Een exploit-schrijver van Core Secutiry Technologies heeft het lek in augustus 2009 al ontdekt. Sindsdien zijn CST en Microsoft al aan het soebatten. Nu Microsoft echter heeft aangegeven geen patch uit te gaan brengen, gooit CST het lek in de openbaarheid.

Waarschuwing

Naar eigen zeggen doen ze dit nu omdat ze vinden dat mensen gewaarschuwd moeten worden voor het risico, zodat men zelf een weloverwogen beslissing kan maken over de te nemen maatregelen. Zelf geeft CST aan van mening te zijn dat dit lek toch echt gepatched zou moeten worden.

De Windows Virtual PC virtualisatie software (overigens niet te verwarren met Hyper-V) wordt, in de vorm van de XP modus, op het moment vaak gebruikt om XP-applicaties die niet onder Windows 7 kunnen draaien toch te kunnen gebruiken op het nieuwste Microsoft OS.

Een kwetsbare applicatie die in Windows XP modus draait op Windows 7 in een virtuele omgeving zou kwetsbaar kunnen zijn, aldus CST, terwijl het draaien van dezelfde applicatie onder bijvoorbeeld Windows XP SP3 geen problemen zou opleveren.

Kwetsbare softwareversies zijn Microsoft Virtual PC 2007, Virtual PC 2007 SP1, Windows Virtual PC and Microsoft Virtual Server 2005. Daarnaast is de Windows XP modus in Windows 7 te exploiten.

Exploit

Het probleem zit in het memory management van de Virtual Machine Monitor. Het lek zorgt ervoor dat memory pages die boven de 2Gb grens gemapped zijn, geraadpleegd kunnen worden met lees- en schrijfrechten. Het komt erop neer dat een hacker door dit lek de beveiligingsmaatregelen Data Execution Prevention (DEP), Safe Exception Handlers (SafeSEH) en Address Space Layout Randomization (ASLR) kan bypassen om het Windows OS aan te vallen.

Verdediding

Microsoft denkt dat het zo’n vaart niet zal lopen, hoewel het wel toegeeft dat de bug potentieel ‘exploitable’ is op een Virtual PC guest machine. Hackers zouden echter eerst een bestaande kwetsbaarheid moeten hebben in een applicatie die binnen de guest virtual machine draait.

Een hacker zou volgens Microsoft geen hele host over kunnen nemen die meerdere virtuele machines draait. Verder blijven de DEP, SafeSEH en ASLR op het Windows 7 desktop OS zelf altijd gewoon functioneren. Microsoft heeft verder wel toegezegd om het risico in de volgende product update of service pack mee te nemen.

Bron: Techworld