image

Microsoft virusverwijdertool kon aanvaller adminrechten geven

woensdag 15 juli 2015, 16:27 door Redactie, 4 reacties

Alle Windowscomputers beschikken over een ingebouwde virusverwijdertool van Microsoft, maar een kwetsbaarheid in het programma kon een aanvaller volledige beheerdersrechten op het systeem geven. De Microsoft Malicious Software Removal Tool (MSRT) is een klein programma dat bekende malware-families kan detecteren en verwijderen.

Het wordt elke maand via Windows Update bijgewerkt en uitgevoerd, maar het is ook mogelijk om de tool los uit te voeren. Een kwetsbaarheid in de MSRT liet een aanvaller die al toegang tot het systeem had zijn rechten verhogen. Door het plaatsen van een speciaal geprepareerd DLL-bestand op de computer en vervolgens te wachten totdat de MSRT werd uitgevoerd, kon de aanvaller volledige beheerdersrechten krijgen. Microsoft besloot geen Security Bulletin voor het probleem uit te brengen, maar publiceerde wel een Security Advisory.

Daarin staat dat alle Windowscomputers in principe automatisch met de nieuwste versie worden geüpdatet en zo niet meer kwetsbaar zijn. Gebruikers die zeker willen weten dat de update is geïnstalleerd moeten controleren of versie 5.26 of nieuwer op het systeem aanwezig is. Dat beveiligingssoftware ook als aanvalsvector kan worden gebruikt werd onlangs al duidelijk, toen er kritieke lekken in de anti-virussoftware van anti-virusbedrijf ESET werden aangetroffen. Via deze kwetsbaarheden zou een aanvaller zonder enige interactie van de gebruiker de computer kunnen overnemen.

Reacties (4)
15-07-2015, 19:34 door Eric-Jan H te D
Vreemd. Net een restore gedaan en Wupdate gedraaid. Maar MRT is niet meegekomen is nog steeds 5.26.11604.0. van mei jl.
Zou het komen omdat ik Defender uit heb staan. Ga het zo proberen.
16-07-2015, 12:31 door GeminiAlpha - Bijgewerkt: 16-07-2015, 13:29
Door Eric-Jan H te A: Vreemd. Net een restore gedaan en Wupdate gedraaid. Maar MRT is niet meegekomen is nog steeds 5.26.11604.0. van mei jl.
Zou het komen omdat ik Defender uit heb staan. Ga het zo proberen.

Bij mij net als bij Eric-Jan H te A, maar mrt.exe is van 5 juli 2015.
en ik heb defender gewoon aan staan!
Wat nu te doen?
16-07-2015, 21:01 door Anoniem
Door GeminiAlpha:
Door Eric-Jan H te A: Vreemd. Net een restore gedaan en Wupdate gedraaid. Maar MRT is niet meegekomen is nog steeds 5.26.11604.0. van mei jl.
Zou het komen omdat ik Defender uit heb staan. Ga het zo proberen.

Bij mij net als bij Eric-Jan H te A, maar mrt.exe is van 5 juli 2015.
en ik heb defender gewoon aan staan!
Wat nu te doen?

Goed lezen, 5.26 is de eerste versie die het probleem adresseert en dus nuet meer gevoelig hiervoor is.
20-07-2015, 14:34 door Erik van Straten - Bijgewerkt: 20-07-2015, 14:37
De URL onder "Security Advisory" verwijst naar een onjuiste pagina (https://technet.microsoft.com/en-us/library/security/2974294, gepubliceerd op 17 juni 2014 met titel "Vulnerability in Microsoft Malware Protection Engine Could Allow Denial of Service").

De juiste link lijkt te zijn https://technet.microsoft.com/en-us/library/security/3074162.aspx "Vulnerability in Microsoft Malicious Software Removal Tool Could Allow Elevation of Privilege", Published: July 14, 2015.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.