Beveiliger H.D. Moore, een van de makers van Metasploit, twitterde gisteren al over de bug. "Dit probleem raakt ongeveer 40 apps, waaronder de Windows Shell", schrijft hij. Vervolgens verwijst hij naar een advisory die een probleem beschrijft met iTunes, dat vorige week door Apple is verholpen.

Moore heeft het lek ontdekt terwijl hij het kritieke shortcut-lek in Windows bestudeerde, dat Microsoft begin deze maand heeft gerepareerd met een noodpatch.

Apart patchen

De kwetsbaarheid zit hem in de manier waarop Windows ‘veilige’ bestandstypen laadt van remote netwerklocaties, meldt hij aan The Register. Hij vertelde erbij dat de kwetsbaarheid erg makkelijk uit te buiten is, maar geeft geen details over hoe aanvallers precies te werk moeten gaan en over welke applicaties er naast de Windows Shell precies kwetsbaar zijn. Tegen de IDG Nieuwsdienst vertelde hij dat elke applicatie waarschijnlijk apart moet worden gepatcht. De aanval is namelijk bij iedere applicatie net iets anders, maar de uitkomst is hetzelfde: de hacker kan code uitvoeren op het systeem van het slachtoffer.

Kwaadaardige DLL’s

De advisory voor het lek in iTunes geeft een aardig idee waar het gat gezocht moet worden. Die advisory is geschreven door ACROS Security. “Een remote aanvaller hoeft alleen maar een kwaadaardige DLL met een specifieke naam op een network share te zetten en de gebruiker ertoe te bewegen om een mediabestand uit deze netwerklokatie in iTunes te openen”, stelt de advisory. Daar heb je maar minimale social engineering voor nodig, wordt daaraan toegevoegd.

Ook van internet

In dezelfde advisory staat dat Windowssystemen standaard de Web Client service hebben draaien, waardoor de remote network shares bereikbaar zijn via WebDAV. Daardoor kunnen er ook kwaadaardige DLL’s worden gebruikt op netwerken buiten de firewall, zolang die http verkeer van het internet toelaat.

Rapid7, waar Moore chief security officer is, zal volgende week met meer details komen. Er is ook exploitcode geschreven voor Metasploit, maar die is nog niet uitgebracht.

Bescherming

Volgens Moore kunnen gebruikers zich beschermen door uitgaande SMB verbindingen op poorten 445 en 139 en op WebDAV te blokkeren. Dat houdt de aanvallen over internet tegen, maar dan moet je nog steeds beducht zijn op de kwaadaardige DLL’s op de shares.

Microsoft onderzoekt het lek en heeft nog niet gereageerd.

Bron: Techworld