Onderzoekers omzeilen Windowsbeveiliging met 1 bit
Een groep onderzoekers is erin geslaagd om allerlei belangrijke beveiligingsmaatregelen in Windows te omzeilen door slechts één bit aan te passen. Het probleem in de Windowskernel speelde tot gisterenavond in alle ondersteunde Windowsversies, waaronder de technische preview van Windows 10.
Microsoft heeft de afgelopen jaren de Windowskernel van allerlei extra beschermingsmaatregelen voorzien die het lastiger voor een aanvaller moeten maken om een eventueel aanwezig lek ook daadwerkelijk te kunnen misbruiken. Het gaat dan om zaken als Kernel DEP, KASLR, SMEP en NULL Dereference Protection. Het lek dat de onderzoekers ontdekten maakte het mogelijk voor een aanvaller die toegang tot het systeem had om alle Windowsbeveiligingsmaatregelen te omzeilen.
Exploit
De exploit die de onderzoekers van enSilo ontwikkelden vereiste slechts het aanpassen van één bit om misbruik van het lek te maken. Het probleem werd een aantal maanden geleden aan Microsoft gemeld, dat gisterenavond in de vorm van Security Bulletin MS15-010 met een update kwam. Via het lek, dat in dit filmpje wordt gedemonstreerd, zou een aanvaller zijn rechten op het systeem kunnen verhogen, aldus de omschrijving van Microsoft.
De onderzoekers stellen dat ze hebben laten zien dat zelfs een kleine bug volledige controle over Windows kan geven. "Desondanks vinden we dat Microsofts pogingen om het besturingssysteem veiliger te maken de lat behoorlijk hebben verhoogd en het maken van betrouwbare exploits veel lastiger dan voorheen hebben gemaakt." Toch stellen ze dat deze maatregelen aanvallers niet op afstand zullen houden en die dit soort exploits uiteindelijk aan hun arsenaal zullen toevoegen.
Aw, ain't that cute.
Een lat op kniehoogte is inderdaad behoorlijk veel hoger zolang je het vergelijkt met op de bodem liggen als uitgangspositie. En dat was ook inderdaad hun uitgangspositie: "Beveiligen was geen prioriteit", hebben ze zelf toegegeven.
Maar dat wil niet zeggen dat je dan nu goed bezig bent. Zeker niet als blijkt dat je met een enkel bitje al je mooie verherbeveiligings-buzzwords kan omzeilen. Blijken het echt inderdaad alleen maar buzzwords, maar binnen de beveiliging is een warm veilig gevoel erbij te horen nou niet echt waar je voor moet gaan. Sterker, het is precies niet waar je voor moet gaan: Je veilig wanen en het niet zijn is erger dan weten dat je gewoon gevaar loopt. Die buzzwords heb je dus minder dan niets aan. Kan je wel over hogere latten gaan zeuren, maar het blijft pielen in de marge.
En als "beveiligingsonderzoekers" dit gepiel in de marge verdedigen... zegt dat hele negatieve dingen over ook hun competentie. Als in, ook die schittert door afwezigheid. Zijn ze toch weer mooi in goed gezelschap, nietwaar?
Blijft staan dat als je serieus een beter veiligheidsniveau wil je dan niet je software uit dit ecosysteem moet betrekken.
http://webwereld.nl/beveiliging/33218-nsa-heeft-microsoft-geholpen-met-beveiliging-van-vista
Dat hebben andere landen ook door:
http://www.automatiseringgids.nl/nieuws/2013/40/franse-gendarmerie-bespaart-40-procent-met-open-source
http://nl.wikipedia.org/wiki/LiMux
Wat weet een land met maar 1,3 miljard inwoners nou van computers:
http://tweakers.net/nieuws/97513/chinese-overheid-valt-binnen-bij-microsoft.html
Nee,dan in Nederland daar geloven ze heilig in onze Amerikaanse vrienden:
http://www.computeridee.nl/forum/#!/topic/virusscanner-maakt-kapot/?page=1#712851
1x per maand beveiligingsupdates zou dat veilig genoeg zijn?
http://www.gratissoftwaresite.nl/41-lekken-internet-explorer-updates-microsoft-februari-2015
Dat is een standard Unix Linux etc optie voor rechten van files. Niets bijzonders zoiets effectief krijgen via 1 bit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
