Beveiligings risico's bij gebruik Access 2000.

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • ? ?
  • Registratie: Mei 2007
  • Niet online
Wat zijn de risico's bij het gebruik van Access 2000.
Zijn die er uberhaupt?

Ik zou graag motiveren waarom er geen Access 2000 meer gebruikt kan worden. "Het is niet meer supported" is niet voldoende, want "het werkt". 8)7

Ik denk zelf aan wat DLL's en andere zaken die misbruikt zouden kunnen worden door security holes. Maar vanuit een webbrowser lijkt me dat al onmogelijk. Ik ga er van uit dat Access 2000 ook niet luistert op inkomende poorten, dus via een netwerkaanval lijkt me ook onmogelijk.

Ik wil een "waarom/daarom" spelletje uit de weg gaan en met iets nuttigs afkomen. Werkelijke security issues zijn voldoende. Of is het volledig veilig om verder te blijven gebruiken? }:O :P

Acties:
  • +1 Henk 'm!

  • Room42
  • Registratie: September 2001
  • Niet online
Ik zou het afraden omdat ook met alleen Access, er nog steeds andere MS Office-onderdelen geïnstalleerd worden die ook nog eens flink (pogen tot) integreren met Windows. Het is sowieso de vraag of je het nog op een supported versie van Windows te draaien krijgt, trouwens ;)

Leuk leesvoer: https://nvd.nist.gov/vuln...oft%3aoffice%3a2000%3asp3

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron


Acties:
  • 0 Henk 'm!

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 14:06
? ? schreef op vrijdag 22 maart 2019 @ 09:17:
Maar vanuit een webbrowser lijkt me dat al onmogelijk.
Gaat het om het gebruik van Access 2000 als desktopapplicatie via virtual desktop in een webbrowser of enkel het gebruik van een Access-database als backend connection via jet/ace/accdb/whatever driver in een webapplicatie?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • +1 Henk 'm!

  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Er staan wat aannames in je post waarvan je dus eigenlijk verwacht dat wij daar iets van maken. Daarbij is je eigen inbreng niet veel meer dan "het werkt". Dat is natuurlijk een kut-argument. Windows2000 werkt ook nog steeds, maar ga je ermee het internet op?

Sowieso, als ik zoek op "access 2000 vulnerabilities" (ik neem aan dat je dat zelf ook hebt gedaan, maar bent om welke reden dan ook niet in je startpost hebt gegooid) dan krijg ik van Google de volgende suggesties voor aanvullende keuzes:
Searches related to vulnerabilities access 2000
security issues with access databases
why microsoft access is bad
microsoft access security
ms access 2016 security
microsoft access popularity
who uses access database
how stable is ms access
access database security risks
. Overigens wel jammer, het topresultaat lijkt me een prima antwoord, maar loopt stuk op een 522-melding op Cloudflare: https://www.cvedetails.co...icrosoft-Access-2000.html

Ik vraag me vooral af waarom je kiest voor Access2000. Als dat is omdat je die Office2K-CD nog hebt liggen en het geen geld mag kosten, is het dan niet veel verstandiger om een open-source oplossing van een iets recenter datum te kiezen? Gewoon, omdat je daarmee een oplossing kiest die robuuster is, en meer up-to-date. En daarmee makkelijker te beheren.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm


Acties:
  • +4 Henk 'm!

Verwijderd

"Het is niet meer supported" is niet voldoende, want "het werkt". 8)7
"Het is niet meer supported" moet voldoende zijn, want "het is niet meer supported".

Als ze zich niet willen beseffen dat bedrijfskritieke processen kunnen omvallen door het gebruik van achterhaalde software is dat op hun conto. Maak ze dat duidelijk.

Edit: laat ze anders een niet mis te verstane disclaimer tekenen. Is hier ook gangbaar. Risico-beschrijving, risico niveau en hoogte en kans en impact enzo. Allemaal op papier. De laatste regel:

"Ik, de business owner, accepteer dit risico. Mijn verantwoordelijkheid. Was getekend, <naam>, <datum>, <plaats>".

Elk jaar herhalen.

[ Voor 33% gewijzigd door Verwijderd op 22-03-2019 11:00 ]


Acties:
  • +1 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Een uitputtende lijst gaten ga je niet per se vinden. Het is immers niet meer supported - en de afgelopen 10 jaar sinds 2009 voor 'niemand' meer interessant.

offtopic:
@? ? als je een waarom/daarom discussie uit de weg wilt gaan, maar wel reacties wilt, dan zal je inderdaad een stukje concreter willen zijn over de situatie.

Nu komt het eerder over als trollen dan discussiëren ;)


Willekeurig voorbeeld: je kunt remote code draaien onder de rechten van de user, obv buffer overflow. Maar dat is in een bepaald scenario. Het zou inderdaad handig zijn als cvedetails weer in de lucht is.

In zijn algemeenheid: als er persoonsgegevens in die database zitten en het niet om een privé-database gaat, heb je sinds de AVG op z'n minst een juridisch en groot financieel risico omdat er bij any datalek niet met droge ogen kan worden beweerd dat er serieus is beveiligd. Ook als men op een andere manier binnen is gekomen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +1 Henk 'm!

  • Puch-Maxi
  • Registratie: December 2003
  • Laatst online: 12-10 23:35
Jester-NL schreef op vrijdag 22 maart 2019 @ 10:34:
[...]
Overigens wel jammer, het topresultaat lijkt me een prima antwoord, maar loopt stuk op een 522-melding op Cloudflare: https://www.cvedetails.co...icrosoft-Access-2000.html
Ja, dat is zeker jammer! Google heeft nog een tekst versie in de cache, misschien kun je daar nog wat mee, soort van. http://webcache.googleuse...=nl&gl=nl&strip=1&vwsrc=0

My favorite programming language is solder.


Acties:
  • +2 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Nu online

sh4d0wman

Attack | Exploit | Pwn

Natuurlijk zijn er risico's bij het gebruik van een niet supported applicatie. Nieuwe beveiligings lekken krijgen geen patch en worden meestal niet meer publiek gemaakt. Je bent dan in feite een sitting duck indien het bedrijf een serieus cyber incident of security audit mee maakt (due diligence/due care).

Met Google zijn al diverse vulnerabilities en attack surfaces te vinden (b.v. openen/parsen van een .mdb file welke in een buffer overflow kan resulteren). Sinds 2009 zijn er nieuwe applicaties en technieken om complexere memory safety vulnerabilities te vinden uitgebracht. Dus je hebt best kans dat men hiermee een hele reeks nieuwe vulnerabilities kan vinden in Access (echter kijkt er niemand naar).

Een "netwerkaanval" kan ook komen daar simpelweg een bestand te openen. Een recent voorbeeld is bijvoorbeeld een PDF welke ongezien je Windows NTLM hash naar een externe server stuurt zonder dat je er iets van merkt. Of bijvoorbeeld een OLE control embedded in een Office document, een Macro, een URI handler, etc. Anti-virus gaat je hier in veel gevallen ook niet tegen helpen.

Indien kosten de overweging zijn om niet te updaten zou ik inderdaad ook naar een open source alternatief kijken :)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Acties:
  • 0 Henk 'm!

  • ? ?
  • Registratie: Mei 2007
  • Niet online
Het is een lokale installatie van Microsoft Access 2000. Op Windows 7 en Windows 10 pc's.

Ik wil een waarom/daarom discussie hier intern in het bedrijf uit de weg gaan. De Access front-end wordt door een 50-tal mensen gebruikt en is bedrijfskritisch. De applicatie is heel uitgebreid en rarara de "ontwikkelaar" is iemand intern die helemaal geen IT'er is en nooit tijd heeft om iets up te daten laat staan dit alles te porten naar iets recent.

Dit is eigenlijk wat ik zocht, maar zelf overgekeken heb: "Unspecified vulnerability in Microsoft Access allows remote user-assisted attackers to execute arbitrary code via a crafted .MDB file, possibly related to Jet Engine (msjet40.dll).".

Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Misschien voor de business belangrijker dan de beveiligings-issues: het kan opeens niet meer werken door een update van Windows 10. Daar wordt geen rekening meer gehouden met off2k.

offtopic:
Ik hoop dat de voorbereidingen voor migratie van Win7 al lopen, dat is januari 2020 end of life. En een veel groter beveiligingsrisico omdat Win7 aanvallen veel lucratiever zal zijn dan Access2k.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +1 Henk 'm!

  • PROnline
  • Registratie: Maart 2000
  • Laatst online: 14:28
Vraag de business of ze hun (lease)auto willen blijven rijden zonder onderhoudsbeurten en zonder zelf vloeistoffen bij te vullen en te controleren.... want 't werkt toch....
Met deze analogie vaak genoeg mensen aan 't denken gekregen. Software is al lang niet meer statisch te gebruiken, maar vereist in de hedendaagse (connected/verweven) wereld gewoon onderhoud.

En wat hier eerder al is aangegeven, zonder degelijke support/onderhoud op 't product, krijg je SLA level, niet goud, niet zilver, niet brons, maar type houtje-touwtje.

- support
- AVG
- continuïteit

Als laatste vraag wat als het omvalt, wat kost het als het een ochtend, een dag, een week of langer niet meer werkt?

Acties:
  • 0 Henk 'm!

  • Mema
  • Registratie: December 2004
  • Laatst online: 01-10 14:37
Ik zou niet in de details gaan van de kwetsbaarheden.

Geef puur aan dat MS de applicatie niet meer ondersteund. De applicatie op zich kan prima blijven werken, het is echter de omgeving er omheen die voortdurend aan het veranderen.is en daarmee risico's introduceert voor de Acces applicatie. Omdat het niet meer ondersteund wordt, wordt dit niet meer getest en komen er geen security updates meer beschikbaar.

Geef daarnaast aan dat de interne ondersteuning ook niet geborgd is. Is hij bijvoorbeeld in staat om elke maand de werking van zijn applicatie te testen als IT de generieke updates installeert?

In het kader van een risico analyse zijn dat meerdere rode vlaggen voor een bedrijfskritische applicatie.

Zet dit in een "statement of risk", zet de SLA op best effort en laat voor dit risico tekenen door een directeur.

Mema


Acties:
  • 0 Henk 'm!

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 14:06
? ? schreef op maandag 25 maart 2019 @ 11:07:
Dit is eigenlijk wat ik zocht, maar zelf overgekeken heb: "Unspecified vulnerability in Microsoft Access allows remote user-assisted attackers to execute arbitrary code via a crafted .MDB file, possibly related to Jet Engine (msjet40.dll).".
Waarom specifiek deze vulnerability? Dit kun je eenvoudigweg oplossen door geen .mdb-bestanden in de mail toe te staan. Voor een zelfgemaakte .mdb op een vertrouwde netwerklocatie is dit niet van toepassing.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • 0 Henk 'm!

  • ? ?
  • Registratie: Mei 2007
  • Niet online
Allemaal leuk in theorie, maar ik werk in een chemisch industriebedrijf. Om eerlijk te zijn moet je minder schrik hebben van ongepatchte software dan het soort risico's en roekeloosheid in de industrie.

Ik geef jullie allemaal wel gelijk, laat me duidelijk zijn he...
@nescafe : ja maar een usb stick of bestandje dat viavia toekomt kan ik niet altijd blokkeren.

Win 7 migratie: ja hoor ;-)

Acties:
  • 0 Henk 'm!

  • TommyboyNL
  • Registratie: Januari 2006
  • Niet online
? ? schreef op maandag 25 maart 2019 @ 12:52:
Allemaal leuk in theorie, maar ik werk in een chemisch industriebedrijf. Om eerlijk te zijn moet je minder schrik hebben van ongepatchte software dan het soort risico's en roekeloosheid in de industrie.

Ik geef jullie allemaal wel gelijk, laat me duidelijk zijn he...
@nescafe : ja maar een usb stick of bestandje dat viavia toekomt kan ik niet altijd blokkeren.

Win 7 migratie: ja hoor ;-)
USB sticks kan je prima via group policies of third party tools disablen. Via-via bestandjes kan je blokkeren door middel van een webproxy of firewall.

Acties:
  • 0 Henk 'm!

  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

? ? schreef op maandag 25 maart 2019 @ 12:52:
Allemaal leuk in theorie, maar ik werk in een chemisch industriebedrijf. Om eerlijk te zijn moet je minder schrik hebben van ongepatchte software dan het soort risico's en roekeloosheid in de industrie.
En ze zijn bij jou in het bedrijf ook blij met machines van 20 jaar oud waar al 15 jaar geen onderhoud meer aan wordt gepleegd? Behalve natuurlijk heel af en toe door die boekhouder die ze in zijn garage in elkaar heeft staan schroeven van ouwe auto-onderdelen.
Want dat is waar de vraag een beetje op neerkomt...

The sky above the port was the color of television, turned to a dead channel
me @ last.fm


Acties:
  • 0 Henk 'm!

  • ? ?
  • Registratie: Mei 2007
  • Niet online
Jester-NL schreef op maandag 25 maart 2019 @ 17:11:
[...]

En ze zijn bij jou in het bedrijf ook blij met machines van 20 jaar oud waar al 15 jaar geen onderhoud meer aan wordt gepleegd? Behalve natuurlijk heel af en toe door die boekhouder die ze in zijn garage in elkaar heeft staan schroeven van ouwe auto-onderdelen.
Want dat is waar de vraag een beetje op neerkomt...
Ja.

Er worden hier vaak dingen gebruikt tot ze uit elkaar vallen.
Of een tank lekt doordat alles verroest is. The way the world ticks I guess.

Wat dacht je, dat bedrijven in iets anders dan winst geïnteresseerd zijn? We zagen bij VW wat geld doet...

Acties:
  • +1 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Nu online

sh4d0wman

Attack | Exploit | Pwn

Kun je het in plaats van lokaal op de machine te zetten niet centraal aanbieden? Bijvoorbeeld Remote Desktop/VDI of Citrix etc.

Hiermee verminder je het aantal instances dus ook je attack surface. Wellicht is het dan ook verder dicht te spijkeren. Indien mogelijk een soort Read Only instance, geen bestanden laten openen, geen internet toegang, LAN verkeer alleen strikt noodzakelijk en gemonitord.

Verder heb je in Windows 10 een sandbox mogelijkheid maar dat helpt niet voor de Windows 7 clients.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

Pagina: 1