Kwaadwillenden kunnen met de nieuwe techniek Windows’ bescherming van bepaalde geheugendelen passeren, om vervolgens eigen code uit te voeren. Het besturingssysteem is juit voorzien van die beveiligingslaag om te voorkomen dat malware via een buffer overflow elders in het systeemgeheugen terecht komt en daar actief wordt. Het gaat hier om misbruik van de zogeheten heap-data.

Geheim gehouden

De methode om die exploit-beperking van Windows te omzeilen, is eind vorig jaar al ontdekt, maar tot op heden geheim gehouden, schrijft de Britse ict-nieuwssite The Register. Security-onderzoekers Chris Valasek en Ryan Smith van securitybedrijf Accuvant Labs hebben toen wel screenshots getoond waaruit blijkt dat zij met eigen code (demonstratiemalware) bepaalde geheugendelen wel degelijk wisten te gebruiken.

Zij weerlegden daarmee Microsofts geruststelling dat een lek in Windows’ webserver IIS (Internet Information Server) in de praktijk niet valt te misbruiken. Microsoft stelde dat aanvallers hoogstens de webserver konden laten crashen, wat ‘slechts’ een denial-of-service (DoS) is. Maar malware die via het lek binnenkwam, zou niet kunnen worden uitgevoerd, omdat de geheugenbescherming dat tegenhoudt.

Bovendien zit het lek in de IIS’ ftp-service, die standaard niet geïnstalleerd is en na installatie ook niet automatisch aanstaat.

Eerste lek gedicht

De eind december ontdekte omzeilingsmethode, die nu is geopenbaard, weerlegt de sussende woorden van de Windows-producent. “Het is hiermee bewezen dat je daadwerkelijk code kunt uitvoeren. In plaats van wat Microsoft zegt: ‘Maak je geen zorgen. Dit kan alleen je server crashen’”, zegt Valasek tegen The Register. Hij en zijn collega Smith hebben hun techniek afgelopen weekend uit de doeken gedaan op security-conferentie Infiltrate, in Miami.

Die openbare onthulling is gedaan kort nadat Microsoft het eigenlijke ftp-lek in IIS (versies 7.0 en 7.5) heeft gedicht. Dat is gedaan in de patchronde van februari. Het bedrijf klassificeert dat gat als ‘belangrijk’, de op één na hoogste schaal in zijn viertrapsschaal voor security bulletins. Daarbij staat het gevaar vermeld van ‘remote code execution’, terwijl Microsoft in de vooraankondiging voor die patchronde nog sprak van ‘denial of service’.

Het risico van misbruik wordt door Microsoft ingeschaald op stap 2 van zijn drietrapsindeling. Dat wil zeggen dat exploitcode volgens het bedrijf weliswaar mogelijk is, maar dat de werking daarvan voor de aanvaller niet betrouwbaar (consistent) is. De vorige week uitgebrachte patch voor IIS dicht wel het eigenlijke lek in de ftp-service, maar de omzeiling van Windows’ geheugenbescherming vormt nog steeds een gevaar.

Lekke configuratie

Microsoft heeft al eerder een lek in IIS niet erkend als beveiligingsprobleem. Het eind 2009 ontdekte puntkommalek in versie 6.0 van de Windows-webserver was slechts “een inconsistentie”. Door die 'inconsistentie' kon programmacode bij upload naar IIS worden vermomd als een ander bestandstype, terwijl het wel uitvoerbare code blijft.

Zo werd bijvoorbeeld ‘aanvalscode.asp;jpg’ door de webserver als jpg-plaatje geaccepteerd. Microsoft suste toen met de mededeling dat misbruik van deze kwestie alleen mogelijk is bij zeer onveilige configuraties: waarbij een directory zowel ‘schrijf’- als ‘execute’-permissies heeft.