Microsoft adviseert 'workaround' voor kritiek lek
De waarschuwing van Microsoft betreft een beveiligingslek in het Windows-onderdeel Server Message Blok (SMB) versie 2, waarvan op 7 september voor het eerst melding is gemaakt. Aanvankelijk bestond de indruk dat aanvallers het lek alleen konden misbruiken door Windows te laten vastlopen met een ‘blauw scherm’. Nadere analyse wees uit dat het ook mogelijk is de controle over de computer over te nemen en willekeurige programmacode uit te voeren (‘remote execution’).
Vorige week woensdag onthulde het beveiligingsbedrijf Immunity dat het een werkende ‘exploit’ voor de zwakke plek in SMBv2 heeft ontwikkeld. Immunity stelt deze ter beschikking aan klanten die zijn geabonneerd op Early Updates van het CANVAS-platform voor penetratietesten.
Microsoft heeft vrijdag bevestigd dat de exploit van Immunity “betrouwbaar werkt” op de 32-bits versies van Windows Vista en Windows Server 2008. De exploit krijgt volledige controle over het doelsysteem en kan worden gelanceerd door een niet-geauthenticeerde gebruiker”, aldus een blog van het Microsoft Security Response Center. De code van Immunity kan worden gedetecteerd door intrusion detection systems (IDS’en) en door firewalls met handtekeningen voor de kwetsbaarheid in kwestie.
Het MSRC zegt geen weet te hebben van exploits ‘in het wild’ die de zwakke plek in SMBv2 uitbuiten. Totdat Microsoft een beveiligingupdate beschikbaar heeft, is het uitschakelen van het SMB-protocol volgens het MSRC de beste manier om systemen te beschermen. Het grote nadeel van zo’n ‘workaround’ is dat communicatie met file servers en netwerkprinters via SMB onmogelijk wordt.
Op Microsoft Technet staat een verwijzing naar een zogeheten Fix It’-tool die SMBv2 voorlopig uitschakelt maar het probleem niet structureel oplost. Op dezelfde pagina is een tweede link geplaatst die SMBv2 weer inschakelt nadat de nog te verschijnen patch is aangebracht. Bedrijven kunnen ook een scriptje uitvoeren dat het register van Windows aanpast.
Consumenten die hun pc niet in een bedrijfsnetwerk hebben opgenomen, zijn beschermd tegen het lek door de firewall in Windows Vista. Deze bescherming wordt deels teniet gedaan als de gebruiker expliciet mappen of printers als gedeeld heeft aangemerkt.
MSRC zegt hard te werken aan het onderzoek naar het lek en de ontwikkeling van een beveiligingsupdate. Afgelopen vrijdag was het testen van de patch nog in volle gang. De eerstvolgende patchronde van Microsoft is op dinsdag 13 oktober. In uitzonderlijke gevallen publiceert Microsoft echter ook tussentijds patches.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee