Google onthult ernstig Windows XP-lek
Een werknemer van Google heeft een ernstig beveiligingslek in Windows XP gepubliceerd, waardoor hackers volledige controle over kwetsbare machines kunnen krijgen. Onderzoeker Tavis Ormandy maakte zijn zero-day ontdekking op de Full-Disclosure mailinglist bekend. Het probleem bevindt zich in het "Help and Support Centre" van Windows, waarmee gebruikers online documenten van Microsoft kunnen opvragen.
Whitelist
Deze documenten zijn via de hcp:// URL aan te vragen, waarbij alleen een whitelist van documenten en parameters wordt geaccepteerd. "Dit ontwerp, geïntroduceerd in SP2, is redelijk oké", aldus Ormandy. "Een whitelist van betrouwbare documenten is een veilige manier om interactie toe te staan met documentatie van minder betrouwbare bronnen."
Er zit een implementatiefout in de whitelist, waardoor die te omzeilen is. Een aanvaller kan een gebruiker een kwaadaardig document laten openen, zonder dat hij of zij hiervoor gewaarschuwd wordt. Wel verschijnt heel even het Help Centre, voordat de aanvaller dit weer sluit. Daarmee is het mogelijk voor de aanvaller om willekeurige code met de rechten van de gebruiker uit te voeren.
Plugin
De kwetsbaarheid bevindt zich in Windows XP en Windows Server 2003. De aanval werkt zowel tegen IE8 als andere browsers, als Windows Media Player beschikbaar is. "Maar een installatie is nog steeds kwetsbaar zonder de mediaspeler." Machines met IE6 en IE7 hebben volgens Ormandy nog veel meer problemen. "In het algemeen maakt de keuze van browser, mailclient of wat dan ook niet uit, ze zijn allemaal even kwetsbaar." Browsers zijn volgens de onderzoeker handig om het probleem te demonstreren, maar er zijn zeker andere aanvalsvectoren, zoals Mail User Agents en documenten.
Patch
Ormandy waarschuwde Microsoft op 5 juni, dat het probleem bevestigde. Wel betekent dit dat er nog geen patch beschikbaar is. Gebruikers van kwetsbare systemen kunnen verschillende oplossingen toepassen, zoals het uitschakelen van Help Centre URL's.
Toch kan dit ook voor problemen zorgen, zoals niet functionerende links. In afwachting van een patch heeft Ormandy zelf een oplossing online gezet. Verder doen gebruikers er volgens de onderzoeker verstandig aan om niet regelmatig gebruikte browser plugins uit te schakelen.
Lopen ze nu allemaal bij elkaar naar lekken te zoeken? :-)
Bovendien...
Ik dacht dat ze bij Google geen Windows meer mochten gebruiken? :P
(kan natuurlijk zijn dat dit gewoon thuis door de beste man is gedaan, maar vond het toch wel frappant)
Google kan nu dezelfde behandeling verwachten.
Redactie: zero-day heeft toch echt een andere betekenis.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
