Beveiligingsonderzoekers hebben een nieuwe manier ontdekt om Microsoft programma's te hacken, waardoor een eerder gerapporteerd lek veel ernstiger was dan gedacht. Eind december werd er een zero-day kwetsbaarheid in de FTP service van Microsoft Internet Information Services onthuld. Microsoft liet echter weten dat vanwege "heap-exploitation mitigation" het zo goed als onmogelijk was om willekeurige code uit te voeren.

De beveiligingsmaatregel zorgt ervoor dat aanvallers het via het lek overgeschreven geheugen niet kunnen controleren. Twee onderzoekers van beveiligingsbedrijf Accuvant Labs ontdekten een manier om toch willekeurige code uit te voeren. "Nu was bewezen dat je er code mee kon uitvoeren, ten opzichte van wat Microsoft beweerde dat het alleen je server kon laten crashen", zegt onderzoeker Chris Valasek.

Bescherming
De techniek die Valasek en zijn collega Ryan Smith toepasten werd dit weekend geopenbaard. De twee onderzoekers wisten de beveiligingsmaatregel te omzeilen omdat Microsoft ook een nieuwe feature had toegevoegd, genaamd LFH. Deze "low fragmentation heap" moet de snelheid en prestaties verbeteren door applicaties naar een nieuw gebied in het geheugen te wijzen. Deze maatregel gebruikt echter niet de heap-exploitation bescherming.

"Ze hebben een nieuw pad voor aanvallers geopend. Het was goed voor aanvallers, maar slecht voor de eindgebruiker", merkt Smith op. "De achterdeur is gesloten, dus gaan we door de voordeur." De LFH-functie staat standaard niet ingeschakeld en vereist de nodige acties van een aanvaller om in te schakelen. De onderzoekers zijn dan ook van mening dat geheugenbescherming een essentieel onderdeel is, zolang ontwikkelaars de beperkingen ervan kennen.