Microsoft dicht extreem gevaarlijk USB-lek in Windows
Microsoft heeft drie extreem gevaarlijke beveiligingslekken in Windows gedicht waardoor kwaadwillenden computers volledig kunnen overnemen door alleen een USB-stick in de machine te steken. De problemen bevinden zich in de manier waarop Windows met het uitlezen van USB descriptors omgaat. Dit is een datastructuur waarin informatie over het USB-apparaat staat.
Door bijvoorbeeld een USB-stick van een speciaal geprepareerde descriptor te voorzien is het mogelijk voor een aanvaller om zijn eigen kwaadaardige code met de rechten van de Windows-kernel uit te voeren. Dit betekent volledige controle over het systeem
Toegang
Een aanvaller moet wel fysieke toegang tot de computer hebben, maar er is verder geen enkele gebruikersinteractie vereist. Het maakt niet uit of de computers is vergrendeld of dat de gebruiker niet is ingelogd. Het aansluiten van de speciaal geprepareerde USB-stick is voldoende voor een volledig gecompromitteerd systeem.
Daarnaast zou andere software die 'low-level pass-through' van het uitlezen van USB-apparaten ondersteunt, het in theorie mogelijk maken om dit lek te misbruiken zonder dat er fysieke toegang is vereist, stelt Microsoft's Josh Carlson.
Stuxnet
Kurt Baumgartner van Kaspersky Lab maakt de vergelijking met Stuxnet. Deze zeer geavanceerde worm wist zich ook via USB-apparaten te verspreiden. Hier was echter iets meer interactie vereist, aangezien de USB-stick nog wel geopend of bekeken moest worden. In beide gevallen gaat het om een geheel nieuwe aanvalsvector voor het infecteren van Windows-computers.
De update is via Windows Update en Microsoft Security Bulletin MS13-027 te downloaden. Aangezien de kwetsbaarheid vooralsnog alleen via fysieke toegang is te misbruiken, heeft Microsoft het lek als 'important' bestempeld.
Die "fysieke toegang" is natuurlijk maar deels waar. Dit is een prachtig lek voor targeted attacks. Stuur mensen in een bedrijf waar je gegevens van wilt hebben gewoon USB gadgets (met bijwerking) zoals mini bureaulampjes, ventilator etc. (voor ideeën zie bijv. http://www.informatique.nl/?M=ART&G=671 of Google USB gadget). Niemand die er kwaad in zal zien. De aanvaller zelf heeft dan helemaal geen fysieke toegang nodig...
Ook leuk: "Dit apparaat is voorzien van zowel een USB ingang als een USB uitgang. Haal de USB stekker van uw toetsenbord uit uw PC, sluit dit apparaatje aan, en sluit daarna uw toetsenbord aan op dit apparaat". Als ze gepatched hebben kun je in elk geval nog alle toetsenbordaanslagen meekijken...
Voor de pentesters onder ons, zie http://www.pjrc.com/teensy/ (en laat je zelf niet foppen, zie https://www.adafruit.com/blog/2011/02/04/counterfeit-teensy-usb-boards-not-open-source-cloned-any-way/).
NB als onderdeel van security awareness zou je personeel, met name van potentieel interessante organisaties (voor aanvallers) op de risico's van het vanalles aansluiten op de PC moeten wijzen. Alle poorten op een PC bieden vaak een veel groter scala aan toegangsmogelijkheden tot het systeem dan je als leek, en zelfs als expert, zou denken.
http://hakshop.myshopify.com/collections/gadgets/products/usb-rubber-ducky
Ik stond op het punt om die te bestellen, namelijk. :P
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
