image

Microsoft dicht extreem gevaarlijk USB-lek in Windows

woensdag 13 maart 2013, 10:17 door Redactie, 3 reacties

Microsoft heeft drie extreem gevaarlijke beveiligingslekken in Windows gedicht waardoor kwaadwillenden computers volledig kunnen overnemen door alleen een USB-stick in de machine te steken. De problemen bevinden zich in de manier waarop Windows met het uitlezen van USB descriptors omgaat. Dit is een datastructuur waarin informatie over het USB-apparaat staat.

Door bijvoorbeeld een USB-stick van een speciaal geprepareerde descriptor te voorzien is het mogelijk voor een aanvaller om zijn eigen kwaadaardige code met de rechten van de Windows-kernel uit te voeren. Dit betekent volledige controle over het systeem

Toegang
Een aanvaller moet wel fysieke toegang tot de computer hebben, maar er is verder geen enkele gebruikersinteractie vereist. Het maakt niet uit of de computers is vergrendeld of dat de gebruiker niet is ingelogd. Het aansluiten van de speciaal geprepareerde USB-stick is voldoende voor een volledig gecompromitteerd systeem.

Daarnaast zou andere software die 'low-level pass-through' van het uitlezen van USB-apparaten ondersteunt, het in theorie mogelijk maken om dit lek te misbruiken zonder dat er fysieke toegang is vereist, stelt Microsoft's Josh Carlson.

Stuxnet
Kurt Baumgartner van Kaspersky Lab maakt de vergelijking met Stuxnet. Deze zeer geavanceerde worm wist zich ook via USB-apparaten te verspreiden. Hier was echter iets meer interactie vereist, aangezien de USB-stick nog wel geopend of bekeken moest worden. In beide gevallen gaat het om een geheel nieuwe aanvalsvector voor het infecteren van Windows-computers.

De update is via Windows Update en Microsoft Security Bulletin MS13-027 te downloaden. Aangezien de kwetsbaarheid vooralsnog alleen via fysieke toegang is te misbruiken, heeft Microsoft het lek als 'important' bestempeld.

Reacties (3)
13-03-2013, 12:37 door Bitwiper
Autorun/Autoplay met SYSTEM rechten... Da's geen bug maar een feature ;)

Die "fysieke toegang" is natuurlijk maar deels waar. Dit is een prachtig lek voor targeted attacks. Stuur mensen in een bedrijf waar je gegevens van wilt hebben gewoon USB gadgets (met bijwerking) zoals mini bureaulampjes, ventilator etc. (voor ideeën zie bijv. http://www.informatique.nl/?M=ART&G=671 of Google USB gadget). Niemand die er kwaad in zal zien. De aanvaller zelf heeft dan helemaal geen fysieke toegang nodig...

Ook leuk: "Dit apparaat is voorzien van zowel een USB ingang als een USB uitgang. Haal de USB stekker van uw toetsenbord uit uw PC, sluit dit apparaatje aan, en sluit daarna uw toetsenbord aan op dit apparaat". Als ze gepatched hebben kun je in elk geval nog alle toetsenbordaanslagen meekijken...

Voor de pentesters onder ons, zie http://www.pjrc.com/teensy/ (en laat je zelf niet foppen, zie https://www.adafruit.com/blog/2011/02/04/counterfeit-teensy-usb-boards-not-open-source-cloned-any-way/).

NB als onderdeel van security awareness zou je personeel, met name van potentieel interessante organisaties (voor aanvallers) op de risico's van het vanalles aansluiten op de PC moeten wijzen. Alle poorten op een PC bieden vaak een veel groter scala aan toegangsmogelijkheden tot het systeem dan je als leek, en zelfs als expert, zou denken.
13-03-2013, 13:03 door Anoniem
Door Redactie: Daarnaast zou andere software die 'low-level pass-through' van het uitlezen van USB-apparaten ondersteunt
Begrijp ik het goed als ik zeg dat dit eigenlijk een ingewikkelde beschrijving van een USB-emulator is?
14-03-2013, 07:19 door musiman
Betekent het dat deze Rubber Ducky USB key dan ook niet direct meer werkt?

http://hakshop.myshopify.com/collections/gadgets/products/usb-rubber-ducky

Ik stond op het punt om die te bestellen, namelijk. :P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.