Help-functie in Windows XP en 2003 Server lek

Door: | 11 juni 2010 14:06

Apps & Software

Google heeft een lek ontdekt in de help-functie van Windows XP en Server 2003. Aanvallers kunnen hiermee pc's overnemen. Microsoft is boos over de onthulling.

Het gat komt voort uit het feit dat de help-functie van Windows werkt als een webbrowser. Een van de mogelijkheden is het aanbieden van pagina's in het HCP-protocol (hcp://). Via een xss-aanval (cross site scripting) kunnen kwaadwillenden de beveiliging van een pc omzeilen en vervolgens vrijelijk eigen programmatuur draaien.

Doordat modernere besturingssystemen meer beveiligingslagen hebben, raakt deze kwestie alleen het veelgebruikte Windows XP en Windows Server 2003. De nieuwere versies Vista, 7, Server 2008 en Server 2008 R2 zijn dus niet kwetsbaar voor dit gat.

Google-ingenieur

Het lek is ontdekt door beveiligingsonderzoeker Tavis Ormandy van Google. Na zijn ontdekking van dit nieuwste lek heeft de zoekgigant Microsoft op 5 juni 2010 ingelicht. Vervolgens heeft Ormandy het probleem op 9 juni publiek bekendgemaakt. Dat doet hij inclusief zogeheten 'proof of concept'-code, zodat het probleem ook te verifiëren is.

Microsoft heeft in reactie daarop een advies uitgebracht. Daarin raadt het bedrijf Windows-gebruikers aan om het HCP-protocol voorlopig niet te gebruiken. Daarvoor moeten gebruikers of beheerders het register aanpassen, zodat het besturingssysteem dit formaat niet langer herkent.

Zwakke plekken in de helpfunctie van Windows, specifiek het hcp-protocol, hebben Microsoft al eerder parten gespeeld. Het aanvankelijke advies (workaround) was toen ook hetzelfde: schakel hcp uit.

'Onverantwoordelijk'

De softwarebouwer is ongelukkig met de gang van zaken. In een blogposting haalt directeur Mike Reavey fel uit naar Google. Hij stelt dat hiermee Windows-gebruikers onnodig in gevaar worden gebracht. “Het publiek bekend maken van details over dit lek en hoe dit te misbruiken is, zonder dat wij tijd hebben gehad het op te lossen voor onze mogelijk getroffen klanten, maakt grote aanvallen waarschijnlijk en brengt klanten in gevaar.”

Microsoft heeft een procedure voor 'responsible disclosure' (verantwoorde onthulling) van beveiligingsgaten. Binnen de beveiligingsindustrie zijn de meningen over die aanpak echter verdeeld. Zo moeten deelnemers aan dat Microsoft-beveiligingsprogramma beloven te zwijgen over lekken tot ze verholpen zijn, ook al duurt dat maanden.

Wel/niet onthullen

Google-ingenieur Ormandy doet overigens bij Adobe wel aan responsible disclosure. De nieuwste update van Flash, die vandaag beschikbaar is gekomen, dicht meerdere lekken waaronder enkele die door hem zijn ontdekt en wel stil gehouden. Ormandy heeft al eerder kritieke lekken in Windows, maar ook Java en Linux, ontdekt en geopenbaard. Daar zaten ook antieke gaten bij; fouten die al jaren in de software zitten.

Bron: Webwereld.nl