Het lek is in augustus vorig jaar ontdekt door onderzoeker Taeho Kwon van de Universiteit van Californië. Hij heeft de kwetsbaarheid toen ook aan Microsoft gemeld. Vervolgens heeft de wetenschapper begin dit jaar een paper (PDF) hierover uitgebracht, en de kwestie nogmaals aangekaart bij Microsoft.

Meeliften met dll's

Kwon heeft een jaar geleden vier kwetsbaarheden gemeld aan Microsoft. Hij heeft toen 1700 verschillende fouten gevonden in bijna 30 applicaties. Daaronder bevinden zich Office 2007 van Microsoft, de gratis Reader van Adobe en alle bekende browsers. Een deel van de door hem geteste apps zijn inmiddels verouderd, maar het is onbekend of de kwetsbaarheid is gedicht in de nieuwere versies.

Zijn paper hierover is in februari gepubliceerd en in juli gepresenteerd op het International Symposium on Software Testing and Analysis (ISSTA). Het probleem zit in applicaties die dll’s (dynamic link libraries) niet aanroepen met het volledige directory-pad, maar met alleen de bestandsnaam. Dit geeft hackers de kans om die applicaties kwaadaardige bestanden te voeren die de naam hebben van de juiste dll's.

'Pas weken mee bezig'

Woordvoerder Christopher Budd van het Microsoft Security Response Center (MSRC) kon tegenover de IDG Nieuwsdienst niet onmiddellijk bevestigen dat het bedrijf al sinds augustus vorig jaar op de hoogte was. Hij laat wel weten dat het bedrijf naar zijn weten pas sinds de afgelopen paar weken bezig is met dit probleem.

Ontdekker Kwon stelt in zijn paper van februari echter dat hij een bugrapport heeft ingediend bij het MSRC en dat die Microsoft-afdeling met hem en zijn collega, associate professor Zhendong Su, samenwerkt aan de noodzakelijke patches.

Exploitcode openbaar

Exploitcode om misbruik te maken van dit lek is nu ook openbaar gemaakt. Die code is direct toegevoegd aan de hackertoolkit Metasploit, door security-expert HD Moore. Hij heeft de lekken vorige week openbaar gemaakt en beschrijft nu duidelijk hoe de lekken in applicaties kunnen worden geïdentificeerd en misbruikt. In een uitgebreide post op het Metasploit blog beschrijft hij het hele proces. Er is slechts een auditing tool voor nodig en vervolgens Metasploit.

HD Moore meldt in een tweet nog dat de onderliggende kwetsbaarheid mogelijk tien jaar geleden al deels is ontdekt en gemeld. Daarbij linkt hij naar een melding van september 2000 over een kwetsbaarheid in de zoek- en laadmogelijkheid voor dll-bestanden door Windows. Een malafide dll kan meeliften en zo uitgevoerd worden. Alle Windows-versies van toen zijn kwetsbaar. Die bug is in april vorig jaar aangepakt door Microsoft.

Microsoft patcht niet

Inmiddels is ook bekend geworden dat Microsoft niet met een algemene Windows-patch komt om dit lek te dichten. Het is immers geen gat in Windows, verklaart woordvoerder Budd. Het patchen is dus een kwestie voor de diverse makers van applicaties die het meeliften mogelijk maken.

Naast Microsoft zelf is dat Adobe en Mozilla. Het is echter nog niet duidelijk welke programma's er precies kwetsbaar zijn. Eerst was er sprake van zo'n 40 applicaties, maar dat is later door HD Moore bijgesteld naar zeker 200 applicaties. Softwareproducenten krijgen van Microsoft wel hulp: het publiceert een reeks richtlijnen voor applicatie-ontwikkeling die gevrijwaard is van deze kwetsbaarheid.

Blokkeren

Het bedrijf biedt wel een blokkeringstool voor malware die via dit lek wil binnenkomen. Die tool is voor alle Windows-versies vanaf XP met service pack 3 (SP3) en Server 2003 met service pack 2 (SP2). Oudere Windows-versies, zoals XP SP2, worden niet meer ondersteund.

In een security advisory waarschuwt Microsoft voor dit beveiligingslek en adviseert het beheerders om WebDAV en WebClient uit te schakelen. Malafide dll's kunnen via die Windows-filesharingtechnieken namelijk worden geladen vanaf gedeelde schijven op zowel een lokaal netwerk als op internet. Daarnaast raadt Microsoft aan de tcp-poorten 139 en 445 te blokkeren.

Update:

Security evangelist Eddy Willems van beveiliger G Data, voorspelt dat nu de exploitcode openbaar is er over twee dagen massale aanvallen op dit lek komen. Hij denkt dat aanvallers er op af zullen komen als vliegen op een honingpot.

Het is wachten op patches van de diverse getroffen softwareproducenten. Apple heeft dit lek al gedicht in iTunes. Willems stelt dat het probleem eigenlijk geen bug is. “Het is meer een design ding. Er ligt een grote verantwoordelijkheid bij Microsoft, dat zeker niet vrijuit gaat. Maar een nog grotere verantwoordelijkheid ligt bij de softwareproducenten die lui programmeren”, vertelt hij aan Techworld.nl.

Bron: Webwereld.nl