De Amerikaanse onderzoeker HD Moore maakte woensdag bekend dat hij een kwetsbaarheid was tegengekomen in ongeveer 40 applicaties, terwijl hij het shortcut-lek in Windows aan het onderzoeken was. Maar hij is niet de enige die het probleem heeft opgemerkt. Ook Acros Security, het bedrijf dat de advisory voor het lek in iTunes heeft geschreven, was bezig met het onderzoeken van de lekken. In een interview met Computerworld.com stelt Mitja Kolsek, de CEO van Acros Security, dat het niet om 40, maar om zeker 200 applicaties gaat, waarin meer dan 500 aparte bugs zitten.

Angstaanjagend

Gedurende het onderzoek heeft Acros zelfs een speciale tool ontwikkeld die het de onderzoekers makkelijk maakt om te kijken welke applicaties kwetsbaar zijn. De bevindingen waren uiteindelijk angstaanjagend. “We hebben een aantal applicaties onderzocht, meer dan 220 van ongeveer 100 bekende softwareproducenten, en we hebben ontdekt dat bijna elk programma de kwetsbaarheid bevat”, zei Kolsek.

Het probleem zit hem erin hoe de meeste applicaties bibliotheken en executables laden en uitvoeren, vertelt Kolsek. Dit soort bugs noemen ze bij Acros 'remote binary planting'. De aanval wordt mogelijk doordat Windows de huidige directory meeneemt bij het laden van executables, zegt hij. Hackers kunnen hier gebruik van maken door Windows applicaties kwaadaardige files te laten laden.

Net als Moore stelt Kolsek dat het probleem vrij makkelijk is uit te buiten. Aan The Register vertelt hij dat het simpel is om een enkele computer binnen een netwerk te pakken te krijgen. En van daaruit is het met deze kwetsbaarheid kinderspel om bij de interessantere computers in dat netwerk te komen, zoals die van de beheerder. De firewall kan daar dan niets meer aan doen.

Gigantisch probleem

Het probleem is dan ook gigantisch. “Door de grote impact van deze kwetsbaarheid en het relatieve gemak waarmee die kan worden uitgebuit ontstaat er een serieuze dreiging voor vrijwel alle Windows-machines”, schat Kolsek.

Acros heeft dit probleem al vier maanden geleden aan Microsoft gemeld, en werkt sindsdien samen met de softwarereus aan een oplossing, en had graag gezien dat het nog even onder de pet was gehouden. Maar nu de bug toch openbaar is gemaakt was er geen reden meer om het probleem niet uitgebreid te beschrijven.

Lastig te patchen

Kolsek is het met Moore eens dat het probleem lastig te patchen is, omdat veel applicaties afhankelijk zijn van de functionaliteit die het probleem veroorzaakt. Als Microsoft niet met een fix komt, dan komt het patchen op de schouders van de verschillende producenten en moeten alle programma’s apart gepatcht worden. Het is ook mogelijk dat Microsoft een update uitbrengt voor ontwikkelaars, die de patch vervolgens in hun eigen code op kunnen nemen.

Toch denkt Kolsek dat Microsoft binnenkort met een oplossing zal komen. “Ze zullen nu snel iets doen”, zegt hij. Er zijn ook andere aanwijzingen dat Microsoft met een oplossing zal komen. In november op de DeepSec conferentie in Wenen zal Kolsek een praatje houden over remote binary planting. Omdat hij en Microsoft met elkaar in gesprek zijn, zou je zeggen dat hij dat niet zou doen als er tegen die tijd geen patch zou zijn.

Microsoft wil nog steeds niet reageren. Het is druk bezig met het onderzoeken van het probleem.

Bron: Techworld