image

Microsoft waarschuwt voor 8 jaar oud beveiligingslek

dinsdag 4 december 2007, 13:32 door Redactie, 4 reacties

Microsoft heeft haar gebruikers gewaarschuwd voor een acht jaar oud beveiligingslek dat in Windows XP, Vista en Server 2003 aanwezig is, en laatst opnieuw werd ontdekt. De softwaregigant zou het lek al in 1999 hebben gedicht, maar latere versies van Windows waren nog steeds kwetsbaar. Volgens Microsoft betreft het hier een variant van de kwetsbaarheid waardoor een aanvaller, in bepaalde situaties, man-in-the-middle aanvallen kan uitvoeren. Het probleem doet zich voor vanwege de manier waarop Windows naar DNS gegevens zoekt.

Als een Windows machine met z'n eigen DNS Suffix is geconfigureerd, dan zal het automatisch via een Web Proxy Auto-Discovery (WPAD) server naar DNS gegevens zoeken. In de meeste gevallen gaat het hier om een machine die in het netwerk van de gebruiker staat. De WPAD server maakt het eenvoudiger om Windows machines binnen een netwerk aan de praat te krijgen. DNS Suffixes worden gebruikt om computers aan bepaalde domeinen binnen het netwerk te koppelen.

Om de PC sneller een WPAD server te laten vinden, gebruikt Windows een techniek genaamd DNS devolution. Als een Microsoft computer als DNS suffix de naam het.bedrijf.co.uk krijgt, zal het automatisch gaan zoeken naar een WPAD server op wpad.het.bedrijf.co.uk. Als het geen reactie krijgt, probeert het wpad.bedrijf.co.uk, en mocht dit niet lukken, wordt wpad.co.uk aangeroepen, en dat is het probleem. Op dat moment heeft de machine het bedrijfsnetwerk verlaten, en vraagt het een onbekende machine om DNS gegevens.

De aanval werkt alleen bij Second-Level Domains zoals co.uk of co.nz, en als de aanvallers een domeinnaam met wpad voor het domain hebben geregistreerd. Bedrijven die hun eigen proxy server hebben ingesteld of een eigen WPAD server draaien lopen geen risico. De softwaregigant werkt aan een patch, maar geeft in de tussentijd de volgende oplossingen.

Reacties (4)
04-12-2007, 16:32 door Anoniem
Bodysnatching attack is meer kwaadaardig. Een
gepatchte machine wordt door malware aangevallen. De goede
DLL's worden uit het systeem verwijderd en de lekke DLL's erin
teruggeplaatst. Hierdoor verandert de machine in
een ongepatchte versie die makkelijk is aan te vallen door andere
exploits en malware waardoor een machine vervolgens kan worden overgenomen.
04-12-2007, 16:33 door Eerde
Humor
04-12-2007, 17:29 door Jan-Hein
Welke vorm van DNS is op dit moment waterfproof?
04-12-2007, 18:03 door holwortel
Tja, Micro Soft is er snel bij!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.