Klanten van softwarebedrijf SolarWinds werden onlangs het slachtoffer van een zeroday-aanval via een onbekende kwetsbaarheid in de FTP-software Serv-U. Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Via Serv-U kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. Een aantal weken geleden ontdekte Microsoft dat een groep, die volgens het techbedrijf vanuit China opereert, een zerodaylek in de FTP-software gebruikte om bij SolarWinds-klanten binnen te dringen. SolarWinds werd door Microsoft gewaarschuwd en rolde vervolgens een beveiligingsupdate uit.
Microsoft heeft nu een analyse van het zerodaylek gepubliceerd. Daaruit blijkt dat SolarWinds geen gebruikmaakte van address space layout randomization (ASLR). Dit is een techniek die het lastiger maakt voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties veel lastiger maken. Bij het compileren van een programma kan de ontwikkelaar aangeven dat de software compatibel met ASLR is.
Sinds de lancering van Windows Vista in 2006 wordt ASLR door het besturingssysteem ondersteund. "Het inschakelen van ASLR is een eenvoudige compile-time flag die standaard staat ingeschakeld en sinds Windows Vista beschikbaar is. ASLR is een belangrijke beveiligingsmaatregel voor services die zijn blootgesteld aan niet-vertrouwde remote invoer, en vereist dat alle bestanden in het proces compatibel zijn om te voorkomen dat aanvallers hardcoded adressen in hun exploits gebruiken, zoals mogelijk was in Serv-U", aldus Microsoft.
Naast het delen van details over de kwetsbaarheid adviseerde Microsoft aan SolarWinds om ASLR voor alle bestanden van het Serv-U-proces in te schakelen. Of SolarWinds dit inmiddels heeft gedaan wordt niet in de analyse gemeld. De aanval op Serv-U staat los van de aanval die vorig jaar via het SolarWinds Orion-platform plaatsvond en waarbij gebruik werd gemaakt van officiële updates waar een backdoor aan was toegevoegd.
Deze posting is gelocked. Reageren is niet meer mogelijk.