HD Moore, die de lekken vorige week openbaar maakte, heeft nu ook duidelijk beschreven hoe de lekken in applicaties kunnen worden geïdentificeerd en misbruikt. In een uitgebreide post op het Metasploit blog beschrijft hij het hele proces. Men heeft er een auditing tool voor nodig, en vervolgens Metasploit.

Nu de exploit code beschikbaar is, zullen aanvallen niet lang op zich laten wachten, zo verwachten experts. Het probleem zit in applicaties die DLL’s niet aanroepen met het volledige pad, maar alleen met de bestandsnaam. Dit geeft hackers de kans om die applicaties kwaadaardige bestanden te voeren die de naam hebben van de juiste bibliotheken.

200 Kwetsbare applicaties

Moore kwam het probleem tegen tijdens zijn onderzoek naar het shortcut-lek in Windows. In eerste instantie had hij het over 40 kwetsbare applicaties. Onderzoekers van Acros Security, die het probleem al langer op de radar hadden staan, schatten het aantal kwetsbare applicaties echter veel hoger in. Zij hadden het over meer dan 200 applicaties en in totaal meer dan 500 bugs.

Afgelopen weekend maakte een andere onderzoeker bekend dat hij het probleem al maanden geleden had gerapporteerd aan Microsoft. Taeho Kwon van de Universiteit van Californië schreef samen met Zhendong Su het rapport Automatic Detection of Vulnerable Dynamic Component Loadings. Vervolgens werkten de twee samen met Microsoft aan verschillende patches. Zij vonden in totaal 19 lekken die makkelijk waren uit te buiten, onder meer in Office, Adobe Reader en alle belangrijke browsers. De geteste versies zijn intussen echter vervangen voor nieuwe, maar of dit probleem in de nieuwe versies is opgelost is onbekend. In een tweet stelt HD Moore overigens dat het lek deels al tien jaar geleden is gerapporteerd. Christopher Budd, communicatie manager van het Microsoft Security Response Center, verklaart tegenover de IDG Nieuwsdienst echter dat Microsoft naar zijn weten pas enkele weken aan het probleem werkt.

Advisory van Microsoft

Welke programma’s er precies kwetsbaar zijn is nog steeds niet duidelijk. Wel is nu duidelijk dat de programma’s zelf gepatcht moeten worden door de verschillende producenten. Microsoft heeft gisteren een advisory uitgegeven, waarin het bedrijf waarschuwt tegen de aanvallen. Ook heeft Microsoft een tool uitgebracht waarmee kan worden voorkomen dat er DLL’s van remote locaties worden geladen. Verder raadt Microsoft in de advisory aan om WebDAV en WebClient uit te schakelen, en TCP poorten 139 en 445 te blokkeren.

Christopher BuddEddy stelde echter duidelijk tegenover de IDG Nieuwsdienst dat het geen kwetsbaarheid is in een product van Microsoft. Het patchen moet dus gebeuren door de ontwikkelaars zelf. Voor hen heeft Microsoft richtlijnen opgesteld waar ze zich aan moeten houden om hun producten veilig te maken voor deze aanval.

Bron: Techworld