Microsoft dicht lekken in Outlook en dns-client

Microsoft heeft tijdens een nieuwe editie van patch tuesday meer dan 60 lekken in zijn producten gedicht. Daaronder is een bug in Outlook die de inhoud van mails kon prijsgeven en een lek in de Windows-dns-client die het uitvoeren van code mogelijk maakte.

De Outlook 2016-bug, met kenmerk CVE-2017-11776, is beschreven in een bericht van het Oostenrijkse beveiligingsbedrijf Sec Consult. Onderzoekers van het bedrijf schrijven dat de bug ervoor zorgt dat een e-mail die met S/MIME is versleuteld, zowel in versleutelde als in onversleutelde vorm werd verstuurd. Daardoor kan een aanvaller die de mail onderschept, de inhoud ervan waarnemen. Het probleem zou zich in ieder geval gedurende de afgelopen zes maanden hebben voorgedaan bij e-mails die werden verstuurd met plain text formatting. Standaard is dat html. Bij gebruik van Exchange gebeurt dat alleen tot de eerste hop, bij smtp blijft de e-mail gedurende het volledige traject onversleuteld, aldus het bedrijf.

Beveiligingsbedrijf Bishop Fox heeft een analyse gepubliceerd van het lek in dnsapi.dll met kenmerk CVE-2017-11779. Het lek is te misbruiken doordat een aanvaller in bijvoorbeeld een man-in-the-middle positie een kwaadaardig dns-antwoord verstuurt naar een client. Op die manier kan hij op afstand willekeurige code uitvoeren binnen de applicatie die dns gebruikt, bijvoorbeeld de browser. Het lek is aanwezig in Windows 8 en 10 en versies tussen Windows Server 2012 en 2016.

Een derde lek dat Microsoft heeft gedicht, bekend als CVE-2017-11826, betreft een zeroday in Office die volgens het Redmondse bedrijf actief wordt gebruikt door aanvallers. Doordat een aanvaller gebruikmaakt van een speciaal bestand kan hij, bijvoorbeeld door het te versturen via e-mail, op afstand code uitvoeren op het systeem van een slachtoffer. Als het slachtoffer beheerdersrechten bezit, kan de aanvaller het systeem in kwestie overnemen, waarschuwt Microsoft. Het lek heeft te maken met de manier waarop Office omgaat met geheugenobjecten. Het lek is onder meer aanwezig in Word 2016 en oudere versies. Het Chinese beveiligingsbedrijf Qihoo 360 publiceerde eind september een analyse van het lek.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 11-10-2017 14:2024

11-10-2017 • 14:20

24 Linkedin Whatsapp

Lees meer

'Aanvallers gebruikten inmiddels gedicht Windows-lek bij hacks in Midden-Oosten'
'Aanvallers gebruikten inmiddels gedicht Windows-lek bij hacks in Midden-Oosten' Nieuws van 10 oktober 2018
Microsoft patcht in augustus verschenen zero-day
Microsoft patcht in augustus verschenen zero-day Nieuws van 12 september 2018
Microsoft dicht actief aangevallen kritiek lek in nieuwe patchronde
Microsoft dicht actief aangevallen kritiek lek in nieuwe patchronde Nieuws van 9 mei 2018
Microsoft patcht aangevallen Office-lek in nieuwe patchronde
Microsoft patcht aangevallen Office-lek in nieuwe patchronde Nieuws van 10 januari 2018
Nieuwe Microsoft-patchronde dicht Office-lek dat uitvoeren van code toelaat
Nieuwe Microsoft-patchronde dicht Office-lek dat uitvoeren van code toelaat Nieuws van 15 november 2017
Microsoft dicht lek in Windows Search dat op afstand uitvoeren van code toelaat
Microsoft dicht lek in Windows Search dat op afstand uitvoeren van code toelaat Nieuws van 9 augustus 2017
Microsoft dicht kritiek lek in HoloLens in nieuwe patchronde
Microsoft dicht kritiek lek in HoloLens in nieuwe patchronde Nieuws van 12 juli 2017
Microsoft dicht twee Windows-lekken die door aanvallers worden gebruikt
Microsoft dicht twee Windows-lekken die door aanvallers worden gebruikt Nieuws van 14 juni 2017
Microsoft waarschuwt voor aanval en brengt noodpatch voor Windows XP uit
Microsoft waarschuwt voor aanval en brengt noodpatch voor Windows XP uit Nieuws van 13 juni 2017
Microsoft verhelpt na uitstel kritieke lekken in grote patchronde
Microsoft verhelpt na uitstel kritieke lekken in grote patchronde Nieuws van 15 maart 2017
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Windows Security

IT-banen

Meer vacatures

Reacties (24)

-Moderatie-faq
24
23
14
1
0
7
Wijzig sortering
batjes
11 oktober 2017 14:42
Toevoeging op het derde lek.

Hiervoor zijn een user met administrator rechten nodig.
If the current user is logged on with administrative user rights, an attacker could take control of the affected system.
Zucht, gewoon even die link openen Sander. Best belangrijke informatie als je exploits uitlegt.

EDIT: Voorbeeld mocht ook wel beter. "bijvoorbeeld door het te versturen via e-mail." is heel wat minder dreigend dan "An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights" Het eerste stukje is juist mooi en uitgebreid geschreven, misschien dat ik daarom zo val over de beetje gebrekkige afsluiting.

[Reactie gewijzigd door batjes op 11 oktober 2017 14:56]

Alex3
@batjes11 oktober 2017 14:50
Er zijn helaas hele volksstammen die altijd met beheerdersrechten werken en UAC maar hinderlijk vinden en dus uitschakelen.
batjes
@Alex311 oktober 2017 14:53
Klopt, maar dat soort gebruikers ga je eigenlijk nergens tegen beschermen. Lekker laten gaat, leren het vanzelf wanneer het goed fout gaat.
field33P
@batjes11 oktober 2017 15:51
In het geval van sommige (verouderde) programma's/games levert UAC ook daadwerkelijk problemen op met de compatibiliteit (waarbij openen als Administrator ook niet werkt). Standaard laat ik het bij mezelf en anderen aanstaan en probeer ik te voorkomen het uit te zetten, maar soms kan ik niet anders dan uitzetten.
Valen_76
@field33P11 oktober 2017 16:17
Niet installeren in Program Files lost een hoop op. (Ok, niet alles)
batjes
@field33P11 oktober 2017 17:16
Er zullen altijd uitzonderingen zijn. Buiten de program files of zelfs C schrijf houden voorkomt al een boel problemen.

Is dit geen oplossing? Je kunt applicaties als het ware whitelisten voor UAC.

[Reactie gewijzigd door batjes op 11 oktober 2017 17:16]

Stijn Weijters
@Alex311 oktober 2017 21:35
Ik moet wel met beheerdersrechten werken ander kan ik niks doen op mijn laptop (zoals velen) op desktop weet ik het niet zeker.
Auteurduqu
@batjes11 oktober 2017 14:57
Ik zal het laatste stukje wat uitbreiden, thx batjes!

*edit: het versturen van de e-mail is geen voorbeeld van een actie maar een manier om het bestand bij het doelwit te krijgen.

[Reactie gewijzigd door duqu op 11 oktober 2017 14:59]

batjes
@duqu11 oktober 2017 15:05
Geen probleem, hoe meer details in het bericht zelf, hoe beter.

Het lek werkt ook op normale user accounts wel, maar kan hier weinig over vinden wat dan de schade of impact kan zijn. Waarschijnlijk gewoon afhankelijk van de rechten die de account dan heeft. In het ergste geval dat je data gejat kan worden(waar jij op leek te doelen). Maar het dan kan geen controle over je systeem krijgen.

Ik had ook naar de 2 andere exploits gekeken, maar deze had je al erg goed verwoord :)
HyperVize
11 oktober 2017 18:28
Is er een herstart vereist voor deze updates?
wildhagen
@HyperVize11 oktober 2017 18:38
Hoogstwaarschijnlijk wel. Dit is namelijk onderdeel van een Cumulative Update (iig onder Windows 10), en die vereisen vrijwel altijd een herstart.

Merk ook op dat in die Cumulative Update nog veel meer gefixed wordt dan alleen deze genoemde bugs.
HyperVize
@wildhagen11 oktober 2017 18:49
Dank!
Armin
@HyperVize11 oktober 2017 23:15
Is er een herstart vereist voor deze updates?

Niet voor die van Outlook, wel voro de andere aangezien - zoals wildhagen opmerkt - dit een onderdeel van de grote Windows 10 update is. Die voor Outlook is echter een losse en vereist geen systeem-herstart (mits Outlook afgesloten was tijdens het draaien).
Aschtra
11 oktober 2017 15:22
Gelukkig is iedereen bij ons Local Admin :D

Geen grapje, iedereen is bij ons Local Admin.

[Reactie gewijzigd door Aschtra op 11 oktober 2017 16:03]

Aherin
@Aschtra11 oktober 2017 17:14
Mensen lachen er om, maar er zijn best nog wel een aantal bedrijven waar iedereen inderdaad Local Admin is. Bijvoorbeeld omdat ouderwetse software anders niet werkt (ja echt, ik spreek uit ervaring) maar helaas is het niet IT die hierover beslist, maar diegene die over de financieen gaat.

Tsja, het enige wat je kan doen is inderdaad hopen dat het een keer (bijna) goed mis gaat, zodat je kan zeggen “told you so” en hopen dat ze dan luisteren!
Aschtra
@Aherin11 oktober 2017 20:03
Ik heb er totaal geen probleem mee. Ook zijn er nooit problemen ontstaan bij ons omdat iemand Local Admin is.
Brahiewahiewa
@Aschtra11 oktober 2017 21:44
Er ontstaan ook geen problemen omdat iemand local admin is, het is een probleem dat iemand local admin is. Als je anno 2017 nog meent dat eindgebruikers best wel local admin mogen zijn, hoor je niet thuis in de ICT. Klinkt rot, maar dat is ook de bedoeling
Aschtra
@Brahiewahiewa11 oktober 2017 22:46
Ligt er maar net aan hoe je omgeving gebouwd is. Iedereen is hier vanaf het begin al local admin geweest en de omgeving is daarop aangepast. Onze security officer ziet het liever ook anders maar de omslag kreeg hij er niet doorheen bij het top management.

Ik heb geen zin om alleen maar software te gaan installeren / updaten strals voor alle gebruikers (makkelijkste voorbeeld) of software te gaan bijhouden in een programma met een library voor toegestane applicaties. Daar krijg je je week wel mee vol afhankelijk van de hoeveelheid applicaties en wat er allemaal niet getest moet worden voor een kleine update van een willekeurig pakket.

Ik heb een bedrijf gewerkt die zo werkte en dat werkt echt niet motiverend kan ik je zeggen. Zit je schijf vol maar kan je niet direct zien waar het aan ligt? Ik installeer wel even een programma als Treesize, heb je het zo zichtbaar. Oh wacht kan niet. Dus maar andere manieren zoeken (die véél meer tijd kosten)

Software toevoegen in het pakket met toegestane software? Kon daar ook niet zomaar. Dan ging je een heel proces in wat maanden duurde

[Reactie gewijzigd door Aschtra op 11 oktober 2017 22:50]

Brahiewahiewa
@Aschtra11 oktober 2017 22:49
Ik zou m'n stelling kunnen herhalen, maar dat is zo gratuit
SPee
@Aschtra11 oktober 2017 16:57
Ik heb ook lokaal admin rechten, maar krijg toch wel eerst een login scherm te zien voordat ik die actie kan uitvoeren. En sommige dingen zijn nog steeds niet toegestaan (o.a. virusscan stoppen, firewall uitzetten).
densoN
@Aschtra11 oktober 2017 16:41
In dat geval moet je IT manager een nieuwe baan zoeken.

Geen grapje
Daniel_Elessar
@Aschtra11 oktober 2017 16:52
Helaas komt dat nog maar al te vaak voor. En andere uitersten zoals bij de Belgische voetbal bond. Daar is alles heel erg dicht getimmerd. Enkel in de pauze kunnen werknemers 'internet' gebruiken en dat zijn dan de websites van sponsoren. :/ Nu is dat voor de normale werknemer mensen met iets hoger kunnen wel internet gebruiken maar alles is heel erg afgesloten.

Nu hoeft je voor normaal gebruik echt geen admin rechten te hebben en is het zeer twijfelachtig dat iedereen die machtiging heeft. Niet te doen, gewon een normaal user account en klaar :)
Tadream
@Aschtra11 oktober 2017 19:09
Er zijn niet zoveel pakketten die local admin rechten nodig hebben.
Tenzij er een hele goede reden is om iemand local admin te geven zou ik het er toch afhalen.
Zoveel mogelijk voor de gebruikers via group policies, software install tools werken als je op een domein zit.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee