Voor de vierde keer sinds 2006 heeft Microsoft buiten haar maandelijkse patchcyclus om een beveiligingsupdate voor Windows uitgebracht en met een goede reden, het lek in kwestie is door een worm te misbruiken en er zijn al meldingen dat dit gebeurt. Microsoft Security Bulletin MS08-067 verhelpt een probleem binnen de Server Service, die een aanvaller door middel van een RPC request in staat stelt het volledige systeem over te nemen. De kwetsbaarheid is met name ernstig voor Windows XP, 2000 en Server 2003 systemen, hoewel ook Vista, Server 2008 en het gloednieuwe Windows 7 getroffen zijn. Aangezien Windows 7 zich nog in Pre-beta fase bevindt, heeft Microsoft het lek hier niet van een rating voorzien.
Het lek heeft veel gemeen met een probleem dat twee jaar geleden in de Server Service werd ontdekt en Microsoft via MS06-040 patchte. De Server service maakt het mogelijk om lokale middelen, zoals schijven en printers, met anderen op het netwerk te delen. RPC is een protocol dat een programma kan gebruiken om code op een andere machine uit te voeren. In het geval van Windows XP, 2000 en Server 2003 hoeft een aanvaller alleen maar een RPC verzoekje naar een computer te sturen om die over te nemen. De gebruiker hoeft dus helemaal niets te doen, net als bij de MS Blaster worm in het verleden. In het geval van Windows Vista en Server 2008 werkt de aanval alleen als de aanvaller ook geauthenticeerd is. De kwetsbaarheid krijgt daarom voor deze twee besturingssystemen de "Important" rating mee.
Gerichte aanval
Volgens Microsoft is het lek al bij verschillende gerichte aanvallen ingezet. Er zou echter nog geen proof-of-concept exploit code online zijn te vinden. Toch waarschuwt de softwaregigant dat de kwetsbaarheid tot worm exploits kan leiden. Naast het installeren van de update, zijn er ook verschillende workarounds, zoals het uitschakelen van de kwetsbare services. Dat verdient echter niet de voorkeur en Microsoft adviseert iedereen dan ook deze update direct te installeren.
Update 20:20
Trojaanse paarden
De aanvallen waar Microsoft het over had zijn twee weken geleden waargenomen en werden uitgevoerd op Windows XP systemen. Twee Trojaanse paarden misbruikten de kwetsbaarheid om de aangevallen systemen te infiltreren. TrojanSpy:Win32/Gimmiv.A en TrojanSpy:Win32/Gimmiv.A.dll verzamelen allebei informatie van besmette computers en verwijderen zichzelf zodra de datadiefstal voltooid is. Het gaat onder andere om gebruikersnaam, computernaam, IP-adres, geïnstalleerde programma's, patches en com objecten, recent geopende documenten en inloggegevens van Outlook Express, MSN Messenger en Protected Storage.
Welke systemen kwetsbaar
In tegenstelling tot wat eerder werd gemeld, zijn Windows 2000, XP en Server 2003 niet kwetsbaar, alleen als bestands en printerdeling zijn ingeschakeld of de firewall uit staat. Bij Windows Vista en Server 2008 is dit standaard het geval, maar is er authenticatie vereist. Computers die van Microsoft Forefront en Microsoft OneCare zijn voorzien, zijn door de meest recente signatures ook beschermd. Verder is informatie over het lek met verschillende andere anti-virusbedrijven en IDS/IPS-aanbieders gedeeld. De update voor Forefront en OneCare kan de aanval herkennen, ook als een worm die uitvoert. Microsoft is nog niet op de hoogte van "zelfreplicerende malware" die dit lek misbruikt.
SDL onschuldig
Na de Sasser en Blaster wormen had iedereen gedacht dat dit soort malware tot het verleden zou behoren, iets wat Microsoft onder andere bereikte door middel van Service Pack 2. Die mega-update schakelde standaard de firewall in en zorgde ervoor dat poorten 139 en 445 gesloten werden. Om ernstige beveiligingslekken verder te voorkomen, stapte de softwaregigant over op de Security Development Lifecycle (SDL). Alle code inspecteert men sindsdien grondig op fouten, zowel handmatig als via allerlei tools. De vraag is dan ook hoe dit ernstige lek wist te ontsnappen.
"De bug is een stack-based buffer overflow binnen een loop; het vinden van buffer overruns in loops, met name complexe loops, is lastig te detecteren," zegt Microsoft beveiligingstopman Michael Howard. Volgens hem is het missen van de bug geen falen van SDL. "Het antwoord of we gefaald hebben is categorisch "Nee!". Zoals ik eerder zei is het doel van SDL het verminderen van lekken en het beperken van de impact van wat je mist. Windows Vista en Server 2008 gebruikers zijn beschermd dankzij de verdediging in het besturingssysteem, die deels het resultaat van SDL is."
Update 21:10
Publieke exploits kwestie van tijd
Ziv Mador van het Microsoft Malware Protection Center waarschuwt dat er "een klein aantal" aanvallen via dit lek heeft plaatsgevonden. Dat kan veranderen nu de beveiligingsupdate publiek is. "We hebben gevallen gezien waarbij informatie om lekken te misbruiken slechts een paar dagen of zelfs uren verscheen nadat we een update uitbrachten." Door de patch te reverse engineeren is het mogelijk voor aanvallers om te zien waar precies de zwakke plek zit en hoe die te misbruiken is. Het Microsoft Security Vulnerability Research & Defense blog gaat in de op technische details van het lek, Ruud de Jonge van Microsoft Nederland doet z'n zegje in de podcast.
Deze posting is gelocked. Reageren is niet meer mogelijk.