Google vindt Windows-lekken door Windows 7 en 10 te vergelijken
Google heeft meerdere lekken in de kernel van Windows ontdekt door code van Windows 7 en Windows 10 met elkaar te vergelijken. Volgens de internetgigant is het dan ook belangrijk dat verbeteringen die Microsoft aan Windows 10 doorvoert ook voor andere Windows-versies beschikbaar komen.
Er zijn verschillende technieken die zowel onderzoekers als aanvallers gebruiken om kwetsbaarheden in software te vinden. Zo is er "patch diffing", waarbij twee versies van dezelfde code worden vergeleken. Het gaat dan om de kwetsbare versie van de code en de gepatchte versie. Op deze manier kunnen oorzaken, aanvalsvectoren en mogelijke varianten van de kwetsbaarheid in kwestie worden ontdekt. Dit wordt bijvoorbeeld gedaan als een leverancier niet veel details over een kwetsbaarheid en update vrijgeeft. Aanvallers maken er bijvoorbeeld gebruik van om kwetsbaarheden te vinden en exploits te ontwikkelen om zo gebruikers aan te vallen die beschikbare updates niet op tijd installeren.
Een andere techniek die wordt toegepast om veiligheidsproblemen te vinden is "binary diffing". Hierbij worden verschillen gezocht tussen twee of meer versies van een enkel product die dezelfde kerncode delen en tegelijkertijd op de markt beschikbaar zijn, maar onafhankelijk door de leverancier worden ondersteund. Het gaat dan bijvoorbeeld om Windows. Microsoft ondersteunt op dit moment drie versies van het platform, namelijk Windows 7, 8.1 en 10.
Volgens Google staat Microsoft erom bekend dat het structurele verbeteringen alleen aan de meest recente Windows-versie doorvoert. "Dit geeft gebruikers van oudere systemen een vals gevoel van veiligheid en maakt ze kwetsbaar voor kwetsbaarheden die zijn te vinden door alleen subtiele veranderingen in de corresponderende code van verschillende Windows-versies te vergelijken", zegt Google-onderzoeker Mateusz Jurczyk.
Jurczyk gebruikte naar eigen zeggen een zeer eenvoudige vorm van binary diffing om drie kwetsbaarheden in de Windows-kernel te vinden. Dergelijke kwetsbaarheden kunnen handig zijn voor een aanvaller die al toegang tot een systeem heeft en zijn rechten wil verhogen of informatie uit het geheugen wil halen. De drie beveiligingslekken waren aanwezig in Windows 7 en Windows 8.1 en werden deze maand door Microsoft gepatcht.
De Google-onderzoeker heeft nu besloten om de details vrij te geven om te laten zien hoe veiligheidsverschillen in verschillende ondersteunde versies van een enkel product door aanvallers kunnen worden gebruikt om in de oudere versies kwetsbaarheden te vinden. "Niet alleen stelt het klanten bloot aan aanvallen, maar het onthult ook aanvalsvectoren die direct tegen de veiligheid van de gebruiker kunnen worden ingezet", aldus Jurczyk. Hij stelt dat ook niet-geavanceerde aanvallers de drie kwetsbaarheden die hij ontdekte hadden kunnen vinden. Google roept softwareleveranciers dan ook op om veiligheidsverbeteringen consistent onder alle ondersteunde versies van hun software uit te rollen.
Gezien de puinhoop die Android updates heet, zou Google eerst zichzelf eens kritisch moeten bekijken.
En nee, de laatste nieuwigheden in Android 8 zijn nog lang niet genoeg om de fragmentering tegen te gaan.
Dat wil nog niet zeggen dat je een ander niet kan wijzen op beveiligingsproblemen. Microsoft lijkt daar inmiddels ook deels schuldig te maken aan fragmentatie, zelfs al van 'subversies' van Windows 10. Dat je perse de Creators update moet hebben wil je beveiligd blijven. Voor consumenten vaak geen probleem, bij bedrijven duurt het soms wat langer, voor ons is de nieuwste Windows versie van maand of 2 geleden nog niet beschikbaar. Jammer als je die nodig hebt voor een bepaald pakket...
Dat horen we al sinds Android 3.
Gezien de puinhoop die Android updates heet, zou Google eerst zichzelf eens kritisch moeten bekijken.
En nee, de laatste nieuwigheden in Android 8 zijn nog lang niet genoeg om de fragmentering tegen te gaan.
Is het niet juist beter dat organisaties elkaar wijzen op elkaars fouten. Net zoals dat je vroeger op school elkaars huiswerk wel eens moest nakijken. Je kan zo juist van elkaar leren en kan Microsoft in dit geval fouten zien, die zij zonder Google misschien niet hadden gezien.
hoe komen ze nou aan die kernel code ?
hoe komen ze nou aan die kernel code ?
Reverse engineering. Doet Google vaker, ook bij iOS en OSX. Was laatste nog een lang artikel over gepubliceerd aangaande WiFi op beide laatstgenoemde OS-en. Moet je ff opzoeken op internet.
hoe komen ze nou aan die kernel code ?
Aanvulling op mijn reactie van 16:08 uur: https://googleprojectzero.blogspot.nl/2017/10/using-binary-diffing-to-discover.html
payed support is dus een kneedbaar begrip en hele discussies kunnen gebaseerd worden op de gehanteerde defenitie van structureel. welkom in de commercie waar het eindoel je geld innen is en niets anders.
btw tegen al die eigenlijk kinderachtige googel-jezelluf-android reacties hierboven, twee keer fout maakt niet een goed en ondanks dat google al dan niet misschien ook iets te verbeteren heeft, neemt niet weg dat er nog een hele lange weg te gaan is met MS.
Mijn werkgever (no comment) wil om veiligheidsredenen alle medewerkers richting Win7 hebben, de rest wordt niet vertrouwd. Alles is relatief in deze wereld.
Ik begroet de dag dat een andere onderneming (laten we zeggen, Microsoft) binary diffing gaat uitvoeren op Android code.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
