image

NCSC waarschuwt voor zero day-lek in Windows

donderdag 26 mei 2016, 12:09 door Redactie, 6 reacties

Het Nationaal Cyber Security Center (NCSC) van de overheid waarschuwt voor een zero day-lek in Windows 8.1 en Windows 10 waar nog geen beveiligingsupdate van Microsoft voor beschikbaar is en waardoor een aanvaller in het ergste geval willekeurige code op afstand kan uitvoeren.

Het gaat om een kwetsbaarheid (pdf) die door Herbert Bos, hoogleraar systeem- en netwerkbeveiliging bij de Vrije Universiteit, en verschillende andere VU-onderzoekers is ontdekt. Bos maakte de ontdekking gisteren tijdens het IEEE Symposium over Security en Privacy in de Verenigde Staten bekend en besprak het met BNR Digitaal.

Bos en zijn team lieten zien hoe de Page-Combining functionaliteit in Windows in combinatie met een RowHammer-aanval kan leiden tot geheugencorruptie. Page-Combining is een techniek waarin twee of meer geheugenblokken (pages) met dezelfde inhoud worden gededupliceerd tot één geheugenblok. Door middel van de RowHammer-techniek, een aanval op het werkgeheugen van computers, kan een aanvaller bits in het geheugen manipuleren die niet onder zijn controle staan.

Demonstratie

De onderzoekers gebruikten voor hun demonstratie JavaScript en Microsoft Edge. Door Edge kwaadaardige JavaScript uit te laten voeren is het voor een aanvaller mogelijk om op afstand willekeurige code op de computer uit te voeren, zoals het installeren van malware. Hiervoor moet een gebruiker nog wel eerst zelf een kwaadaardige website bezoeken. De Page-Combining functionaliteit bevindt zich alleen in Windows 8.1 en nieuwer. In Windows Server 2012 R2 is de functionaliteit aanwezig, maar staat standaard niet ingeschakeld.

Bos waarschuwde Microsoft een aantal maanden geleden voor het probleem, maar een beveiligingsupdate is nog niet verschenen. Daarop besloot hij de details vrij te geven. Volgens de hoogleraar wordt er op dit moment nog geen misbruik van de kwetsbaarheid gemaakt, maar zal dat niet lang meer duren, zo stelt hij tegenover BNR. Het NCSC laat weten dat Page-Combining via het volgende PowerShell-commando is uit te schakelen: Disable-MMAgent -PageCombining.

"Welke gevolgen het uitzetten van Page-Combining heeft voor de performance en stabiliteit van het systeem is op dit moment niet duidelijk. Dit kan mogelijk per systeem verschillen, het grondig testen van deze wijziging is noodzakelijk", aldus de waarschuwing van het NCSC.

Reacties (6)
27-05-2016, 00:34 door Anoniem
Een kwetsbaarheid in edge dus, niet in win8.1 en hoger...
27-05-2016, 07:54 door Anoniem
Ja maar... Windows 8.1+ was toch veel veiliger dan Windows 7?
Toch, Microsoft?
27-05-2016, 08:07 door Anoniem
Beschermt emet de hiervoor ?
27-05-2016, 09:37 door Anoniem
Door Anoniem: Een kwetsbaarheid in edge dus, niet in win8.1 en hoger...
Nee de kwetsbaarheid zit in Windows, de demostratie is gedaan met Edge en javascript waarschijnlijk omdat mensen dan het gevaar begrijpen. Zou ook met een .bat executable of vbs script kunnen zijn gedaan maar deze manier laat zien dat je alleen een website hoeft te bezoeken.
27-05-2016, 11:23 door Anoniem
Het is geen kwetsbaarheid in Edge. Wanneer je de paper goed leest, is het een demonstratie van een attack vector. Expliciet staat namelijk ook in de paper genoemd dat deze aanvalsvector ook werkt op een bug-vrije browser met alle beschermingsmaatregelen actief (uiteraard moet javascript dan weer wel actief zijn). Ook EMET helpt hier niet tegen, omdat de exploit uiteindelijk voorbij gaat aan ASLR.

Wat ze hebben bereikt is dat de Rowhammer vulnerability betrouwbaar misbruikt kan worden.

De conclusie van de paper is dan ook niet dat edge kwetsbaar is, maar dat bij het introduceren van nieuwe technieken in een OS (als memory deduplicatie) de attack surface van een OS vergroot.

X. CONCLUSIONS
Adding more and more functionality to operating systems
leads to an ever-expanding attack surface. Even ostensibly
harmless features like memory deduplication may prove
to be extremely dangerous in the hands of an advanced
attacker. In this paper, we have shown that deduplicationbased
primitives can do much more harm than merely
providing a slow side channel. An attacker can use our
primitives to leak password hashes, randomized code and
heap pointers, and start off reliable Rowhammer attacks. We
find it extremely worrying that an attacker who simply times
write operations and then reads from an unrelated addresses
can reliably “own” a system with all defenses up, even if
the software is entirely free of bugs. Our conclusion is that
we should introduce complex features in an operating system
only with the greatest care (and after a thorough examination
for side channels), and that full memory deduplication inside
the operating system is a dangerous feature that is best
turned off. In addition, we have shown that full deduplication
is an overly conservative choice in the practical cases of
interest and that deduplicating only zero pages can retain
most of the memory-saving benefits of full deduplication
while addressing its alarming security problems.
27-05-2016, 12:34 door Anoniem
Door Anoniem:
Door Anoniem: Een kwetsbaarheid in edge dus, niet in win8.1 en hoger...
Nee de kwetsbaarheid zit in Windows, de demostratie is gedaan met Edge en javascript waarschijnlijk omdat mensen dan het gevaar begrijpen. Zou ook met een .bat executable of vbs script kunnen zijn gedaan maar deze manier laat zien dat je alleen een website hoeft te bezoeken.

Ook niet helemaal correct, de kwetsbaarheid zit in ieder OS waar gebruik gemaakt wordt van Memory Deduplicatie. De onderzoekers hebben een soortgelijke methode gebruikt om hetzelfde te doen op Linux. Deze techniek extend de Rowhammer vulnerability.

Omdat het een design vulnerability betreft hebben ze hiervoor wel contact met Microsoft gehad om aan een oplossing voor Windows te werken. Ik ben nog wel benieuwd of systemen die niet kwetsbaar zijn voor de Rowhammer vulnerability wel kwetsbaar zijn voor de methodiek van de onderzoekers. dit kon ik even niet snel uit de paper distilleren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.