Na 2 jaar patch voor 0-day in alle Windows-versies
De fout in Windows waar nu dus een patch voor beschikbaar is, zit in de bescherming die Microsofts besturingssysteem heeft ingebouwd voor controle op digitale handtekeningen. Uitvoerbare bestanden en scripts zijn te voorzien van zo'n 'ondertekening' om de herkomst en betrouwbaarheid te valideren. Windows' mechanisme hiervoor blijkt om de tuin te leiden, waardoor malware kan doordringen voorbij de security van het besturingssysteem.
Álle Windows, al 2 jaar
In het informatiebulletin over deze kwetsbaarheid (CVE-2020-1464) meldt Microsoft dat er sprake is van misbruik in de praktijk. Dit betekent dat kwaadwillenden hackaanvallen ondernemen op kwetsbare systemen. Laatstgenoemde omvat in wezen alle Windows-versies, in de client- en serveruitvoeringen. Microsoft noemt van eerstgenoemde Windows 7 met Service Pack 1, Windows 8.1 en de diverse release van Windows 10. Van de serveruitvoeringen noemt de leverancier Windows Server 2008 met Service Pack 2, de opvolger R2 van die versie (met Service Pack 1), Windows Server 2012 en R2 dáárvan, Windows Server 2016 en opvolger 2019, plus de latere releases van Windows Server (die zijn genummerd met releasenummers op basis van jaar en maand; 1903, 1909 en 2004).
Er zijn geen workarounds mogelijk om dit beveiligingsgat af te dekken en ook zijn er geen beperkende maatregelen mogelijk om misbruik te voorkomen, geeft Microsoft aan. In het informatiebulletin wordt een algemeen dankwoord geuit aan "diegenen in de securitygemeenschap die ons helpen om klanten te beschermen via gecoördineerde onthulling van kwetsbaarheden". Daarbij noemt de Windows-maker dus geen namen. Ook is niet vermeld dat dit gat al geruime tijd open staat én bekend is.
Openbaarmaking begin 2019
Securityjournalist Brian Krebs weet te onthullen dat Microsoft eerder besloten heeft deze bug niet te fixen én dat het daarbij toestemming heeft verleend om informatie hierover openbaar te maken. Dit is in januari vorig jaar gedaan, door beveiligingsexpert Bernardo Quintero van VirusTotal, een door Google overgenomen securitydienst. In zijn blogpost beschrijft hij hoe het mogelijk is om malafide code 'mee te laten liften' met een uitvoerbaar bestand dat een valide digitale handtekening heeft. Hiervoor wordt de onvertrouwde code 'vastgelijmd' aan vertrouwde code, waarna Windows het als geheel (de hele 'bol' aan code) doorlaat en kan uitvoeren. De kwetsbaarheid is van de naam GlueBall voorzien.
Dit nu als CVE-2020-1464 officieel erkende gat is volgens Krebs zelfs in augustus 2018 al waargenomen. Niet slechts door security-experts in hun onderzoekswerk om beveiliging te verbeteren, maar in de praktijk bij lopende aanvallen door kwaadwillenden. "En diverse onderzoekers hebben Microsoft in de afgelopen 18 maanden geïnformeerd over deze kwetsbaarheid", schrijft Krebs.
Afwijzing in 2018
De detectie in de zomer van eervorig jaar is via VirusTotal gegaan, bloggen onderzoekers van SafeBreach Labs nu. Quintero van VirusTotal heeft dat toen verantwoord bij Microsoft gemeld, waar zijn vondst door het securityteam is bevestigd. Hij heeft toen echter te horen gekregen dat het bedrijf deze 'issue' niet zou gaan fixen. Het is niet bekend wat de reden voor deze afwijzing was. Vervolgens heeft Quintero wel van Microsoft permissie gekregen om zijn bevindingen te publiceren in een openbare blogpost, wat op 15 januari vorig jaar is gebeurd.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee