Verbolgen security-expert openbaart Windows 0-day – Webwereld

23 mei 2013 door Jasper Bakker

De bekende security-expert Tavis Ormandy openbaart opnieuw een 0-day gat in Windows. Omdat “Microsoft vijandig is naar externe researchers”, zegt de ontdekker van eerdere fundamentele gaten.

Ditmaal gaat het om een kwetsbaarheid in de Windows-kerneldriver Win32k.sys. Daarlangs zijn Windows-computers te crashen en mogelijk ook over te nemen. Een volledig gepatchte installatie van Windows 7 Pro is kwetsbaar, bevestigt de Deense securityfirma Secunia, maar het gevaar lijkt veel groter te zijn.

‘Alle huidige Windows-versies’

Andere Windows-versies, waaronder de nieuwste 8, zijn volgens Secunia misschien ook getroffen door deze openbaarmaking van Ormandy. De ontdekker zelf claimt succes op alle momenteel ondersteunde Windows-versies. Microsoft heeft de kwetsbaarheid inmiddels bevestigd, meldt Webwerelds Amerikaanse zustersite Computerworld.com. De kwestie wordt nu onderzocht.

De kwetsbaarheid is op zichzelf niet op afstand te misbruiken, vertelt directeur Andrew Storms van TripWire’s nCircle Security aan Computerworld.com. Volgens hem is er wel sprake van een serieus gat, omdat het immers goed dienst kan doen in een keten van kwetsbaarheden. Het is niet bekend of Microsoft al op de hoogte was vóór de openbaarmaking. Ormandy heeft wel enkele dagen ervoor gesteld dat Microsoft security-onderzoekers van buiten de eigen rangen met “grote vijandigheid” behandelt.

Disclosure-discussie

De security-onderzoeker heeft eerder al grote gaten gevonden, in onder meer Windows, maar ook in Linux. Bijna drie jaar geleden is Ormandy ook overgegaan tot openbaarmaking, voordat er een patch was. Toen ging het om een groot gat in Windows XP en Server 2003 waarlangs systemen zijn over te nemen. De publieke bekendmaking heeft toen veel ophef veroorzaakt; tegen én voor de disclosure.

Nu laat Ormandy in ieder geval merken dat hij niet van standpunt is veranderd. Openbaarmaking mag, en moet soms zelfs. “Ik heb niet veel vrije tijd om te werken aan silly Microsoft-code”, schrijft de secrurity-expert in zijn posting op de Full Disclosure-mailinglijst. “Dus ben ik op zoek naar ideeën hoe de laatste horde voor exploitatie te nemen.” Het daadwerkelijke misbruik van de door hem ontdekte kwetsbaarheid is naar zijn eigen zeggen namelijk lastig.

Werkende exploitcode

In zijn technische uitleg van de ontdekte bug hekelt Ormandy de kwaliteitscontrole van Microsoft voor diens softwarecode. De oorspronkelijke Full Disclosure-post stamt van vorige week vrijdag, maar is afgelopen maandag opnieuw gedaan mét aanvullende lading. De bij Google werkende beveiligingsexpert heeft extra details gepubliceerd en ook demonstratiecode.

“Demo code toegevoegd. Ik heb een werkende exploit die SYSTEM geeft op alle huidige ondersteunde versies van Windows.” Het system-integriteitsniveau is het allerhoogste in Microsofts besturingssysteem en zit nog boven dat van officiële beheerders (administrators).

Op aanvraag beschikbaar

Ormandy zegt zijn exploitcode op aanvraag beschikbaar te stellen aan studenten van gereputeerde onderwijsinstellingen. Op de Full Disclosure-mailinglist is al interesse geuit in de exploit, om die toe te voegen aan hack- en beveiligingskit Metasploit.

In een PS meldt de ontdekker nog dat de kwetsbaarheid schuilt in code van vóór Windows NT en dus meer dan twintig jaar oud is. Hij hekelt de zogeheten Security Development Lifecycle (SDL) die Microsoft hanteert, waarbij volgens hem oude code dus niet goed is doorgenomen.

Rate this post
Volg via Email
Facebook5.9k
Facebook
Twitter
Visit Us
Follow Me
Youtube
Whatsapp je vrienden
Linked In

Geef een reactie

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.