.NET-omgevingen kwetsbaar voor rootkits
Gepubliceerd: Vrijdag 17 april 2009
Auteur: Brenno de Winter
Het is mogelijk om het .NET-framework met een rootkit te infecteren. Alle gebruikte applicaties zijn dan in één klap gehacked.
Erez Metula van het Israëlische bedrijf 2BSecure doet onderzoek naar het inbreken op applicaties en ontdekte dat Microsoft Windows niet detecteert als bestanden van de .NET-omgeving worden aangepast. Hierdoor is het mogelijk een hele computeromgeving te vervuilen. Hij presenteerde zijn bevindingen vandaag op de Black Hat conferentie Amsterdam.
Rootkit
"Wat ik heb gedaan is het .NET-framework aanpassen en opnieuw opbouwen", vertelt Metula tegenover Webwereld. "Daarna kun je het gewoon op Windows installeren. Waar sommige bestanden niet zomaar overschreven mogen worden, gaat men er hierbij vanuit dat dit vertrouwd is en worden er geen controles gedaan."
Als het raamwerk eenmaal is aangepast kan het compleet anders reageren op opdrachten van applicaties. Het is namelijk bedoeld voor het uitvoeren van programmatuur platform onafhankelijk uit te voeren. Het gevolg is wel dat bijvoorbeeld een commando om iets op het scherm weer te geven de computer kunnen herstarten of iets anders vreemds doen.
Metula ziet deze vorm van rootkits als een nieuwe vorm om aanvallen uit te voeren op bedrijven. "Eenmaal geïnstalleerd is echt van alles mogelijk. Je kunt helemaal niets doen en dan opeens gevoelige informatie gaan wegsluizen."
Snelle distributie
De uitrol van een aanval is volgens hem relatief eenvoudig, omdat een aangepaste applicatieomgeving via beheerders gemakkelijk te distribueren is: "Uit mijn praktijk weet ik dat beheerders niet controleren of de software die is geïnstalleerd of verspreid moet worden echt de ongewijzigde versie van de programmatuur is."
Voor hem is het pijnlijk dat bij forensisch onderzoek, het testen van applicaties of het beveiligen van de omgeving dit soort basale onderdelen van het systeem niet worden meegenomen.
Niet een Microsoft-probleem
De onderzoeker erkent dat het probleem niet louter Microsoft is. "Ik heb ze wel op de hoogte gebracht, maar ze vertellen me dat dit geen bug is", vertelt hij. "Dat klopt ook wel, maar ze zouden de drempel wel kunnen vergroten."
Wat mogelijk zou zijn is dat Windows gaat controleren op de digitale handtekeningen van applicaties voor het starten. "Dat vertraagt wel ietsjes, maar zou wel helpen." Daarnaast vind hij dat de .NET-bestanden dezelfde bescherming verdienen als de Windows-systeembestanden.
Ook denkt hij dat het nuttig is van dit soort zwakheden bewust te zijn en ook te realiseren dat in een virtuele machine van Java ook dit soort kwetsbaarheden zijn toe te voegen.
