Aanvalscode voor kritieke Microsoft-foutsubes

Slechts enkele uren nadat Microsoft gegevens heeft gepost van een kritieke Windows-bug, is er een nieuwe aanvalscode verschenen die de fout misbruikt.

Het duurde twee uur voordat ontwikkelaars van de immuniteitstool voor beveiligingstesten hun exploit hadden geschreven, nadat Microsoft donderdagochtend een patch voor de kwestie had uitgegeven. Door Immunity ontwikkelde software is alleen beschikbaar voor betalende klanten, wat betekent dat niet iedereen toegang heeft tot de nieuwe aanval, maar beveiligingsdeskundigen verwachten dat een bepaalde versie van de code binnenkort in het openbaar zal circuleren.

Microsoft heeft de ongebruikelijke stap gezet van het wegsnellen van een noodgeval voor de fout Donderdag, twee weken na het opmerken van een klein aantal gerichte aanvallen die de bug uitbrachten.

De kwetsbaarheid was niet publiekelijk bekend voor donderdag; Microsoft heeft echter hackers en beveiligingsonderzoekers genoeg informatie gegeven om hun eigen code te ontwikkelen.

Het probleem zit hem in de Windows Server-service, die wordt gebruikt om verschillende netwerkbronnen, zoals bestands- en printservers, via een netwerk met elkaar te verbinden.. Door kwaadwillende berichten te verzenden naar een Windows-computer die Windows Server gebruikt, zou een aanvaller de controle over de computer kunnen overnemen, zei Microsoft.

Blijkbaar kost het niet veel moeite om dit type aanvalscode te schrijven.

"It is zeer exploiteerbaar, "zei Immunity Security Researcher Bas Alberts. "Het is een zeer beheersbare stackoverloop."

Stackoverflow-fouten worden veroorzaakt wanneer een programmeerfout de aanvaller toestaat een opdracht te schrijven op delen van het geheugen van de computer die normaal gesproken buiten de limieten vallen en vervolgens ervoor zorgen dat die opdracht wordt uitgevoerd door de computer van het slachtoffer. Microsoft heeft de afgelopen jaren miljoenen dollars uitgegeven om dit soort fouten uit zijn producten te verwijderen. En een van de architecten van Microsoft's beveiligingstestprogramma had een openhartige beoordeling van de situatie van donderdag, waarin stond dat de 'fuzzing'-testtools van het bedrijf het probleem eerder hadden moeten ontdekken. "Onze fuzz-tests hebben dit niet opgevangen en dat hadden ze moeten doen", schreef Security Program Manager Michael Howard in een blogpost. "Dus we gaan terug naar onze fuzzing algoritmen en bibliotheken om ze dienovereenkomstig bij te werken.Voor wat het waard is, werken we voortdurend onze fuzz-test heuristieken en regels bij, dus deze bug is niet uniek."

Hoewel Microsoft heeft gewaarschuwd dat deze fout zou kunnen worden gebruikt om een ​​computerworm te bouwen, Alberts zei dat het onwaarschijnlijk is dat een dergelijke worm, indien gemaakt, zich zeer ver zou verspreiden. Dat komt omdat de meeste netwerken dit type aanval op de firewall zouden blokkeren.

"Ik zie het alleen als een probleem op interne netwerken, maar het is een zeer reële en misbruikbare bug," zei hij.