Google legt nieuwe bug in Windows kernel blood

Google heeft in een tweet van begin vorige week een zero day-bug ontdekt die gericht is op apparaten met de Chrome-browser. Nu heeft het hoofd van het Project Zero-project van Google, Ben Hawkes, een tweede bug ontdekt die in de Windows-kernel genesteld is.

Naast de Chrome / freetype 0day van vorige week (CVE-2020-15999), heeft Project Zero ook de Windows-kernelbug (CVE-2020-17087) gedetecteerd en gerapporteerd die werd gebruikt voor een sandbox-escape. De technische details van CVE-2020-17087 zijn nu hier beschikbaar: https://t.co/bO451188Mk?amp=1

Het probleem heeft het kenmerk CVE-2020-17087 gekregen en maakt misbruik van de Windows Kernel Cryptography Driver (CNG.sys). Om precies te zijn is het een buffer overflow-probleem dat in ieder geval werkend zou zijn gekregen op Windows 10, maar de onderzoekers denken dat het op alle Windows-versies sinds Windows 7 zou moeten werken.

Wat betreft het gebruik van de exploit, het werkt door een functie in de Windows Kernel Cryptography Driver (CNG.sys) te gebruiken die een getal keer in een te kleine buffer plaatst en het vervolgens van binair naar hexadecimaal converteert. De onderzoekers beweren dat ze de bug in Windows 10 hebben getest, maar er wordt aangenomen dat deze

“ten minste aanwezig is sinds Windows 7.” 

Na het uitvoeren van de exploit kunnen systeemcrashes optreden, maar de exploit kan de deuren openen voor escalatie van privileges of sandbox ontsnapping. Een stukje pseudo-code dat de Project Zero-onderzoekers publiceerden wijst uit dat een aanval inderdaad uitgevoerd zou kunnen voeren:

Stukje debug informatie Bron: Google

Ben Hawkes, technisch leider van Project Zero, tweette dat er op 10 november een patch voor dit probleem komt. In dezelfde tweet bevestigde hij ook dat deze exploit niets te maken heeft met het hacken van verkiezingen tijdens het verkiezingsseizoen. Hopelijk wordt dit geen wijdverbreid wapenfeit; gebruikers moeten echter voorbereid zijn om de Microsoft patch zo snel mogelijk te downloaden. Elke vorm van kwetsbaarheid, zelfs degenen die “gericht” zijn, kan nog steeds gevaarlijk zijn.

Microsoft maakt misbruik van Windows Update mogelijk om schadelijke programma’s uit te voeren

De Windows Update-client is zojuist toegevoegd aan de lijst met LoLBins Living-off-the-Land Binaries die aanvallers kunnen gebruiken om kwaadaardige code op Windows-systemen uit te voeren. LoLBins zijn door Microsoft ondertekende uitvoerbare bestanden, vooraf geïnstalleerd of gedownload die kunnen worden misbruikt door bedreigingsactoren om detectie te omzeilen tijdens het downloaden, installeren of uitvoeren van schadelijke code.

Ze kunnen ook worden gebruikt door aanvallers bij hun pogingen om Windows User Account Control (UAC) of Windows Defender Application Control (WDAC) te omzeilen en om persistentie te verkrijgen op reeds gecompromitteerde systemen.

Uitvoeren van schadelijke code met behulp van kwaadaardige DLL’s

De WSUS / Windows Update-client (wuauclt) is een hulpprogramma op % windir% \ system32 \ dat gebruikers gedeeltelijke controle geeft over een deel van de functionaliteit van Windows Update Agent vanaf de opdrachtregel.

Hiermee kunt u controleren op nieuwe updates en deze installeren zonder de gebruikersinterface van Windows te hoeven gebruiken, maar in plaats daarvan te activeren vanuit een opdrachtpromptvenster.

Door de  optie / ResetAuthorization te gebruiken, kan een handmatige updatecontrole worden gestart op de lokaal geconfigureerde WSUS-server of via de Windows Update-service volgens Microsoft .

MDSec-onderzoeker David Middlehurst ontdekte echter dat wuauclt ook door aanvallers kan worden gebruikt om kwaadaardige code op Windows 10-systemen uit te voeren door deze te laden vanaf een willekeurige speciaal vervaardigde DLL met de volgende opdrachtregelopties:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Zoals te zien is in de bovenstaande schermafbeelding, is de Full_Path_To_DLL het absolute pad naar het speciaal vervaardigde DLL-bestand van de aanvaller dat code zou uitvoeren bij het bijvoegen.

Deze verdedigingstechniek wordt door MITRE ATT & CK gecategoriseerd als Signed Binary Proxy Execution via Rundll32 en stelt aanvallers in staat om antivirus, applicatiebeheer en digitale certificaatvalidatie te omzeilen

In dit geval wordt dit gedaan door schadelijke code uit te voeren vanaf een DLL die is geladen met een ondertekend Microsoft-binair bestand, de Windows Update-client (wuauclt).

Nadat hij had ontdekt dat wuauclt ook als een LoLBin kan worden gebruikt, vond Middlehurst ook een monster dat het in het wild gebruikte.

Microsoft heeft onlangs de Windows 10 Microsoft Defender-antivirus bijgewerkt, ironisch genoeg en stilletjes een manier toegevoegd om bestanden die mogelijk kwaadaardig zijn, naar Windows-apparaten te downloaden.

Microsoft heeft later de mogelijkheid verwijderd van MpCmdRun.exe het Microsoft Antimalware Service Command Line Utility.

Windows 10 ‘Pro’ en ‘Home’ zoek de verschillen

Of u nu naar een nieuw apparaat kijkt of zelf Windows 10 koopt, het is goed om rekening te houden met de verschillen tussen Windows 10 Pro en Home. Als geen van beide lijkt te worden aangegeven, dan kunt u aannemen dat u Windows 10 Home bij uw pc krijgt.

De naamgeving is een beetje onbehulpzaam daar de ‘Home’ editie beter ‘Windows 10 Standaard’ genoemd had kunnen worden. Het is wat u op de meeste Windows apparaten vindt met een prijs van minder dan €1.000 en bevat alle kernfuncties van het besturingssysteem.

De Pro editie richt zich meer op professionals, ervaren gebruikers en zakelijke klanten. De meeste extra’s en geavanceerde functies zitten in deze editie die het dagelijkse gebruik van Windows niet veranderen. De kans is groot dat, tenzij u al weet dat u Pro nodig hebt, dat u goed zonder zou moeten kunnen. Weet u niet zeker welke versie het beste bij u past? Dan vertellen we wat is inbegrepen in ‘Pro’, maar niet in ‘Home’:

Bitlocker

Een van de belangrijkste voordelen van Pro is ondersteuning voor BitLocker apparaat versleuteling. Hiermee wordt uw volledige harde schijf versleuteld, waardoor het voor anderen veel moeilijker wordt om toegang te krijgen tot uw gegevens. Thuisgebruikers kunnen iets soortgelijks bereiken met software van derden. Dit zal echter de integratie van het besturingssysteem missen die helpt om BitLocker zo performant en veilig te maken.

Hyper-V

Pro ondersteunt Hyper-V, het virtualisatiesysteem van Microsoft voor het draaien van virtuele machines op uw apparaat. Tenzij u echter al afhankelijk bent van Hyper-V, bent u misschien beter af met een gratis alternatief zoals VirtualBox. Dit werkt perfect op Windows 10 Home bij gebruik van een moderne processor.

Windows Sandbox

Net als bij virtualisatie kunt u met Windows Sandbox een geïsoleerd bureaublad laten draaien dat alle wijzigingen die u erin maakt verwijderd wanneer u het programma sluit. Het is geen volledige virtualisatie oplossing, maar draait bovenop uw huidige Windows installatie. Sandbox is alleen een Pro functie, maar kan worden gerepliceerd met behulp van gratis virtualisatiesoftware, zoals VirtualBox.

Functies voor bedrijven en ontwikkelaars

De meeste van de resterende verschillen zijn gericht op bedrijfsbeveiliging, netwerken en ontwikkeling. Het is onwaarschijnlijk dat dit een thuisgebruiker zal beïnvloeden die geïnteresseerd is in productiviteit en multimedia.

Windows 10 Pro kan lid worden van een domein, groepsbeleidsregels inschakelen en op afstand verbinding maken met. Het ondersteunt ook Azure Active Directory, Kiosk Mode, Mobile Device Management en speciale “zakelijke” versies van de Microsoft Store en Windows Update. Maar ook zaken als groepsbeleid moet u missen in Windows 10 Home editie.

Gpedit.msc is beschikbaar in Windows 10 Pro

Tenzij u weet dat u deze nodig hebt, is er geen reden om Pro te kiezen vanwege hen. De functies van Pro zijn niet zo opwindend als de naam doet vermoeden. Voor de meeste thuisgebruikers, kantoormedewerkers en gamers zou Thuis perfect geschikt moeten zijn.

Een laatste verschil zijn natuurlijk de kosten, voor home zijn € 145,- en Pro voor € 250,- Prijzen Microsoft.nl. Dat is een verschil van € 95,- als u Windows 10 los koopt. Apparaten die met Windows 10 zijn gekocht, geven u over het algemeen geen kosten van de versie die erop staat, dus u zult over het algemeen met Home overweg overweg kunnen dat is het consumentgerichte product en Pro is meer op geavanceerde en premium apparaten.

Het nieuwste AV-testrapport: Windows Defender is de beste antivirusoplossing voor consumenten

Microsoft pusht al geruime tijd hun gratis Antivirus Windows Defender en het bedrijf is daar ook behoorlijk succesvol in geweest. Naast Microsoft zijn er nog steeds veel bedrijven die antivirussen verkopen en die volgen meestal het op abonnementen gebaseerde model.

Het goede nieuws is dat gebruikers mogelijk geen grote sommen geld hoeven te betalen voor antivirussen omdat het laatste rapport van AV-Test Windows Defender heeft bepaald als de beste antivirus voor consumenten. Het onafhankelijke laboratorium test verschillende antivirussen op basis van bepaalde parameters en publiceert de resultaten. De rapporten worden om de twee maanden bijgewerkt en dezelfde drie parameters worden gebruikt. Windows Defender staat al geruime tijd bovenaan de lijst, maar de antivirus haperde gewoon naar de toppositie met een perfecte score in alle drie categorieën: bescherming, prestaties en bruikbaarheid.

Microsoft vierde de prestatie snel met Brad Anderson, Corporate Vice President, Microsoft 365 die de door AV-Test gepubliceerde resultaten tweette. Windows Defender slaagde er ook in om een bijna perfecte score te behalen bij testen in de zakelijke omgeving. Over het algemeen slaagde het antivirus van Microsoft erin om met vlag en wimpel te slagen, wat absoluut goed nieuws is voor het bedrijf.

Persoonlijk heb ik al lang geleden antivirussen van derden gedumpt en ik vertrouw volledig op Windows Defender en ik raad het ten zeerste aan ten opzichte van andere antivirussen van derden.
 

Windows 10 mei 2019 Update nu beschikbaar voor iedereen die het opzoekt

Microsoft is zeer terughoudend geweest met de uitrol van de Windows 10 mei 2019-update naar aanleiding van de problemen van de update van oktober 2018 en vandaag, bijna een maand nadat de officiële uitrol begon, heeft Microsoft de update toegankelijker gemaakt voor Windows 10-gebruikers.

Microsoft heeft hun ondersteuningsdocument bijgewerkt om aan te kondigen dat de update voor mei nu beschikbaar is voor alle zoekers, dat wil zeggen degenen die controleren op updates.

Microsoft schrijft:

Huidige status vanaf 6 juni 2019:

Windows 10, versie 1903 is beschikbaar voor elke gebruiker die via Windows Update handmatig “Zoek naar updates” selecteert. De aanbevolen onderhoudsstatus is het Halfjaarlijks kanaal. 

Dit betekent niet dat u met elke pc-controle de update krijgt. Als er bekende blokkers zijn, zal Microsoft nog steeds weigeren de update naar uw pc te brengen.

Huidige bekende problemen zijn onder meer:

  • Windows Sandbox start mogelijk niet met de foutcode “0x80070002”
  • Verlies van functionaliteit in de Dynabook Smartphone Link-app
  • De helderheid van het scherm reageert mogelijk niet op aanpassingen
  • Audio werkt niet met Dolby Atmos-hoofdtelefoons en home cinema
  • Lees meer over andere problemen in Windows 10 versie 1903

Voor de allerbeste ervaring met de update raden we aan te wachten totdat Microsoft de update expliciet naar uw pc pusht.

Zijn onze lezers direct aan het updaten? Laat ons hieronder uw ervaringen weten.

Pin It on Pinterest