Microsoft heeft drie extreem gevaarlijke beveiligingslekken in Windows gedicht waardoor kwaadwillenden computers volledig kunnen overnemen door alleen een USB-stick in de machine te steken. De problemen bevinden zich in de manier waarop Windows met het uitlezen van USB descriptors omgaat. Dit is een datastructuur waarin informatie over het USB-apparaat staat.
Door bijvoorbeeld een USB-stick van een speciaal geprepareerde descriptor te voorzien is het mogelijk voor een aanvaller om zijn eigen kwaadaardige code met de rechten van de Windows-kernel uit te voeren. Dit betekent volledige controle over het systeem
Toegang
Een aanvaller moet wel fysieke toegang tot de computer hebben, maar er is verder geen enkele gebruikersinteractie vereist. Het maakt niet uit of de computers is vergrendeld of dat de gebruiker niet is ingelogd. Het aansluiten van de speciaal geprepareerde USB-stick is voldoende voor een volledig gecompromitteerd systeem.
Daarnaast zou andere software die 'low-level pass-through' van het uitlezen van USB-apparaten ondersteunt, het in theorie mogelijk maken om dit lek te misbruiken zonder dat er fysieke toegang is vereist, stelt Microsoft's Josh Carlson.
Stuxnet
Kurt Baumgartner van Kaspersky Lab maakt de vergelijking met Stuxnet. Deze zeer geavanceerde worm wist zich ook via USB-apparaten te verspreiden. Hier was echter iets meer interactie vereist, aangezien de USB-stick nog wel geopend of bekeken moest worden. In beide gevallen gaat het om een geheel nieuwe aanvalsvector voor het infecteren van Windows-computers.
De update is via Windows Update en Microsoft Security Bulletin MS13-027 te downloaden. Aangezien de kwetsbaarheid vooralsnog alleen via fysieke toegang is te misbruiken, heeft Microsoft het lek als 'important' bestempeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.