Security-onderzoekers van het Sloveense bedrijf Acros Security demonstreren volgende week op Hack In The Box dat alle huidige Windows-versies nog steeds zijn te hacken via ‘dll-kaping’. Die aanvalsmethode is niet nieuw en zelfs vorig jaar nog gepatcht. Toch staat dit lek nog open. De hackersconferentie in Amsterdam is het toneel voor de onthulling hiervan.

IE8 en 9

“We zullen onthullen hoe IE8 en IE9 zijn te gebruiken op Windows 7, Vista en XP om gebruikers aan te vallen, zonder dat er ook maar enige security-waarschuwing opduikt”, kondigt Acros-ceo Mitja Kolsek aan in een e-mail. Hierbij wordt ook de isolatietechniek ‘protected mode’ van Microsofts webbrowser omzeild. Kolsek legt in zijn aankondigingsmail uit dat hierlangs veilig lijkende applicaties zoals Word 2010 en Powerpoint 2010 kwetsbaar zijn.

Microsoft heeft de nieuwste versie van zijn applicatiepakket Office voorzien van isolatietechnieken net zoals Internet Explorer al heeft. Daarnaast heeft het in de zomer van vorig jaar diverse patches uitgebracht om dll-hijacking te voorkomen. Die aanvalsmethode laat malware meeliften op legitieme dll-bestanden die worden geladen door legitieme software, zoals applicaties maar ook Windows zelf.

‘Niet via ActiveX’

Acros stelt dat niet alle gaten zijn gedicht en dat dll-hijacking, wat het ‘binary planting’ noemt, nog effectief is. Dit geldt voor zowel het oude, maar nog veelgebruikte Windows XP als voor de beter beveiligde versies Vista en 7.

Ook de verbeteringen op beveiligingsgebied in IE9 zijn volgens het Sloveense security-bedrijf zo te omzeilen. “En voor de ongeduldigen onder jullie: nee, het is niet via ActiveX-controls”, blogt de ceo. Daarmee verwijst hij naar de al jaren als onveilig te boek staande IE-eigen browsertechnologie van Microsoft zelf. De Windows-producent onderzoekt de claims van Acros nu.

Shortcut-lek

Het meeliften van malware met legitieme dll-bestanden is in de zomer van vorig jaar voor de tweede maal ontdekt. De eerste ontdekking is in augustus 2009 gedaan, maar heeft geen opzien gebaard. Deze kwetsbaarheid is in de zomer van 2010 opnieuw aan het licht gekomen bij analyse van het beruchte shortcut-lek. Daarlangs is onder meer de geavanceerde Stuxnet-worm binnengekomen. Microsoft heeft toen een noodpatch uitgebracht, buiten de maandelijkse patch-cyclus om.

Analyse door H.D. Moore, maker van hackertoolkit Metasploit, heeft ontdekt dat Windows zelf en nog diverse andere software kwetsbaar is voor dll-hijacking. Vervolgens bleek dat niet veertig maar enkele honderden Windows-applicaties te raken, van onder meer Microsoft, Adobe, IBM, Apple en Mozilla. Malwaremakers zijn daar toen op ingesprongen.