image

Hacker vindt "nieuw" lek in Windows-kernel

woensdag 20 januari 2010, 15:52 door Redactie, 16 reacties

Beveiligingsonderzoeker Tavis Ormandy heeft een 17 jaar oud zero-day beveiligingslek in het hart van Windows gevonden, waardoor aanvallers hun rechten kunnen verhogen. De kwetsbaarheid in de Windows-kernel wordt veroorzaakt door de Virtual DOS Machine (VDM), die in 1993 werd toegevoegd voor het ondersteunen van 16bit applicaties. VDM is op de Virtual 8086 Mode (VM86) in 80386 processoren gebaseerd, en onderschept onder andere hardware routines zoals BIOS calls. Verschillende lekken in de implementatie laten een 16bit programma zonder rechten, de kernel-stack van elk proces manipuleren. Dit laat uiteindelijk een aanvaller code met systeemrechten uitvoeren. Alle 32bit Windows-versies sinds 27 juli 1993 zijn kwetsbaar. Ormandy testte zijn exploit op Windows XP, Server 2003/2008, Vista en Windows 7. Het proberen van andere besturingssystemen laat hij aan het publiek over.

Patch
De onderzoeker adviseert systeembeheerders om tijdelijk MSDOS en WOWEXEC subsystemen uit te schakelen, aangezien dit de werking van de aanval voorkomt. Verder is het mogelijk om de toegang tot 16bit applicaties uit te schakelen. In zijn advisory geeft Ormandy naast de exploit ook verschillende andere tips, en laat hij weten dat Microsoft al sinds 12 juni 2009 op de hoogte is. De softwaregigant bevestigde het probleem op 22 juni, maar heeft nog altijd geen patch uitgebracht.

"Aangezien een effectieve en eenvoudige workaround beschikbaar is, heb ik besloten dat het in het belang van gebruikers is om dit document zonder officiële patch te publiceren." Ormandy merkt op dat maar weinig gebruikers van NT security afhankelijk zijn. De advisory is volgens de onderzoeker dan ook voornamelijk op domeinbeheerders en security professionals gericht.

Reacties (16)
20-01-2010, 16:07 door Anoniem
'In zijn advisory geeft Ormandy naast de exploit...'

Ik heb nooit begrepen waarom iemand een exploit openbaar maakt en
zichzelf een 'onderzoeker' vindt.

Afgezien dat de rest van het verhaal inzicht geeft in zijn frustratie over Microsoft,
stelt hij iedereen op het internet bewust bloot aan de grillen van elke willekeurige idioot .

Ik vraag mij dan ook af in wiens belang deze 'onderzoeker' opereert.
Deze manier is zeker niet in het belang van het publiek.
20-01-2010, 16:31 door Anoniem
Door Anoniem: 'In zijn advisory geeft Ormandy naast de exploit...'

Ik heb nooit begrepen waarom iemand een exploit openbaar maakt en
zichzelf een 'onderzoeker' vindt.

Afgezien dat de rest van het verhaal inzicht geeft in zijn frustratie over Microsoft,
stelt hij iedereen op het internet bewust bloot aan de grillen van elke willekeurige idioot .

Ik vraag mij dan ook af in wiens belang deze 'onderzoeker' opereert.
Deze manier is zeker niet in het belang van het publiek.

Onderdeel van bestaan als onderzoeker is waarheidsvinding en peerreview. Aan beide wordt voldaan en over de ethiek, hij heeft de leverancier geruime tijd gegeven om het probleem te verhelpen. En om aan oa peerreview te voldoen moet je aan full-disclosure doen. Dit heeft niks met Microsoft te maken, maar gewoon met een redelijk normale procedure.
20-01-2010, 16:33 door Anoniem
dan heb je je daar waarschijnlijk ook niet erg in verdiept..

Het lijkt mij duidelijk:
1. Het lek bestaat, of deze onderzoeker dat nu openbaar maakt of niet.
2. Microsoft weet dat al een tijdje, maar doet er niets aan; het lek blijft voortbestaan
3. Ormandy is niet de enige onderzoeker op de wereld die dit soort dingen interessant vindt

Het is dus een kwestie van tijd voordat dit lek door anderen gevonden en misbruikt wordt (misschien is dit lek ook al langer bekend in andere kringen). De enige die hier wat aan zou kunnen doen is Microsoft, en die wordt nu wat meer onder druk gezet om dit te doen.

Prima verantwoorde disclosure dus
20-01-2010, 16:38 door meinonA
Lang leve open source!

Daar kunnen ten minste goede audits op los gelaten worden. Nu moet je er maar vanuit gaan dat MS alles netjes op orde heeft wat keer op keer niet zo blijkt te zijn.

Jammer dat ze niets van security snappen daar in Redmond.
20-01-2010, 16:45 door RichieB
Zonder de hele full disclosure discussie hier opnieuw te voeren, wil ik toch even het volgende uitleggen. Het is een illusie om te denken dat bugs slechts door 1 persoon in de wereld gevonden worden, of dat ze als eerst door een white hat gevonden worden. Zie ook de recente Aurora aanval. Het lijkt me duidelijk dat als Microsoft na 6 maanden een bug nog steeds niet heeft gefixed, het de ontdekker vrij staat om de rest van de wereld te informeren. Als je in de security branche zonder bewijs iets roept, wordt je niet heel serieus genomen. Zie DNS issue gemeld door Dan Kaminski. De enige oplossing is dan om een proof of concept uit te brengen. Vaak wordt de proof of concept code op enkele cruciale punten verminkt, zodat iemand met verstand van zaken het toch makkelijk kan testen (even de bug uit de code halen) en een script kiddie wat minder makkelijk.

Microsoft heeft hier gefaald, de ontdekker doet gewoon aan full disclosure, 6 maanden na het ontdekken.
20-01-2010, 16:45 door Anoniem
Door Anoniem: 'In zijn advisory geeft Ormandy naast de exploit...'

Ik heb nooit begrepen waarom iemand een exploit openbaar maakt en
zichzelf een 'onderzoeker' vindt.

Afgezien dat de rest van het verhaal inzicht geeft in zijn frustratie over Microsoft,
stelt hij iedereen op het internet bewust bloot aan de grillen van elke willekeurige idioot .

Ik vraag mij dan ook af in wiens belang deze 'onderzoeker' opereert.
Deze manier is zeker niet in het belang van het publiek.

Het gaat er hier om dat het lek al geruime tijd bij microsoft ligt en er niks aan gebeurd. Waarschijnlijk wordt dit lek al lang misbruikt en wordt er op deze manier druk op microsoft gezet om dit lek snel te patchen.
Een onderzoeker zorgt er niet alleen voor dat de wereld veiliger wordt. Ook awareness heeft ondertussen een belangrijk onderdeel ingenomen. Als je een gevaarlijk lek voor een half jaar al hebt openstaan ben je in mijn ogen als bedrijf erg nalatig en mag hier best wat druk op worden gezet.
20-01-2010, 16:46 door Anoniem
Door meinonA: Lang leve open source!

Daar kunnen ten minste goede audits op los gelaten worden. Nu moet je er maar vanuit gaan dat MS alles netjes op orde heeft wat keer op keer niet zo blijkt te zijn.

Jammer dat ze niets van security snappen daar in Redmond.
Sorry, maar een van de beste boeken om veilig applicaties te schrijven komt bij Microsoft Research vandaan. Het bedrijf heeft alleen jarenlang te maken gehad met management die alleen voor deadlines ging en daarbij sterk op de centen aan het letten was. En nee ik ben geen MS-fanboy, maar je moet wel dingen in verhouding zien. Het volgende bedrijf wat daar nu last van heeft is Adobe en voor Apple blijft de schade mogelijk beperkt als ze hun patch/test/update-cycles op orde gaan krijgen. Het hoort gewoon bij het volwassen worden van de sector.
20-01-2010, 16:58 door Anoniem
Door Anoniem:
Ik heb nooit begrepen waarom iemand een exploit openbaar maakt en
zichzelf een 'onderzoeker' vindt.

Los van de verstandige dingen die anderen al hebben gezegd als reactie op je post: een onderzoeker is iemand die onderzoek pleegt, en dat houdt niet op waar te zijn als hij de resultaten van dat onderzoek openbaar maakt.
20-01-2010, 17:13 door Anoniem
Het hoort gewoon bij het volwassen worden van de sector??????????????????? Maar deze sector vraagt wel volwassen prijzen voor een product wat niet eens af is.
20-01-2010, 20:38 door Anoniem
Door meinonA: Lang leve open source!

Daar kunnen ten minste goede audits op los gelaten worden. Nu moet je er maar vanuit gaan dat MS alles netjes op orde heeft wat keer op keer niet zo blijkt te zijn.

Jammer dat ze niets van security snappen daar in Redmond.
Daarom zitten er ook geen lekken in open source software :)
Inderdaad handig. Ook voor kwaadaardige hackers
20-01-2010, 22:30 door Anoniem
Och, dit 'lek' wordt straks gewoon door microsoft gebruikt om 64-bit te pushen. Daar hebben ze het 16-bit subsysteem uitgesloopt. (omdat AMD de long mode zo heeft gemaakt dat deze geen vm86 ondersteund, dat terzijde)

Maar goed... geen schone zaak, ome bill. Ik neem aan dat deze bug alleen de NT reeks op i386 betreft, aangezien de 9x windows reeks in principe dit soort beveiliging niet eens had.
20-01-2010, 22:42 door spatieman
valt dit niet onder..
wie niet patchen wilt, zal voelen.....
20-01-2010, 23:08 door Anoniem
Door Anoniem: Het hoort gewoon bij het volwassen worden van de sector??????????????????? Maar deze sector vraagt wel volwassen prijzen voor een product wat niet eens af is.
Noem jij dan maar eens een product waarvan jij zeker weet dat er geen bugs of fouten in zitten als je maar diep genoeg zoekt zul je overal fouten vinden ook al ben je nog z'n goede programmeur.
21-01-2010, 08:39 door sharkzor
van wat ik weet, is dat de 64bits versie van vista en windows 7 (vast ook xp) geen 16bit dos apps kunnen draaien.
Ik vraag me af of dit lek hier op gaat werken...
21-01-2010, 11:07 door SirDice
Door meinonA: Lang leve open source!

Daar kunnen ten minste goede audits op los gelaten worden. Nu moet je er maar vanuit gaan dat MS alles netjes op orde heeft wat keer op keer niet zo blijkt te zijn.
Right.

http://www.theregister.co.uk/2009/08/14/critical_linux_bug/
http://it.slashdot.org/article.pl?sid=08/05/11/1339228
21-01-2010, 11:14 door SirDice
Door Anoniem: Maar deze sector vraagt wel volwassen prijzen voor een product wat niet eens af is.
Niet af? En Linux of BSD is wel af? Waarom komen er dan iedere keer nieuwe versies? Oh ja, daar hoef je natuurlijk niet voor te betalen.

Geen enkel OS is "af". Eisen veranderen namelijk en mensen verwachten nieuwe features/functionaliteit. Er zal dus altijd gesleuteld moeten worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.