, og data ikke længere har værdi for mig.

Hvad du finder rigtigt, kan jeg ikke forholde mig til, det er dit valg.

Jeg vil i øvrigt henvise til Henrik Kramshøj's udemærkede indlæg.

@ Nicolai S

Nej, exploit blev lagt ud, et par dage efter opdateringen.
Den kan have været i brug, i årevis, men mister sin værdi når den er kendt, hvorfor den bliver frigivet.

Tillykke med det. De er nok ikke i fare for netbaserede exploits. Og der er nok ikke ret mange forretningskritiske data, der leveres fra disse. Kan du eventuelt komme med et eksempel på en maskine med forretningskritiske data, som ikke har netforbindelse til andre computere?

Ja ja, hvis der ikke er data på dem, så er der nok heller ikke nogen forretningskritiske data på dem. Det er irrelevant med disse anekdoter.

Nå.

Det giver jo sig selv. Var der en pointe med at skrive det?

Det er et særdeles fornuftigt råd, han kommer med. Men hvorfor vil du henvise til det. Han skriver jo intet om at man ikke må smide en maskine med kritiske data på nettet. Derimod giver han anvisninger på, hvad man skal gøre med de maskiner, der er på nettet. Og hans råd er valide for alle computere med Microsoft operativsystemer, uanset værdien af data på maskinen.

@Thomas Hansen: Læs op på sagen.

Fejlen blev fundet af Luigi Auriemma og rapporteret til ZDI, som videregav oplysningerne til MS (2011-08-24) [1]
MS rettede fejlen og gennemtestede rettelsen og udgav den til den sidste 'Patch Tuesday' (2012-03-15) [2]
På 'Exploit Wednesday' (2012-03-16) blev den første "exploit code" udgivet [3], men den resultere i BSoD (ikke remote code execution).

Ved nærmere analyse af denne "exploit code" viser det sig at dens payload stammer fra Luigi Auriemma [4], så et sted mellem Luigi->ZDI->MS->MAPP->? er koden altså lækket.

P.t regler man med et det er en Microsoft Active Protections Program (MAPP) partner som lækket stammer fra [5], men intet er sikkert endnu. Dog stammer koden ikke fra onde kinesiske hackere som har hacket RDP i årevis.

[1] http://www.zerodayinitiative.com/advisories/ZDI-12-044/ (ZDI-12-044)
[2] https://technet.microsoft.com/en-us/security/bulletin/ms12-020 (MS12-020 aka CVE-2012-0002)
[3] http://115.com/file/be27pff7 (Kinesisk crap)
[4] http://aluigi.org/adv/ms12-020_leak.txt (Luigi Auriemma)
[5] https://blogs.technet.com/b/msrc/archive/2012/03/16/proof-of-concept-cod... (Microsoft Security Response Center)

@ Nicolai S
At Luigi Auriemma finder fejlen for et år siden, er vel ikke ensbetydende med at den ikke er blevet udnyttet før ?
Luigi Auriemma er vel ikke den eneste i verden, der kan finde en exploit. Men det er prisværdigt at han gør opmærksom på den.
Jeg tror ikke at Kinesere er mere onde end andre, hvis det er hvad du hentyder til.

...at 7 måneder er lige lovligt lang tid.

(6 måneder + 20 dage)

Nej, det er det ikke. Men det er heller ikke hvad du skrev:

Det exploit, der p.t. er det eneste kendte exploit, stammer fra Luigi Auriemma og har ikke været i brug før opdateringen (det er en simpel PoC).

Hvis nogen kendte til exploitet (før opdateringen) så ville de med garanti ikke udgive en anonym exploit kode.
Enten har koden været kendt af nogen med mange ressourcer (á la Stuxnet), men de ville ikke udgive koden (det ville kunne være med til at røbe dem)
Eller også var koden kendt af grey/blackhats som straks ville lave et stort botnet (profit), eller udgive en ikke-anonym exploit kode (credit).

Det giver ingen mening at udgive en anonym exploit kode, uden selv at få noget ud af det (det er trods alt ikke et exploit som man lige tilfældigt falder over).

Og exploitet mister da bestemt ikke hele sin værdi, fordi en patch er blevet udgivet? Port en exploit kode til MSF og tjen $1k (lovligt). Eller vær' den første til at lave en virus og tjen det tidobbelte (ulovligt).

@Maciej Szeliga: Bestemt enig, men hvad er alternativerne? Apple er næsten ligeså langsom (og de forklare ikke hvad de har rettet = endnu mere farligt). Og så kan man hoppe over på Linux, men så mangler man en ordentlig Office pakke (OOo/LibreOffice lever bestemt ikke op til M$' Office).

Den kan have været i brug, i årevis, men mister sin værdi når den er kendt, hvorfor den bliver frigivet.

Siden hvornår er det, at en exploit er kendt, blevet ensbetydende med at den mister sin værdi? Det forudsætter jo, at folk/virksomheder formår at patche deres software rettidig. Langt de fleste hacks udnytter gamle sårbarheder. Hvorfor ulejlige sig til at lede efter nye sårbarheder, når der er et hav af gamle sårbarheder man kan udnytte?