Nieuw Windows-gat raakt honderden apps
Gepubliceerd: Vrijdag 20 augustus 2010
Auteur: Sander van der Meijs
Het ongepatchte gat voor Windows-applicaties treft niet slechts 40 programma's, zoals eerder is gemeld. Het zijn er honderden en treft vrijwel alle Windows-machines.
Dat stelt een Sloveens beveiligingsbedrijf nu na onderzoek van het ontdekte gat in Windows dat ook applicaties voor dat marktdominante besturingssysteem raakt. Dit lek is ontdekt door de Amerikaanse security-onderzoeker HD Moore, bekend van hackerstoolkit Metasploit. Moore is die kwetsbaarheid tegengekomen in ongeveer 40 applicaties. Hij heeft dit ontdekt terwijl hij het shortcut-lek in Windows onderzocht.
Via shortcut-lek gevonden
Maar hij is niet de enige die het probleem heeft opgemerkt. Ook Acros Security, het bedrijf dat de advisory voor het lek in iTunes heeft geschreven, was bezig de lekken te onderzoeken. In een interview met Computerworld.com stelt Mitja Kolsek, de ceo van Acros Security, dat het niet om 40, maar om zeker 200 applicaties gaat, waarin meer dan 500 aparte bugs zitten.
Gedurende het onderzoek heeft Acros zelfs een speciale tool ontwikkeld die het security-experts helpt om te bepalen welke applicaties kwetsbaar zijn. De bevindingen daarvan zijn angstaanjagend. "We hebben een aantal applicaties onderzocht, meer dan 220 van ongeveer 100 bekende softwareproducenten, en we hebben ontdekt dat bijna elk programma de kwetsbaarheid bevat", zegt Kolsek.
Meeliften
Het probleem zit hem erin hoe de meeste applicaties bibliotheken en executables laden en uitvoeren, vertelt Kolsek. Dit soort bugs noemen de onderzoekers bij Acros 'remote binary planting'. Misbruik hiervan is mogelijk doordat Windows de huidige directory meeneemt bij het laden van executables, legt hij uit. Hackers kunnen Windows-applicaties dus automatisch kwaadaardige bestanden laten laden en uitvoeren.
Net als Moore stelt Kolsek dat het probleem vrij makkelijk is uit te buiten. Aan The Register vertelt hij dat het simpel is om een enkele computer binnen een netwerk te pakken te krijgen. En van daaruit is het met deze kwetsbaarheid kinderspel om bij de interessantere computers in dat netwerk te komen, zoals die van de beheerder. De firewall kan daar dan niets meer aan doen.
Gigantisch probleem
Het probleem is dan ook gigantisch. "Door de grote impact van deze kwetsbaarheid en het relatieve gemak waarmee die kan worden uitgebuit ontstaat er een serieuze dreiging voor vrijwel alle Windows-machines", schat Kolsek.
Acros heeft dit probleem al vier maanden geleden aan Microsoft gemeld. Het werkt sindsdien samen met de softwarereus om het op te lossen. Acros had graag gezien dat het lek nog even onder de pet was gehouden. Maar nu de bug toch openbaar is gemaakt is er geen reden meer om het probleem niet uitgebreid te beschrijven.
Lastig te patchen
Kolsek is het met Moore eens dat het probleem lastig te patchen is. Veel applicaties zijn namelijk voor hun werking afhankelijk van de functionaliteit die het probleem veroorzaakt. Als Microsoft niet met een fix voor Windows komt, dan komt het probleem op de schouders van de verschillende producenten. Zij moeten dan al hun programma's apart patchen. Het is ook mogelijk dat Microsoft een update uitbrengt voor ontwikkelaars, die de patch vervolgens in hun eigen code kunnen opnemen.
Toch denkt Kolsek dat Microsoft binnenkort met een oplossing zal komen. "Ze zullen nu snel iets doen", zegt hij. Er zijn ook andere aanwijzingen dat Microsoft met een oplossing gaat komen. Kolsek zal in november op de DeepSec-conferentie in Wenen een presentatie houden over remote binary planting. Het lijkt niet waarschijnlijk dat hij met een presentatie naar buiten treedt als Microsoft tegen die tijd niet een patch uit heeft. Dit zeker gezien het feit dat Kolseks bedrijf en Microsoft met elkaar in gesprek zijn.
Microsoft wil nog steeds niet reageren. Het is druk bezig het probleem te onderzoeken.
