Microsoft patcht kritieke drive-by lekken
Gepubliceerd: Woensdag 15 februari 2012
Auteur: Martin Bruining
Patch Tuesday brengt vier kritieke patches, waarvan twee voor drive-by lekken. Dit zijn gaten in IE en in drivers die op kernel-niveau draaien. Bezoeken van een website kan malware binnenlaten.
Vier van de updates in Microsofts maandelijkse patchronde zijn aangemerkt als kritiek. Deze updates dichten gaten in Internet Explorer, de C-Run-Time library en het .NET Framework. De pleisters voor Internet Explorer lossen lekken op in alle versies van die browser. Daarnaast zijn er nog vijf updates die Microsoft heeft aangemerkt als 'belangrijk'. In totaal brengt het bedrijf deze maand negen patches uit voor 21 lekken.
De kritieke patches dichten zogeheten drive-by lekken. Die maken het mogelijk de pc van een gebruiker te infecteren door hem een website met exploitcode te laten bezoeken. Microsoft sust in zijn security-bulletin dat het voor een aanvaller onmogelijk is de gebruiker naar zo'n malafide site te sturen. Het bedrijf merkt daarbij wel op dat het klikken op een bijvoorbeeld toegemailde link voldoende kan zijn om de gebruiker te raken. Bovendien hoeft een site zelf niet kwaadaardig te zijn; gewone sites worden ook wel gekraakt en voorzien van exploitcode.
Alle Windows-versies en -varianten
Een van de kritieke lekken moet een oplossing bieden voor een drive-by lek in de kernel-mode drivers van Windows. Die drivers draaien op het diepste niveau in het besturingssysteem. Het uitvoeren van malwarecode op dat niveau levert ernstig gevaar op. Microsoft waarschuwt in de advisory over dit gat dat een aanvaller hierlangs malafide code kan uitvoeren op pc's van gebruikers. Dit raakt alle Windows-versies en -varianten: vanaf XP SP3 tot en met 7, en van Server 2003 tot en met Server 2008.
Het kernel-lek valt op twee manieren uit te buiten. Enerzijds door het slachtoffer een malafide website te laten bezoeken. Anderzijds door een gebruiker die al lokale rechten heeft een kwaadaardige applicatie te laten draaien die dit gat benut. Een aanvaller kan dan de beheerdersrechten kapen (privilege escalation). Die laatste methode is doorgaans gebruikelijker bij het uitbuiten van kernel-lekken.
Geheugengat in IE
De patch voor Internet Explorer dicht vier gaten in de Windows-browser. Deze zitten in alle versies sinds IE 6. Voor die zeer oude versie van de browser zijn de meeste lekken niet van toepassing of in mindere mate gevaarlijk.
In versie 7 en hoger is met name de 'HTML Layout Remote Code Execution Vulnerability' een gevaar. Die kwetsbaarheid maakt het mogelijk om een bepaalde geheugenregio te corrumperen door een niet bestand object aan te roepen. Een kwaadwillende kan dan via die geheugencorruptie eigen aanvalscode uitvoeren.
De laatste twee kritieke gaten zijn te misbruiken door middel van speciaal gecreëerde mediabestanden. Een gat in de C Run-time en in Microsoft multimediatechnologie Silverlight maken het mogelijk de rechten van de ingelogde gebruiker over te nemen. Een gebruiker die is ingelogd als beheerder (administrator) loopt bij misbruik van dit gat meer gevaar dan een gebruiker met gewone gebruikersrechten.
20 jaar oud video-codec
De vijf patches die door Microsoft als belangrijk zijn aangemerkt, bieden een oplossing voor een aantal kleinere lekken. Onder meer de Indeo Codec krijgt een update. Deze 20 jaar oude video-codec is in 1992 ontwikkeld door Intel. Het zit alleen nog vanwege 'legacy' ingebakken in Windows.
Deze codec laadt een dll-bestand in wat door dit beveiligingsgat is te misbruiken. Aanvallers kunnen namelijk eigen, malafide dll-bestanden laten uitvoeren. De gebruiker moet dan wel een speciaal geprepareerd filmbestand in .avi-formaat openen. Overigens bevindt dit lek zich alleen in Windows XP SP3.
