Het Nationaal Cyber Security Center (NCSC) van de overheid waarschuwt voor een zero day-lek in Windows 8.1 en Windows 10 waar nog geen beveiligingsupdate van Microsoft voor beschikbaar is en waardoor een aanvaller in het ergste geval willekeurige code op afstand kan uitvoeren.
Het gaat om een kwetsbaarheid (pdf) die door Herbert Bos, hoogleraar systeem- en netwerkbeveiliging bij de Vrije Universiteit, en verschillende andere VU-onderzoekers is ontdekt. Bos maakte de ontdekking gisteren tijdens het IEEE Symposium over Security en Privacy in de Verenigde Staten bekend en besprak het met BNR Digitaal.
Bos en zijn team lieten zien hoe de Page-Combining functionaliteit in Windows in combinatie met een RowHammer-aanval kan leiden tot geheugencorruptie. Page-Combining is een techniek waarin twee of meer geheugenblokken (pages) met dezelfde inhoud worden gededupliceerd tot één geheugenblok. Door middel van de RowHammer-techniek, een aanval op het werkgeheugen van computers, kan een aanvaller bits in het geheugen manipuleren die niet onder zijn controle staan.
De onderzoekers gebruikten voor hun demonstratie JavaScript en Microsoft Edge. Door Edge kwaadaardige JavaScript uit te laten voeren is het voor een aanvaller mogelijk om op afstand willekeurige code op de computer uit te voeren, zoals het installeren van malware. Hiervoor moet een gebruiker nog wel eerst zelf een kwaadaardige website bezoeken. De Page-Combining functionaliteit bevindt zich alleen in Windows 8.1 en nieuwer. In Windows Server 2012 R2 is de functionaliteit aanwezig, maar staat standaard niet ingeschakeld.
Bos waarschuwde Microsoft een aantal maanden geleden voor het probleem, maar een beveiligingsupdate is nog niet verschenen. Daarop besloot hij de details vrij te geven. Volgens de hoogleraar wordt er op dit moment nog geen misbruik van de kwetsbaarheid gemaakt, maar zal dat niet lang meer duren, zo stelt hij tegenover BNR. Het NCSC laat weten dat Page-Combining via het volgende PowerShell-commando is uit te schakelen: Disable-MMAgent -PageCombining.
"Welke gevolgen het uitzetten van Page-Combining heeft voor de performance en stabiliteit van het systeem is op dit moment niet duidelijk. Dit kan mogelijk per systeem verschillen, het grondig testen van deze wijziging is noodzakelijk", aldus de waarschuwing van het NCSC.
Deze posting is gelocked. Reageren is niet meer mogelijk.