In veertig verschillende Windows applicaties zit een ernstig beveiligingslek waardoor aanvallers systemen kunnen overnemen. "De kat is uit de zak, dit probleem treft ongeveer veertig verschillende apps, waaronder de Windows shell", zegt beveiligingsonderzoeker H.D. Moore. Hij wijst naar deze advisory voor een ernstig lek in Apple iTunes. Details over het door Simon Raner ontdekte lek zijn alleen toegankelijk voor overheidsinstanties en bedrijven die een NDA tekenen. "Aangezien publieke openbaarmaking teveel details over het lek zou onthullen en kwaadaardig misbruik onnodig zou versnellen." Het lek in iTunes is inmiddels door Apple gepatcht.
Moore bevestigt dat het probleem ook in andere Windows applicaties aanwezig is en hij erop stuitte bij het onderzoeken van het Windows LNK-lek. "Als je niet kunt wachten, kijk dan naar de Windows Shell LNK-exploit, het is qua structuur niet al te verschillend", aldus Moore. Het probleem zit in specifieke DLL-bestanden, maar de onderzoeker merkt op dat er ook een "aantal verrassingen" bij zitten.
Oplossing
"De vector is tussen de applicaties iets verschillend, maar het eindresultaat is dat een door de aanvaller aangeboden. dll wordt geladen nadat de gebruiker een veilig bestandstype van een gedeelde netwerkmap laadt." Een aanvaller zou een gebruiker kunnen dwingen om zo'n bestand te openen, zowel via gedeelde mappen, alsmede de browser en andere applicaties.
In afwachting van een patch, adviseert Moore dezelfde workaround als voor het LNK-lek. Namelijk het blokkeren van TCP poorten 139 en 445 en het uitschakelen van de WebDAV client. Rapid7 zal volgende week meer informatie over het lek vrijgeven. Ook is er al een exploitmodule voor Metasploit geschreven, maar die is nog niet te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.