Microsoft-beveiligingspatch was zeven jaar in de maak

Sommige beveiligingspatches kosten tijd.

Zeven en een half jaar, in feite, als u de tijd telt die Microsoft heeft genomen om een ​​beveiligingsprobleem op te lossen in zijn SMB-service (Server Message Block), dinsdag vastgesteld. Deze software wordt door Windows gebruikt om bestanden te delen en documenten af ​​te drukken via een netwerk.

In een blogposts bevestigde Microsoft dat "openbare tools, waaronder een Metasploit-module, beschikbaar zijn om deze aanval uit te voeren." Metasploit is een open-source toolkit die door hackers en beveiligingsprofessionals wordt gebruikt om aanvalscode te bouwen.

Volgens Metasploit gaat het defect terug naar maart 2001, toen een hacker genaamd Josh Buchbinder (ook bekend als Sir Dystic) code publiceerde die liet zien hoe de aanval werkte.

Ben Greenbaum, onderzoeksmanager van Symantec, zei dat de fout misschien eerder is onthuld op Defcon 2000, door Veracode Chief Scientist Christien Rioux (ook bekend als Dildog)

Wie de fout heeft ontdekt, Microsoft lijkt het ongewoon lang te hebben geduurd om repareer de bug.

"Dit is absoluut niet normaal," zei Greenbaum. Hij zei dat hij niet wist waarom Microsoft zo lang had gewacht om het probleem op te lossen.

"Sinds 2001 ben ik op mijn hoede voor deze patch," zei Eric Schultze, Chief Technology Officer van Shavlik Technologies, in een verklaring per e-mail. De aanval van Buchbinder, een SMB-relayaanval genaamd, "liet zien hoe eenvoudig het was om de controle over een externe machine over te nemen zonder het wachtwoord te kennen," zei hij.

Om de aanval te laten werken, kan een slachtoffer een kwaadwillende e-mail ontvangen bericht dat, wanneer geopend, zou proberen verbinding te maken met een server die door de aanvaller wordt uitgevoerd. Die machine steelt vervolgens netwerkverificatiegegevens van het slachtoffer, die vervolgens kunnen worden gebruikt om toegang te krijgen tot de machine van het slachtoffer.

Dit type aanval zou worden geblokkeerd door een firewall, dus een hacker zou al op een computer moeten zijn binnen het netwerk om het SMB-relais te starten. Microsoft beoordeelt de tekortkoming als "belangrijk" voor gebruikers van Windows XP, 2000 en Server 2003 en als "gematigd" voor Vista en Server 2008.

Desondanks zei Schultze dat hij de patch "kritiek" vond voor machines op een bedrijfsnetwerk.

Hij zei dat de aanval "vrij gemakkelijk" is om vandaag te starten. "Het is een goede aanvalsvector op een bedrijfsnetwerk waar delen en services voor het delen van bestanden en afdrukken mogelijk onbeschermd zijn," zei hij.

Microsoft-vertegenwoordigers konden dinsdagmiddag geen commentaar geven op dit verhaal.