Download whitepapers, case studies
en onderzoeken over ICT-onderwerpen
Computable IT Knowledge Base
   Dagelijks het laatste
ICT-nieuws in je inbox?
Computable e-mail nieuwsbrief

Home pijltje ICT Topics pijltje Security pijltje Nieuws

security / Nieuws

18-04-2007 10:58 | Door Diederik Toet | Gerelateerde bedrijven: Microsoft | Er zijn 4 reacties op dit artikel | Permalink

DNS-lek in Windows Server groot risico

Microsoft waarschuwt sinds eind vorige week voor misbruik van een lek in de dns-service in Windows Server 2000 SP4 en Windows Server 2003 SP1 en SP2. De softwaregigant adviseert de misbruikte poorten 1024 tot en met 5000 te blokkeren of met geavanceerde tcp/ip-filterinstellingen een aanval af te wenden.

Greg Day, beveiligingsanalist bij McAfee, legt uit dat het lek voor grote problemen kan zorgen. "Men kan via het lek directe controle over een server krijgen. Ze omzeilen hierbij de authenticatieprocedures. Door ‘near bots' te installeren kunnen de gekraakte servers worden gebruikt voor het versturen van spam of om gebruikers onbewust door te sturen naar phishing websites."

Ondertussen ziet Symantec, een andere leverancier van beveiligingssoftware, het aantal scans op port 1025 met een factor vijftig toenemen. Volgens hen kan dit duiden op voorbereidingen voor een grootschalige aanval op het dns-lek in de server service van Microsoft. McAfees Greg Day: "Normale gebruikers valt het waarschijnlijk niet eens op dat er meer traffic op de server is. In principe ligt het voor de hand dat kwaadwillenden gericht proberen poorten te scannen op een pas ontdekt lek. Criminelen wachten op dit soort ‘zero-day vulnerabilities'. Om het risico te beperken kent veel van onze software proactieve beveiligingscontroles. Daarnaast hebben we net een update uitgebracht."

Ook de bètaversie van Longhorn en de Small Business Servers 2000 en 2003 zijn vatbaar voor het lek. Het is nog niet bekend of Microsoft het lek dicht met de reguliere maandelijkse patch van half mei of al eerder met een oplossing komt.

bekijk reacties (4) print stuur door
Gerelateerde artikelen
Reacties op dit artikel
Mark Peter, 18-04-2007 17:38
Als het lek inderdaad zo cruciaal was zoals jullie hadden aangegeven als hierboven in dit artikel, had MS willen voorkomen dat er een massale DNS-attack gedaan zou worden op alle Wndows-DNS-Server die deze wereldbol bevat. Poorten 1024/1025 staan standaard bij alle firewalls al dicht. Daarbij heb je voor DNS hele andere poorten nodig (53) en Remote Management heeft ook andere poorten, dus... don't worry, be happy.
Zal waarschijnlijk zo'n vaart niet lopen, MS weet heel goed wat ze doen, anders kunnen ze een miljoenen-claim verwachten van honderden I.S.P.'s
Hans, 20-04-2007 0:41
Kijk hier voor nuttige informatie:
http://msinfluentials.com/blogs/jesper/archive/2007/04/13/turn-off-rpc-management-of-dns-on-all-dcs.aspx
Kees, 20-04-2007 4:14
@Mark Peter,
 
Het lek is inderdaad ernstig, dit komt voornamelijk omdat er 133 software componenten binnen windows hiervoor gevoelig zijn en dus er 133 aanvalsvectoren zijn.
 
Verder houd Microsoft vast aan haar patch cyclus, dit geeft hen ook tijd om de patches te testen en te vertalen (vanaf Vista en Longhorn komt vertalen van patchen te vervallen aangezien taal en techniek zijn gesplitst).
 
Het probleem dat Microsoft heeft is dat doordat ze van zoveel componenten code moet veranderen dat ze erg secuur te werk moeten gaan immers door een klein foutje in de verbetering kunnen ze voor de eindgebruiker meer stuk maken dan dat het gat op dit moment veroorzaakt.
 
Verder is het nog nooit zo geweest dat Microsoft aanvallen wil voorkomen, anders zouden hun software van huis uit beter geschreven zijn. Verschillende Explorer leks bewijzen dit (als ook vele leks die al jaren bekend zijn).
 
Verder is het zo dat de meeste Windows DNS server intern draaien bij organisaties, ivm active directory.
Er zijn amper organisaties te vinden die Windows DNS server voor internet gebruiken zelfs ISP's die windows minded zijn gebruiken geen Microsoft DNS servers.
 
Poorten 1024/1025 staan outbound vrijwel nooit dicht, 1025 valt in dynamic port range en staat meestal inbound als outbound open. (M$ gebruikt 1024/1025 voor RPC o.a. active directory logon, zodat hij vrijwel altijd openstaat, als ook standaard)
 
DNS protocol gebruikt inderdaad 53 udp en voor zone transfers 53 tcp (wat je nooit voor buitenwereld moet toestaan).
 
Het punt is dat er vele Microsoft servers rechtstreeks aan het internet hangen, als deze toch al in kennis beperkte beheerders, deze servers ook nog eens voor DNS, HTTP en andere zaken gebruiken zal vaak ook zaken als andere poorten die windows servers standaard open zetten gevoelig zijn.
 
Zoals gezegd ISP's gebruiken geen Microsoft DNS servers (extern), maar kleine ondernemingen die geen of amper beheer hebben, vaak wel en dat zijn juist degenen die op dit moment gevaar lopen.
Sander, 24-04-2007 18:06
Het betreft hier niet port 53........zeker niet.
 
Het betreft het RPC protocol, waarvan MS altijd dacht dat het veilig was.
DAT moet je dus niet naar buitenlaten wijzen. Is iets dat alleen kan gebeuren als het met de hand is gewijzigd, en je weet niet waar je mee bezig bent....ach, geeft ook wel weer wat extra werk, in deze rustige dagen.........
Security Artikelen
rss
Meer security
rssMeer Security
Security Whitepapers

Security 3.0: de nieuwste generatie beveiligingsoplossingen (klad)

Het gebeurt nog te veel dat ondernemingen zich slechts beveiligen tegen problemen die zich reeds hebben voorgedaan, waardoor er een onbetrouwbaar systeem van controls ontstaat. Deze whitepaper licht ontwikkelingen in beveiligingsoplossingen toe en gaat daarbij met name in op de nieuwste generatie...... Download nu

Security èn toegevoegde waarde met een goede secure desktop solution

De toegenomen mobiliteit van medewerkers en de bijbehorende wens om overal te kunnen communiceren, maar ook overheidsmaatregelen voor informatiemanagement compliceren de rol van IT-afdelingen. Deze whitepaper belicht geïntegreerde security-oplossingen die niet alleen hun primaire taak goed...... Download nu

Meer Security whitepapers

Computable Events Security

event

Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:

Security Producten

SonicWALL beveiliging voor EBS en SBS

28-11 12:07   SonicWALL, specialist in de beveiliging van netwerkinfrastructuur, kondigt Email Security en Network Security Appliance voor Windows Small Business Server (SBS) en Essential...

Meer security producten
Security Praktijk

Transparante systeemtoegang voor 17.000 UWV-medewerkers

16-07 11:15   Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...

Meer security praktijk
Security Achtergrond

Lege stoelen bij Pinewood

13-11 09:48   Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...

Meer security achtergrond
Security Opinie

ECM onmisbaar in het 'nieuwe werken'

02-12 12:42   Het nieuwe werken wordt in steeds meer bedrijven toegepast. Mondiale intergratie, opkomst van de digitale revolutie, toenemende vergrijzing, continue connectiviteit en overheids-...

Meer security opinie
IT Directory

Bekijk de leveranciers op het gebied van Security.

VNU Media Bluedome Computable.nl is onderdeel van VNU Media, uitgever van o.a.:
NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout

Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media