Microsoft waarschuwt voor 'wormable' kwetsbaarheid in Windows DNS Server

Windows DNS Server bevat een zeventien jaar oude kritieke kwetsbaarheid, die als wormable is geclassificeerd en de hoogst mogelijke risicoscore heeft. Administrators dienen Windows Server-systemen zo snel mogelijk te updaten.

Microsoft meldt dat het gaat om een remote code execution-kwetsbaarheid die aanwezig is Windows Server-versies 2003 tot en met 2019. Het probleem wordt veroorzaakt door een fout in de implementatie van de DNS-serverrol van Microsoft.

Volgens Microsoft is de kwetsbaarheid wormable. Dat wil zeggen dat het mogelijk is om malware te verspreiden tussen systemen zonder dat enige interactie van gebruikers nodig is. Voor zover bekend is de kwetsbaarheid nog niet gebruikt in aanvallen.

De kwetsbaarheid krijgt de aanduiding CVE-2020-1350 en een CVSS-score van 10.0. Dat is de hoogste score die toegekend kan worden aan een kwetsbaarheid volgens het common vulnerability scoring system. Microsoft heeft updates uitgebracht voor alle versies van Windows Server en er zijn instructies voor een work-around als snel updaten niet mogelijk is.

Beveiligingsonderzoekers van Check Point ontdekten de kwetsbaarheid. De onderzoekers noemen de kwetsbaarheid SigRed en hebben een inhoudelijke beschrijving gepubliceerd. De kwetsbaarheid is in mei gemeld bij Microsoft en de publicatie is nu in samenwerking openbaar gemaakt.

SigRed

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 14-07-2020 20:55
121 • submitter: RobinF

14-07-2020 • 20:55

121 Linkedin Whatsapp

Submitter: RobinF

Lees meer

Microsoft: meeste staatshacks kwamen van Rusland, China, Iran en Noord-Korea
Microsoft: meeste staatshacks kwamen van Rusland, China, Iran en Noord-Korea Nieuws van 30 september 2020
Microsoft fikst probleem dat Outlook 365-desktop-app deed crashen
Microsoft fikst probleem dat Outlook 365-desktop-app deed crashen Nieuws van 16 juli 2020
Onderzoeksraad voor Veiligheid begint onderzoek naar Citrix-kwetsbaarheid
Onderzoeksraad voor Veiligheid begint onderzoek naar Citrix-kwetsbaarheid Nieuws van 2 juli 2020
Microsoft dicht lek in Windows-groepsbeleid dat verhoging rechten mogelijk maakt
Microsoft dicht lek in Windows-groepsbeleid dat verhoging rechten mogelijk maakt Nieuws van 10 juni 2020
Microsoft dicht 111 kwetsbaarheden tijdens Patch Tuesday
Microsoft dicht 111 kwetsbaarheden tijdens Patch Tuesday Nieuws van 13 mei 2020
Samsung repareert ernstige zero-click-kwetsbaarheid in alle Galaxy-smartphones
Samsung repareert ernstige zero-click-kwetsbaarheid in alle Galaxy-smartphones Nieuws van 8 mei 2020
Onderzoeker publiceert zerodays IBM-software nadat IBM weigerde patch te maken
Onderzoeker publiceert zerodays IBM-software nadat IBM weigerde patch te maken Nieuws van 23 april 2020
Microsoft repareert met Windows 10-update zerodays die actief werden misbruikt
Microsoft repareert met Windows 10-update zerodays die actief werden misbruikt Nieuws van 15 april 2020
Microsoft dicht twaalf kritieke lekken in zijn software
Microsoft dicht twaalf kritieke lekken in zijn software Nieuws van 12 februari 2020
NCSC-rapport: Nederlandse bedrijven zijn getroffen door geavanceerde ransomware
NCSC-rapport: Nederlandse bedrijven zijn getroffen door geavanceerde ransomware Nieuws van 28 november 2019
Meer producten en artikelen
Beveiliging en antivirus Microsoft Windows Dns

Reacties (121)

-Moderatie-faq
121
114
52
9
1
47
Wijzig sortering
Brainy1978
14 juli 2020 21:23
Best lang aanwezig en behoorlijke impact!
Gezien bijna alle bedrijfsnetwerken windows gebaseerd zijn. En dan admin rechten zonder gebruikers interactie verkrijgen... Word hersteld in de juli Security update. https://portal.msrc.micro...eleasenotedetail/2020-Jul
Update in kwestie is CVE-2020-1350
https://portal.msrc.micro...ce/advisory/CVE-2020-1350
Zit ook een reg fix / workaround bij.
sfranken
@Brainy197814 juli 2020 21:54
Gezien bijna alle bedrijfsnetwerken windows gebaseerd zijn.
Uuuuhhhhhh... dat zou ik anno 2020 niet meer zo stellig durven beweren. Waar ik inkijk in heb is een flinke mix van Windows en zakelijke Linux jongens (Oracle, SuSE, CentOS, RHEL)
kristofv
@sfranken14 juli 2020 22:05
Ik ken letterlijk geen enkel groot bedrijf waar geen AD aanwezig is , en als je AD gebruikt gebruik je ook Windows DNS. Zou het wel interessant vinden om te weten welke grote bedrijven je dan precies bedoelt.

Linux heeft zijn plaats dat zeker, maar iets zonder MS in huis , nee dat ben ik zelf als IT architect nog nooit tegengekomen.
mg794613
@kristofv15 juli 2020 02:16
Je ervaring strookt niet met mijn ervaring.
Het is bij middelgrote bedrijven waar ik AD zie.
Grote bedrijven die ik gezien hebben, hebben gewoon LDAP en andere services eromheen.
Bij mijn huidige bedrijf bijvoorbeeld hebben we helemaal geen Windows, een paar vm's voor de software pakketen die echt niet willen werken onder *nix varianten.
HoeZoWie
@wiseger15 juli 2020 17:55
Oh ja? Voorbeeld:
Alle NL Banken en Ministeries draaien op AD van Windows hoor, dus ook DNS van MS.
Natuurlijk draaien bijvoorbeeld de Oracle DB's op Linux als Redhat, natuurlijk, maar de LDAP integratie is op Active Directory.
asing
@kristofv14 juli 2020 22:14
Je hebt nog nooit een infoblox gezien? Dan heb je geen Windows DNS meer nodig.
kristofv
@asing14 juli 2020 22:58
Ik denk niet dat dat veel meerwaarde heeft buiten voor echt extreem grote bedrijven met talrijke branch offices.

Er zijn voor alles alternatieven in de IT wereld natuurlijk, dat is een feit.
asing
@kristofv15 juli 2020 10:09
Ik heb voor 2 ziekenhuizen gewerkt, waarvan eentje een streekziekenhuis. Dus qua grootte valt dat heel erg mee. Beiden hadden infoblox. Het streekziekenhuis had er 2 in een failover opstelling.
kr4t0s
@asing14 juli 2020 22:28
Inderdaad, Windows DNS is echt verschrikkelijk!
Traag, GUI is onwerkbaar, troubleshooting is lastig.
Rolfie
@kr4t0s14 juli 2020 22:57
Daarom eigenlijk alleen de AD DNS zones er op hosten, en daarna direct forwarders instellen naar echte DNS servers.
TonnyTonny
@kristofv15 juli 2020 00:03
Nee.... Als je AD gebruikt HOEF je geen Windows DNS te gebruiken. Dta is echt een misvatting.
Vrijwel iedereen in midden en klein bedrijf doet het zo omdat het zo makkelijk is en Microsoft zijn uiterste best doet om het heel moeilijk te maken om het NIET op Windows te doen.

Ik werk zelf bij een heel grote internationale firma met ongeveer 700.000 AD users en ongeveer 320.000 Windows client computers, 50.000 Linux en 5000 MacOS systemen (Linux en MacOS gebruiken bij ons ook AD authenticatie) . Servers zijn Windows, Linux, Solaris en Aix, zowel on-premise als Azure en AWS cloud. Groot AD forest met 9 domains en daarnaast nog een stuk of 20 overige domains (overgenomen bedrijven die nog niet volledig geintegreerd zijn) met trust relaties.
Geen kleintje dus....

Kostte bijna een jaar om volledig van Windows DNS/DHCP naar Linux over te schakelen, maar dat hebben we zo'n jaar of 3 geleden gedaan.
.
kristofv
@TonnyTonny15 juli 2020 00:06
Again, dat zei ik dus ook helemaal niet dat het niet kan.

Maar wil je het ook echt? Sure in bepaalde niche gevallen zal er wel een gegronde motivatie voor te vinden zijn, maar in 99.99% van alle gevallen wil je gewoon windows DNS bij je AD. It just works , zonder gedoe.

In fact wat je beschrijft is dermate ongebruikelijk dat ik wel geïnteresseerd ben in de specifieke motivatie om het te doen.
Rolfie
@kristofv15 juli 2020 16:42
We hebben hier ook meerdere infobloxen draaien. Maar ook diverse klanten hebben ze draaien, nu beheer ik deze dozen niet.

Bijvoorbeeld wat een mogelijkheid is, security.
Je kunt veel beter de security en auditing inregelen in zones of records.
Bij 20 Windows AD's begint Windows DNS echt wel onbeheersbaar te worden.
IPAM registratie.
Als je bijvoorbeeld wilt kunnen traceren welke cliënt, welk DNS request gedaan heeft. Vanuit malware detection is dit heel interessant zijn, wat eigenlijk onmogelijk is bij Windows DNS. Probeer maar eens een cliënt te traceren wie een bepaald malware DNS records geeft opgevraagd te traceren. Enige oplossing is DNS Debug te gebruiken en dit in een logfile weg te schrijven. Is al onbeheersbaar met 10 domain controllers, maar met 50 AD DNS Servers?
DNS Blacklists.
Je kunt ook een cloud dienst afnemen indien je clients als roadwarrior werken. Zodat je malware DNS requests kunt loggen.

Er zijn dus voldoende motivaties om eventueel een infoblox te gebruiken.
kristofv
@Rolfie16 juli 2020 10:02
Snap ik best, doch voor quasi al deze argumenten zijn er ook andere oplossingen op zich voor minder grote setups.

Wat je hier beschrijft is al echt een gigantische omgeving, dan spreek je al over 100.000 'en werknemers om een dergelijke setup uberhaupt nodig te hebben.

Dat zei ik ook gewoon , dit is van toepassing op de 0.01% mega ondernemingen (plak er nog maar wat nullen tussen eigenlijk om goed te zijn). We komen eigenlijk op hetzelfde uit qua conclusie.
Rolfie
@kristofv16 juli 2020 11:56
Ik heb het ook bij veel kleinere omgeving gezien. Bijvoorbeeld met 4500 gebruikers. Of 15K gebruikers of 240K gebruikers.

Het is gewoon een veel gebruikt product bij grote complexe omgevingen. MS DNS is dan gewoon veel te gelimiteerd voor wat nodig is. InfoBlox lost dit veel mooier op, dan wat je met Microsoft DNS kunt doen.

En dit is inderdaad een mogelijkheid, en er zijn meer producten die dit kunnen. Maar dit is Enterprise grade kwaliteit en zal je inderdaad niet snel zien bij het MKB.
TonnyTonny
@kristofv15 juli 2020 20:59
Sorry, maar dat zei je WEL:
Ik ken letterlijk geen enkel groot bedrijf waar geen AD aanwezig is , en als je AD gebruikt gebruik je ook Windows DNS.
Wat betreft redenen: Die noemde ik al: Accountability, managebility, scalebility. (Rolfie hieronder noemt dat trouwens precies ook.)

Overigs wij (we zijn niet de enige zo te zien) gebruiken InfoBlox (zowel hardware devices en als VM's) voor de bedrijfs interne DNS en Linux (RedHat) voor de koppeling met publiek DNS/DMZ.
Waarom InfoBlox: Omdat dat een AD geintegreerde DNS standaard goed inricht zodat het 100% compatible is met de WIndwos DNS voor dat stuk.
sfranken
@kristofv14 juli 2020 22:08
Dat zeg ik ook niet, maar het is niet meer zo dat alles 100% Windows based is tegenwoordig.
Zou het wel interessant vinden om te weten welke grote bedrijven je dan precies bedoelt.

Linux heeft zijn plaats dat zeker, maar iets zonder MS in huis , nee dat ben ik zelf als IT architect nog nooit tegengekomen.
Ik ken in Nederland inderdaad niet zo heel veel bedrijven die MS loos zijn. Red Hat,maar ook dat weet ik niet meer zeker, gezien ze hier in Nederland alleen nog een sales department overheben als ik het goed heb. Verder heb je een aantal specialistische bedrijven, maar ook die zijn dun gezaaid.

Zoals ik zei: het is tegenwoordig meer een mixed-world

Edit: De 1-2 relatie tussen MS AD en Windows DNS is ook niet meer zo vanzelfsprekend. Je kunt andere DNS servers (bind9, bijvoorbeeld) prima configureren om deze rol over te nemen. Ja, je hebt dan niet meer het gemak, maar het kan wel.

[Reactie gewijzigd door sfranken op 14 juli 2020 22:14]

kristofv
@sfranken14 juli 2020 23:17
Tuurlijk kan het, maar lets be honest je schiet jezelf 99% kans in de voet door het te doen.
ijdod
@kristofv15 juli 2020 09:36
Dat valt wel mee; het toont vooral aan hoe weinig kennis er op dat vlak vaak is...
kristofv
@ijdod15 juli 2020 10:11
In house kennis is dan ook misschien wel de belangrijkste factor in het bepalen van de levensvatbaarheid van iets. Al die moderne technologie is allemaal zeer mooi maar wat ben je ermee als je voor elke error met dure externe support zit.
Keypunchie
@kristofv14 juli 2020 23:30
Enterprises misschien niet, maar kleinere bedrijven zonder problemen. Mac/Linux + Gsuite vaak genoeg gezien zien, zelfs op wat grotere schaal.

En een publieke DNS-server op WIndows? Voor het AD-domein wil ik het best geloven, maar voor de rest ga je daar toch geen Windows-licentie voor betalen?

[Reactie gewijzigd door Keypunchie op 14 juli 2020 23:32]

kristofv
@Keypunchie15 juli 2020 00:02
Daarom dat ik ook "grote bedrijven" zei he ;)

Public dns is een heel andere zaak, ik heb het over AD, de redenen om AD in combinatie met iets anders dan windows dns te draaien zijn zeer dun gezaaid.
Rolfie
@kristofv14 juli 2020 22:56
Dat hoeft niet. We gebruiken hier vaak infoblox and DNS server icm Windows servers. Al zou mijn voorkeur uitgaan voor een Windows DNS (en DHCP) server.
kristofv
@Rolfie14 juli 2020 23:02
Ik zeg ook niet dat het niet kan hoor , maar ik zie er zelf de meerwaarde niet van in voor 99.99% van alle gevallen en heb het in de praktijk nog niet in gebruik gezien. Je geeft dit zelf ook al een beetje aan door middel van je voorkeur lijkt me.
Rolfie
@kristofv15 juli 2020 16:33
Voor kleine klanten, werkt MS DNS gewoon heel goed.
Infoblox is echt een Enterprise oplossing en kan zoveel meer dan wat alleen MS DNS aan kan. Maar je moet wel de requirements hiervoor hebben.
beerse
@kristofv15 juli 2020 08:55
Bij de wat grotere, door fusie ontstane organisaties zal de ad-gebonden dns-server snel zijn afgevoerd. Die is immers aan 1 ad-domein of ad-forrest gekoppeld en alle andere ad-domeinen en ad-forrests kunnen daar net zo goed bij als bij elke andere dns-server. En voor zover ik altijd begrepen heb kunnen ad-domeinen die al een tijdje leven niet tot 1 ad-forrest worden samengevoegd.

Aan de andere kant: zo'n ad-gebonden dns-server is goed voor intern gebruik. Naar internet toe wil je niet je hele ad-gebonden dns-omgeving open hebben, daar staat veel te veel informatie in.
Hornet.NL
@kristofv16 juli 2020 15:00
Rare aanname. Er zijn ook andere DNS producten dan MS DNS, je configuratie wordt alleen anders zonder AD/DNS integratie.
rjberg
@sfranken15 juli 2020 09:55
Er is een verschil tussen een kantoor ictsysteem en een "gewone" server. Die laatste draait vaak linux, maar de servers voor het kantoornetwerk kunnen vaak genoeg windows zijn.
ODF
15 juli 2020 02:11
Toen ik rond 18:00u nog controleerde op updates op mijn Windows 2012 R2 server stond er nog niks klaar. Morgen nog maar eens kijken.
hmmmmmmmmmpffff
@ODF15 juli 2020 08:06
Je kan eventueel de update handmatig binnen halen. https://portal.msrc.micro...ce/advisory/CVE-2020-1350
Opa
@ODF15 juli 2020 14:19
Dat is 09:00 dinsdag morgen Redmond tijd.
In mijn ervaring worden patches uiterlijk 03:00 woensdagmorgen (18:00 Redmond) vrijgegeven en ik laat onze WSUS server dan ook dagelijks om 04:00 naar updates zoeken.
Wij gaan toch eerst de regfix implementeren en volgende week pas de full july patch installeren, gewoon voor het geval dat er nog andere dingen omvallen door die patch.
Q
14 juli 2020 21:15
Dit wordt weer een mooie toets van organisaties die hun IT wel of niet op orde hebben. Ik kan trouwens niet goed bedenken waarom je een Windows DNS service aan het internet zou knopen, maar ik laat me dat graag uitleggen. :)

Ik ben wel benieuwd hoe ze deze 17 jaar oude vulnerability hebben ontdekt...
Drardollan
@Q14 juli 2020 21:19
Malware / wormen komen niet enkel via het internet binnen. Die verspreiden zich ook (wellicht eerder: meestal) via je interne netwerk.

[Reactie gewijzigd door Drardollan op 14 juli 2020 21:21]

MeetTommy
@Drardollan14 juli 2020 23:33
Alleen van wat ik begrijp hoeft je netwerk niet eerst besmet te worden. Alleen een lookup vanaf een van je clients naar een gecompromitteerd domein via één van je DNS servers die een forward doet naar een nameserver van dat gecompromitteerde domein genoeg voor een remote code execution op je DNS server die in een AD omgeving veelal ook je Domain Controller is.

De aanvaller stuurt een speciaal geprepareerd DNS answer naar je DNS server die bevraagd is door een willekeurige cliënt op je netwerk en plots is je Domain Controller besmet. De DNS-server haalt dit antwoord en de code dus zelf binnen en wordt niet actief aangevallen van buitenaf.

Tldr: je hoeft maar één van de clients op je netwerk zo gek te krijgen dat ze op je domein DNS-server een lookup doen naar een kwaadaardige domeinnaam. Bijvoorbeeld een simpele JavaScript redirect op een website die een domeinnaam lookup triggert.

Een simpele cmd met "nslookup maliciousdomain.com yourdnsserver.domain.local" vanaf een willekeurige client die kan praten met jouw DNS-server zou dus al genoeg moeten zijn om je DNS-server te infecteren.

[Reactie gewijzigd door MeetTommy op 14 juli 2020 23:42]

AeroWB
@Drardollan14 juli 2020 21:43
Het is natuurlijk mogelijk dat je servers via het interne netwerk besmet raken, maar dan moeten er wel devices op je interne netwerk die worm verspreiden. Dus als je interne netwerk redelijk dicht is, is de kans op besmetting relatief klein.
Dus ik snap de opmerking van Q wel, ik ben ook blij dat onze Windows DNS servers niet toegankelijk zijn vanaf het internet, en ook niet vanaf het gasten netwerk.
We gaan de servers zeker patchen, maar dat wordt nu geen spoed geval om vanavond op te pakken, waren ze wel vanaf het internet bereikbaar dan was ik vanavond wel gaan werken.
IStealYourGun
@AeroWB14 juli 2020 22:15
Dus als je interne netwerk redelijk dicht is, is de kans op besmetting relatief klein.
Je zou verbaas zijn hoe open vele bedrijfsnetwerken zijn. Steek een UTP-kabel in de eerste de beste poort in een random bedrijf en de kans is redelijk groot dat je gewoon een IP met bijhorende DNS krijgt.

Mocht het niet het geval zijn dan kan je nog steeds de vergaderruimtes proberen of een TV dat je vaak ergens ziet omhoog hangen met bedrijfsinformatie.
Drardollan
@AeroWB14 juli 2020 21:55
Vanavond is wellicht ook wat overdreven, dat doe ik ook niet. Ik ben simpelweg niet in de gelegenheid en maak dezelfde risicoafweging. Ik weet dat mijn werkstations up to date zijn qua updates en antivirus beveiliging. De kans dat iemand in het bedrijf een worm ergens oploopt, die meeneemt naar intern en de boel besmet lijkt mij zeer gering. Wat je niet moet vergeten is dat er nog geen misbruik bekend is, en dat voor een lek van 17 jaar oud. Ongetwijfeld zijn een stel rotzakken nu aan het trachten om iets te maken wat dit lek kan misbruiken, maar dat is echt niet binnen een paar dagen in het wild.

Je interne netwerk is altijd onveilig voor dit probleem, zonder DNS heb je geen AD en hoogstwaarschijnlijk geen internet. Dat valt niet dicht te timmeren, tenzij al het verkeer van je werkstations via de firewall loopt en je wellicht daar maatregelen kan nemen.

Voor nu zou ik geen paniek maken, maar dit ook zeker geen weken laten liggen. De workaround is relatief eenvoudig door te voeren, maar ook de patch is een kwestie van een korte herstart.
hmmmmmmmmmpffff
@AeroWB15 juli 2020 08:36
Ik weet niet of je inmiddels andere reacties ook hebt gelezen hier, maar wormable betekent dus dat je vanaf vrijwel elk apparaat in het netwerk de kwetsbaarheid kan misbruiken. Je DNS server hoeft helemaal niet via internet bereikbaar te zijn.
Jelmer
@Q14 juli 2020 21:33
Het is remote exploitable via de browser. Zie het artikel van checkpoint met daarin een beschrijving van de attack vector. https://research.checkpoi...g-in-windows-dns-servers/
Pliskin
@Q14 juli 2020 21:40
Ik ben al een jaartje of 10 niet meer als sysadmin aan de slag, maar moet een Windows DNS server niet altijd via het internet de root servers kunnen bereiken voor DNS forwarding?
sfranken
@Pliskin14 juli 2020 22:04
Ja. Dat is dus een verbinding vanaf de Windows DNS naar de root DNS, niet vanaf het WWW naar de Windows DNS (je interne DNS)
Q
@Pliskin15 juli 2020 01:12
Als deze ook DNS forwarding doet voor de clients: ja. Maar de server hoeft zelf niet via Internet DNS services te 'exposen'.

De DNS server kan gewoon verstopt zitten achter NAT of worst-case, als het ding god verhoede aan het internet hangt - kan DNS gewoon via de firewall worden afgeschermd.

Kortom: DNS hoeft alleen outbound mogelijk te zijn naar het internet, inbound traffic is niet nodig.
Pliskin
@Q15 juli 2020 14:53
Ja, ik zit tegenwoordig in de industriële automatisering waarbij iets "aan het internet knopen" betekent dat het naar buiten kan, ook zonder geforwarde poorten. Kwestie van de "aan het internet knopen" van je originele post verkeerd interpreteren. Vond het al vreemd om een DNS server geen toegang te verlenen tot de rootservers. :+

[Reactie gewijzigd door Pliskin op 15 juli 2020 14:53]

SpoekGTi
@Q14 juli 2020 21:38
In hoeverre is dit een toets, er is een vulnerability gevonden waar voor er nu patches zijn, elke server versie heeft het dus het maakt niet uit of je nu up to date bent of niet althans niet voor deze vulnerability
mutsje
14 juli 2020 21:22
Zal mij benieuwen wanneer er een proof of concept gepubliseerd word en het hierna actief misbruikt gaat worden. Dat word weer met spoed updaten dus.
deacs
@mutsje15 juli 2020 11:51
https://github.com/ZephrFish/CVE-2020-1350
mutsje
@deacs15 juli 2020 13:22
Let wel op Dat is GEEN Proof of concept hier zit malware in!!. Checkpoint meld dat het ontwikkelen van een POC nog enige dagen op zich laat wachten.
Joep Lunaar
@mutsje16 juli 2020 12:12
CheckPoint heeft een POC gepubliceerd (zie https://research.checkpoi...g-in-windows-dns-servers/).

Het is dus verbazingwekkend dat Microsoft nu pas een fix uitrolt.
mutsje
@Joep Lunaar16 juli 2020 12:24
aldus de berichten die ik van verschillende CERTS en security mensen ontving was de POC er nog niet. De POC's op Github hadden malware en waren clickbait. Het is gewoon een 17 jaar onopgemerkte bug gebleken die niet misbruikt is zover men weet.. waarschijnlijk wel door organisaties met 3 letters :+
_Guido_
14 juli 2020 21:08
"zeventien jaar oude kritieke kwetsbaarheid"? Vast wel eens misbruikt in die tijd?
Luchtbakker
@_Guido_14 juli 2020 21:17
"zeventien jaar oude kritieke kwetsbaarheid"? Vast wel eens misbruikt in die tijd?
Dat een lek 17 jaar in een OS heeft gezeten hoeft niet te betekenen dat het al 17 jaar bekend was. Microsoft vind regelmatig lekken die nooit misbruikt zijn.

Er is altijd iemand de eerste met het vinden van een lek, en in dit geval was Microsoft dat, of een ethische hacker.
PhaeTom
@Luchtbakker15 juli 2020 09:21
Het was Check Point
RobIII
@_Guido_14 juli 2020 21:10
Vast niet (serieus) want dan had je 't wel geweten. Zoiets kan decennia onopgemerkt blijven. Hooguit dat een drieletter organisatie ervan wist en 't onder de hoed heeft gehouden ofzo.

[Reactie gewijzigd door RobIII op 14 juli 2020 21:11]

dasiro
@_Guido_14 juli 2020 22:35
misschien wel, maar als het zo lang duurt terwijl de hele wereld er achter op zoek is, dan moet het toch verdomd moeilijk te vinden zijn, want dit soort situaties is extreem zeldzaam
well0549
@_Guido_14 juli 2020 22:15
Natuurlijk wel, de NSA heeft deze natuurlijk al al die tijd achter de hand gehad
joyrider3774
15 juli 2020 02:40
Kan dit lek dan ook niet uitgebuit worden met een link naar een foto op een malicious domein? De foto hoeft zelfs niet te bestaan op het domein, als het maar een lookup triggerd? Automatisch tonen van foto's in emails kan dan nog gevaarlijker zijn hiervoor of heb ik dat verkeerd voor?
R4gnax
@joyrider377415 juli 2020 08:55
Ja, dat klopt. De DNS-lookup vindt tenslotte plaats nog voordat de content achter een URL opgehaald wordt. Ook zaken zoals een link naar een verder niet bestaand plaatje kunnen dus als trigger fungeren.
whiteguy
14 juli 2020 21:10
Wel een hele hoop tegelijk vandaag zeg.

Microsoft met een 10.0

Sap met een 10.0
nieuws: Cybersecuritycentra waarschuwen voor ernstig lek in SAP NetWeaver Jav...

Oracle met een 10.0
https://www.techzine.eu/n...ly-large-security-update/

En adobe zie ik zo 1-2-3 geen CVSS score bij maar ziet er ook best pittig uit:
https://thehackernews.com...-security-patch-july.html
kevinyfz
15 juli 2020 08:50
Ben benieuwd of het echt al 17 jaar niet meer is bijgewerkt en getest..

[Reactie gewijzigd door kevinyfz op 15 juli 2020 09:24]

StephanVierkant
@kevinyfz15 juli 2020 09:25
Is de ondersteuning daarvan niet verlopen sinds 14 januari jl.? In dat geval kun je zo'n update wel vergeten, tenzij Microsoft over haar hart strijkt.
Sinds 14 januari 2015 is de standaard ondersteuning voor SBS 2011 gestopt. Op 14 januari 2020 stopt de volledige ondersteuning voor SBS 2011.
https://ict2mkb.nl/einde-ondersteuning-sbs2011/

@kevinyfz Je hebt je reactie volledig aangepast, waardoor mijn reactie erop nergens meer op slaat. Niet zo netjes!

[Reactie gewijzigd door StephanVierkant op 15 juli 2020 09:38]

kevinyfz
@StephanVierkant15 juli 2020 09:37
Hi thanks! was er al achter gekomen idd, zie bij de updates wel 2008 staan. heb mijn reactie dus aangepast. alsnog bedankt!
Urk
14 juli 2020 21:46
Toch just to be sure: servers die niet de DSN service rol hebben geïnstalleerd zijn dus niet kwetsbaar?
Net zoals dat als je Office installeert zonder bijv Skype voor Bedrijven Windows Update dan toch updates aanbiedt voor Skype voor Bedrijven 8)7
hmmmmmmmmmpffff
@Urk15 juli 2020 08:05
Servers die geen Windows DNS rol geinstalleerd hebben zijn inderdaad niet kwetsbaar.
Hoover
@Urk15 juli 2020 08:47
Dit is logisch dat het via Windows Update binnen komt ook al gebruik je de rol niet. DNS kun je aanzetten in Windows en de files ervoor staan al in de installatie. De service is alleen niet beschikbaar waardoor je niet kwetsbaar bent. Vroeger (Windows 2003 server bv) had je nog de disk nodig om dit soort services te activeren.
DeadDevil6210
14 juli 2020 21:20
Hilarisch dat sharepoint tegelijketijd plat ligt |:(
Joep Lunaar
@DeadDevil621016 juli 2020 12:04
By design: je stopt er alles in, informatie, manuren, financiële middelen en foetsie, je vind er nooit iets meer van terug. Heel bijzonder.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee