Windows-servers plat te leggen door verse 0-day

De beruchte gatenjager Tavis Ormandy van Google heeft een bug gevonden in Windows waarmee computers zijn te saboteren. Deze DoS-aanval is mogelijk 'van buiten' doordat de 0-day valt te benutten middels een beveiligingscertificaat dat bijvoorbeeld in S/MIME-berichten kan meekomen. Servers met bijvoorbeeld mailsoftware Exchange zijn zo te raken. Google heeft Microsoft drie maanden geleden hierover geïnformeerd en onthult de bug nu na het verstrijken van zijn patchdeadline.

Jasper BakkerredacteurMeer van deze auteur

Microsoft

Google hanteert namelijk een strikt regime voor het melden en laten fixen van bugs die het ontdekt in veelgebruikte software, inclusief embedded software in hardware. Het bedrijf heeft hiervoor een speciaal team aan gatenjagers: Project Zero. Na ontdekking van een bug wordt op verantwoorde (dus niet-openbare) wijze melding gedaan bij de producent van de kwetsbare software. Die heeft daarna 90 dagen de tijd om een patch te ontwikkelen en uit te brengen. Indien een patch op stapel staat, maar qua releaseplanning net niet die deadline haalt, biedt Google de optie van 14 dagen verlengingstijd.

DoS-aanvallen

Na het verstrijken van de deadline gaat Google over tot openbaarmaking van de ontdekte bug, inclusief details zoals technische uitleg en Proof-of-Concept code. Dit dient dan als waarschuwing voor gebruikers en beheerders, die dan tegenmaatregelen kunnen nemen. Ook securityleveranciers kunnen door deze openbaarmaking meehelpen om kwetsbaarheden af te dekken, door bijvoorbeeld gericht te monitoren op verdacht netwerkverkeer voor zo'n specifieke kwetsbaarheid.

Gatenjager Ormandy schat de nu onthulde bug in als relatief laag qua ernst. Dit staat echter haaks op het feit dat hele Windows-netwerken zijn lam te leggen via deze 0-day. Het gaat om een bug in de kernfunctie (SymCrypt) van Windows voor cryptografie. Deze ingebouwde library wordt door diverse andere soorten software benut. Ontdekker Ormandy noemt zelf als voorbeelden al antiviruspakketten, Microsofts webserver IIS en mailsoftware Exchange.

Patchproblemen

Software die SymCrypt op een bepaalde, bug-triggerende wijze aanroept, raakt dan in een impasse. Dit zorgt dan effectief voor een DoS (denial of service) van de Windows-computer in kwestie. Uiteindelijk kan een reboot vereist zijn om hier weer uit te raken, vermeldt de ontdekker in het bugrapport. Microsoft is op 13 maart geïnformeerd en heeft de deadline voor patchen niet gehaald.

Aanvankelijk stond dat wel op de planning, waarbij de Windows-maker zijn patch op 11 juni zou uitbrengen. Dit was nog binnen de verlengingsperiode, merkte Ormandy eind maart op. Bij het testen van de ontwikkelde patch zijn echter problemen aan het licht gekomen die de release hebben verhinderd. Dit is op 11 juni toegevoegd aan het bugrapport. De patch staat nu op stapel voor de updateronde van juli.

I noticed a bug in SymCrypt, the core library that handles all crypto on Windows. It's a DoS, but this means basically anything that does crypto in Windows can be deadlocked (s/mime, authenticode, ipsec, iis, everything). Microsoft committed to fixing it in 90 days, then didn't.
— Tavis Ormandy (@taviso) June 11, 2019