Nieuws

Nederlander kraakt Windows DEP-beveiliging

dinsdag 2 maart 2010, 09:17 door Redactie, 5 reacties

Een Nederlandse beveiligingsonderzoeker in dienst van Google heeft een exploit online gezet om de Windows Data Execution Prevention (DEP) beveiliging te omzeilen. Berend-Jan Wever, alias SkyLined, had de exploit al enige tijd geleden gemaakt, maar nooit gepubliceerd. "Ik publiceer deze exploit om uit te leggen waarom ASLR+DEP geen beveiligingsmaatregelen zijn om veel vertrouwen in te hebben, met name op x86 platformen", zo laat hij op zijn blog weten. Volgens Wever biedt 32-bits niet voldoende geheugenruimte om het geheugen zo willekeurig te maken, dat het raden van adressen onpraktisch wordt.

Via de heap spraying techniek kan een aanvaller geheugen aan adresruimte in een zeer voorspelbare locatie toewijzen. Weten waar de adresruimte zich bevindt is nodig voor het veroorzaken van een buffer overflow, die vervolgens de aanvaller zijn code op het systeem laat uitvoeren. Wever merkt op dat de exploit misbruik maakt van een Internet Explorer-lek dat Microsoft al in 2005 patchte. Daarnaast werkt de exploit niet als Windows ASLR is ingeschakeld.

Scriptkiddie
Wever maakt duidelijk dat de exploit alleen voor "academische doeleinden" online is gezet. "Het is geen zero-day die scriptkiddies kunnen gebruiken om de computer van je oma te pwnen."

Het is niet de eerste keer dat hackers DEP kraken. In 2008 demonstreerden Mark Dowd en Alexander Sotirov hoe ze de ASLR+DEP beveiliging in Windows Vista via Java, ActiveX controls en .NET objecten konden omzeilen.

Buslading zero-day lekken in Safari en Firefox

Gratis scanner controleert websites op malware

Reacties (5)

02-03-2010, 09:50 door Anoniem

DEP omzeilen in IE8 is makkelijk.
ASLR is een grotere uitdaging, maar ook niet onmogelijk. Dus alle heisa over 'gebruik IE8' daar staat DEP aan en dan werken de exploits niet meer is ook gebakken lucht

02-03-2010, 10:40 door Anoniem

" publiceer deze exploit om uit te leggen waarom ASLR+DEP geen beveiligingsmaatregelen zijn om veel vertrouwen in te hebben"

en dan zeggen :

"Daarnaast werkt de exploit niet als Windows ASLR is ingeschakeld. "

beetje vreemde onderbouwing van de bewering
verder: nice work !

Greetingz,
Jacco

02-03-2010, 12:30 door Anoniem

DEP omzeilen is al langer bekend. (Je kan bijvoorbeeld in ntdll.dll / NtSetInformationProcess returnen...) Het moeilijke zit hem juist in ASLR + DEP. Het is mogelijk om executable pages met attacker gecontroleerde instructies te "sprayen" via JIT compilers ala Flash. Dat iemand DEP kan bypassen met ASLR disabled is imho niet zo nieuwswaardig.

02-03-2010, 13:37 door eMilt

Misschien goed om aan te geven dat Windows DEP niet gekraakt is maar dat er gebruik wordt gemaakt van een "probleem" in de x86 architectuur. Het is een probleem waar DEP niets tegen kan doen omdat het daar niet voor ontworpen is. DEP is ook alleen maar een marketingterm voor een feature welke zijn werking ontleent aan het NX bit in recente Intel processoren. Alle moderne OS'en (niet alleen Windows) maken hier gebruik van en het is dus ook op alle platformen op deze manier te omzeilen.

ASLR biedt een bescherming tegen deze exploit omdat het er voor zorgt dat code, data en stack op random geheugenadressen worden geplaatst. Uiteraard is die geheugenruimte op een 32-bits machine beperkt maar in mijn ogen nog steeds voldoende zodat gokken of brute force in nagenoeg alle gevallen nog steeds in random crashes zullen eindigen (is dan wel een DoS).

Via de heap spraying techniek kan een aanvaller geheugen aan adresruimte in een zeer voorspelbare locatie toewijzen.

Snapt de redactie wel waar ze over schrijven ? Deze zin is echt onzin.

02-03-2010, 14:47 door Anoniem

Wat hier nou gebeurd snap ik niks van.
Enkele weken geleden dreigde Google China te verlaten omdat haar computers
zouden zijn gehackt door een lek in Internet Explorer.
En vandaag plaatst uitgerekend een medewerker van Google met veel tamtam een programmaatje
op het internet waarmee een beveiliging -ook van zichzelf- kan worden omzeild.
Dit is erger dan de hack zelf.
Kan deze exploit misbruikt worden om te hacken of niet?
Zo ja, kan iemand mij dit schizofrene gedrag uitleggen?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer