Microsoft heeft voor de derde keer in de geschiedenis van Windows een beveiligingsupdate uitgebracht voor een 'Security Feature Bypass'. Een categorie van beveiligingslekken waar maar zelden een update voor uitkomt. Het gaat in deze gevallen om een beveiligingsmaatregel die aanvallers kunnen omzeilen.Via update MS12-083 repareert Microsoft de maatregel die op ingetrokken certificaten controleert bij IP-HTTPS.

IP-HTTPS is een protocol om met Direct Access-servers verbinding te maken. Nu blijkt dat de IP-HTTPS-server niet goed controleert of het certificaat van een client is ingetrokken.

Daardoor kan een aanvaller met het ingetrokken certificaat van een computer alsnog een verbinding met de IP-HTTPS-server voor verdere communicatie opzetten. Door het opzetten van de IP-HTTPS-tunnel naar de Direct Access-server, krijgt de client, of in dit geval de aanvaller, een IPv6-interface om met de Direct Access-server verbinding te maken.

Een aanvaller kan deze interface gebruiken om de IPv6-adressen van andere clients te bekijken. Met kennis van deze IPv6-adressen of andere clients in het netwerk, zou de aanvaller andere netwerkkwetsbaarheden kunnen misbruiken, aldus Microsoft.

Scenario
De aanval is alleen mogelijk met een ingetrokken computercertificaat van een Certificate Authority die door de IP-HTTPS-server wordt vertrouwd. Volgens Microsoft is het meest waarschijnlijke scenario dat van een werknemer die is ontslagen of de fysieke controle over zijn laptop is verloren.

"In beide gevallen zou het intrekken van het certificaat een vals gevoel van veiligheid geven op systemen waar beveiligingsupdate MS12-083 niet is geïnstalleerd", zegt Ali Rahbar van het Microsoft Security Response Center.