Nederlander publiceert exploit voor Windows-lek
De Nederlandse beveiligingsonderzoeker demonstreerde eind maart 2010 tijdens de hackerwedstrijd Pwn2Own hoe de door hem ontdekte kwetsbaarheid in Windows kon worden toegepast om Internet Explorer 8 in enkele minuten op de knieën te krijgen. Het leverde hem een prijs van 10.000 dollar op. Securityfirma TippingPoint, onderdeel van HP, was zo onder de indruk van deze prestatie dat het freelancer Peter Vreugdenhil een baan in de Verenigde Staten aanbood.
In een interview met Computerworld deed Vreugdenhil deze week zijn werkwijze uit de doeken. Hij greep de kwetsbaarheid in Windows aan om een verdedigingsmechanisme van Windows 7, de address space layout randomization (ASLR), uit te schakelen. Vervolgens gebruikte hij een tweede zwakke plek om een andere defensieve voorziening, data execution prevention (DEP), te omzeilen.
Microsoft slaagde er in juni vorig jaar in om de kwetsbaarheid in DEP te repareren. Het duurde echter tot vorige week om ook het andere probleem, een zwakte in de Microsoft Data Access Components (MDAC), te patchen. MDAC geeft vanuit Windows toegang tot databases zoals SQL Server. De fout zat in een ActiveX-control die databases toegankelijk maakt vanuit een browser, in dit geval Internet Explorer 8.
Volgens Aaron Portnoy, een door Computerworld geciteerde manager van TippingPoint, heeft het zo lang geduurd om een patch te ontwikkelen doordat Microsoft abusievelijk veronderstelde dat exploitatie van de kwetsbaarheid toch niet mogelijk was.
Microsoft blijft er overigens van overtuigsd dat ASLR en DEP doeltreffende defensieve voorzieningen zijn. Portnoy waagt dat te betwijfelen. Het zijn hordes die het gebruik van aanvalscode bemoeilijken, maar niet onmogelijk maken.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee