Aanvalscode verschijnt twee uur na Windows-patch
Gepubliceerd: Vrijdag 24 oktober 2008
Auteur: Martin Gijzemijter
Er is een nieuwe aanvalscode opgedoken die gebruik maakt van het lek waarvoor Microsoft gisteren met spoed een patch ter beschikking stelde.
De aanvalscode is geschreven door ontwikkelaars van beveiligingsbedrijf Immunity security. Zij hadden slechts twee uur nodig voor het schrijven van de code, nadat Microsoft de patch had uitgegeven. De code is alleen beschikbaar voor betalende klanten van Immunity security, maar verwacht wordt dat er op korte termijn kopieën van de software op internet rond zullen zwerven.
Tussentijdse patch zeldzaam
De patch van Microsoft heeft nogal wat opschudding veroorzaakt, omdat Microsoft patches doorgaans bewaart voor Patch Tuesday, de tweede dinsdag van iedere maand, zelfs als het om belangrijke patches gaat. Het feit dat Microsoft dit patroon heeft doorbroken voor deze patch, zegt veel over de ernst van het lek dat gevonden is. Door de patch vrij te geven, hebben hackers meer inzicht gekregen in de aard van het probleem, waarmee het eenvoudiger voor ze wordt om aanvalscodes te schrijven.
Pc kan overgenomen worden
De oorzaak van de bug zit in de Windows Server service, om precies te zijn in de RPC ofwel de Remote Procedure Call, die het mogelijk maakt om op afstand programmatuur op machines aan te spreken. Dit wordt bijvoorbeeld gebruikt voor het delen van printers en bestanden. Door specifieke berichten te versturen naar een Windowsmachine die gebruik maakt van Windows Server, kan een hacker volgens Microsoft de controle over de computer overnemen.
Zeer eenvoudig uit te buiten
Volgens Bas Alberts, onderzoeker bij Immunity Security, gaat het om een bug die zeer eenvoudig uit te buiten is "Het gaat hier om een zeer controleerbare stack overflow", aldus Alberts tegen de IDG Nieuwsdienst.
Stack overflow bugs ontstaan wanneer programmeerfouten het mogelijk maken voor hackers om commando's te schrijven in delen van het geheugen die normaliter niet te benaderen zijn. Door die code uit te laten voeren door de pc van het slachtoffer, kan de beveiliging worden omzeild.
Microsoft heeft door de jaren heen miljoenen dollars gestoken in pogingen om dergelijke bugs uit te roeien. Volgens Michael Howard, Security Program Manager bij Microsoft had dit dan ook nooit mogen gebeuren: "Onze fuzz-tests hebben dit probleem niet ondervangen en dat had wel gemoeten. We zullen onze fuzzing algoritmen en libraries opnieuw bekijken en updaten, iets wat we overigens voortdurend doen."
Aanval geweerd door firewalls
Overigens laat Alberts weten dat de kans is dat er door deze bug een worm gebouwd wordt die wild om zich heen zal grijpen."De meeste netwerken zullen dit soort aanvallen wel weerstaan met behulp van de firewall. Het zal alleen een probleem zijn op interne netwerken en in dat opzicht is het dan ook een serieuze dreiging."
