Netwerkgat in Windows laat malware binnen
Gepubliceerd: Woensdag 9 november 2011
Auteur: Jasper Bakker
Microsoft waarschuwt voor een netwerkgat in alle recente Windows-versies en -varianten dat malware binnenlaat en uitvoert. Er is al een patch beschikbaar.
Aanvallers kunnen op afstand eigen code uitvoeren op Windows-systemen via een netwerkaanval. Het afvuren van een constante stroom netwerkpakketten op afgesloten poorten geeft toegang tot het marktdominante besturingssysteem. Die UDP-packets moeten speciaal gemaakt zijn om dit lek te benutten.
'Nog geen aanvallen'
De fout zit in de tcp/ip-stack van alle recente Windows-versies. Microsoft heeft dat netwerkcomponent helemaal vernieuwd met de invoering van Vista en Server 2008. Het lek is ontdekt door een niet bij naam genoemde externe partij, die het niet naar buiten heeft gebracht maar aan Microsoft heeft gemeld. Volgens de Windows-producent zijn er nog geen aanvallen via dit gat.
Zowel desktop- als serveruitvoeringen zijn kwetsbaar. Dit zijn respectievelijk Windows 7 plus Vista, en Server 2008 R2 plus voorganger Server 2008. Ook de beperkte installatievariant Server Core van de Windows-server is kwetsbaar. Verder zit het gat in alle genoemde Windows-versies voor verschillende processors: 32-bit, semi-64-bit (x64) en volwaardig 64-bit (Itanium). Het oudere Windows XP en Server 2003 zijn niet kwetsbaar.
Update-aanname
Microsoft heeft nu een update uitgebracht voor dit kritieke beveiligingsgat. Gebruikers krijgen het advies om die patch te installeren, wat via Windows Update vanzelf gebeurt. Volgens Microsoft heeft het merendeel van zijn klanten automatisch updaten aan staan, dus die gebruikers hoeven geen actie te ondernemen, schrijft het bedrijf in het security-bulletin over dit gat.
Automatische updates staan echter lang niet altijd aan voor kritieke systemen, zoals servers. Microsoft geeft in het bulletin aan dat er voor zover bekend geen beperkende maatregelen zijn om misbruik van deze kwetsbaarheid te voorkomen. Een workaround is er wel: het op een firewall afschermen van ongebruikte UDP-poorten op de Windows-machines binnen het netwerk.
Verder meldt Microsoft dat dit lek heel moeilijk is te misbruiken. Terwijl het gat zelf dus wel de hoogste inschatting 'kritiek' meekrijgt, is de 'exploitability index' een bescheiden twee. Dat is de middelste schaal van Microsofts indeling en geeft aan dat "inconsistente exploitcode waarschijnlijk is", maar betrouwbare code voor misbruik dus niet.
Duqu-gat nog open
Dit netwerkgat is overigens niet het 0-day lek waarlangs de beruchte Duqu-malware, ook wel Son of Stuxnet genoemd, binnenkomt. Microsoft werkt nog hard aan een noodpatch voor dat andere gat in de Windows-kernel. Kwaadwillenden maken daar al actief misbruik van. Het is nog niet bekend wanneer die noodpatch uitkomt.
