Overslaan en naar de inhoud gaan
Achtergrond PRO
11 mei 2004 leestijd 2 minuten 0 reacties

Sasser-patch wijst hackers de weg

In het kielzog van de Sasser-worm zouden weleens meer en ernstiger beveiligingsproblemen voor Microsoft kunnen volgen. Medewerkers van het computerbeveiligingsbedrijf IRM toonden tegenover journalisten van BBC hoe met een op internet breed beschikbaar stukje code gemakkelijk controle kan worden verkregen over Windows-servers, van bijvoorbeeld Microsoft zelf.
Redactie AG Connect
Redactie AG ConnectMeer van deze auteur
Business
Shutterstock
Shutterstock

Het betreffende stukje code dook op internet op, kort nadat Microsoft zelf op 13 april met een reeks beveiligingspatches reageerde op de Sasser-worm. En het lijkt erop dat de makers ervan zich juist door die patches hebben laten inspireren tot het maken van een hackprogrammaatje dat gebruikmaakt van de ermee te dichten lekken. Het gaat met name om een kwetsbaarheid in de wijze waarop Windows Internet Information Server 5.0 beveiligde communicatie afhandelt. Na compilatie - met bijvoorbeeld Microsofts C++-compiler - kan het hackprogrammaatje onmiddellijk worden gebruikt om via internet de aanval op een server te openen. Het enige wat men hoeft te weten is het internetadres van de server, het 'nummer' van te gebruiken poort wordt binnen enkele minuten proefondervindelijk achterhaald. Voor het vinden van servers onder ISS 5.0 kan de hacker desgewenst nog gebruikmaken van scan tools die eveneens te kust en te keur zijn te downloaden in het grijze circuit van internet. Potentiële doelen zijn dan snel gevonden, al was het maar doordat er zo veel zijn. Internetonderzoekbedrijf Netcraft schat dat zo'n 8,6 miljoen servers onder IIS 5.0 draaien. Sommige van deze servers zullen met behulp van de patches zijn beschermd, maar IRM acht het aannemelijk dat veel sites nog steeds kwetsbaar zijn. IRM's technisch manager Robinson uitte zijn verbazing dat de kwetsbaarheden niet de aandacht krijgen die de Sasser-worm kreeg. Deze viel aan op een verhoudingsgewijze weinig gangbare poort van Windows, "maar de afgeleide hacksoftware maakt gebruik van poorten die veel in gebruik zijn voor openbare diensten op internet." Netcraft rapporteert dat de beveiligde communicatiesystemen die kwetsbaar zijn voor de hacksoftware op tenminste 132 duizend servers draaien. Een groot aantal daarvan wordt gebruikt door banken en financiële instellingen. Van de hacksoftware zijn inmiddels verschillende varianten in omloop. De variant die IRM demonstreerde blijkt al 15 duizend keer te zijn gedownload. De code is inmiddels verwijderd. De hacker die 'm maakte schrijft op z'n site: "Te veel risico dat kinderen over de wereld het voor slechte doelen gebruiken. Ik zag dat m'n oorspronkelijke bedoeling voor het publiceren van de code, het testen van beveiliging of patches, niet werkte." (rza)

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in