image

Onderzoekers omzeilen beveiliging Windows Vista

dinsdag 12 augustus 2008, 10:42 door Redactie, 5 reacties

De beveiligingsmaatregelen die Microsoft in Windows Vista aanbracht om het geheugen te beschermen zijn te omzeilen, zo hebben twee onderzoekers tijdens de Black Hat conferentie gedemonstreerd. Het tweetal liet zien hoe geheugenbescherming in Vista zoals Address Space Layout Randomization(ASLR), Data Execution Prevention (DEP) en andere via Java, ActiveX controls en .NET objecten zijn te omzeilen om daarna willekeurige content in de browser te laden.

Door de manier te gebruiken waarop browsers met active scripting en .NET objecten omgaan, en dan met name Internet Explorer, kan men de browser overnemen. Onderzoekers Mark Dowd en Alexander Sotirov omschrijven hun technieken als een gigantische doorbraak waar Microsoft weinig aan kan doen. De aanval is niet gebaseerd op een beveiligingslek maar op de manier waarop Vista in elkaar zit en hoe Microsoft het besturingssysteem beschermt. De beveiliging die in Vista is ingebakken wordt namelijk niet altijd toegepast. Internet Explorer 7 en Firefox 2 worden bijvoorbeeld niet via DEP beveiligd, wat in het geval van ASLR weer geldt voor allerlei third-party libraries zoals Flash.

"Het mooie is dat de aanval herbruikbaar is. Ze hebben aanvallen die ze willekeurige content op een willekeurige locatie en met willekeurige rechten laat uitvoeren. Dan is het gewoon voorbij," aldus beveiligingsonderzoeker Dino Dai Zovi. "Dit betekent dat bijna elk lek in de browser eenvoudig te misbruiken is. Veel maatregelen tegen exploits worden door de browser zinloos gemaakt. ASRL en DEP bieden geen bescherming tegen deze aanval.".

ASLR voorkomt bijvoorbeeld dat het geheugenadres is te raden, wat misbruik door een aanvaller een stuk lastiger maakt. Tegen de aanval van Dowd en Sotirov heeft het echter geen enkel effect. "Als je erover nadenkt dat .NET DLL-bestanden in de browser laadt en Microsoft ervan uitgaat deze veilig zijn omdat het .NET objecten zijn, zie je dat Microsoft er niet over heeft nagedacht dat ze ook als opstap voor andere aanvallen kunnen dienen."

Discussie

Sinds de demonstratie van het tweetal is er een heftige discussie uitgebroken over de ernst van het probleem. Volgens Arstechnica is het probleem niet zo groot als de pers en de onderzoekers doen voorkomen. "Het werk van Dowd en Sotirov maakt buffer overflows mogelijk die niet eerder binnen Vista waren te misbruiken. Dit zijn buffer overflows die al wel op Windows XP werken, er is tenslotte geen noodzaak om ASLR te verslaan als het OS hier niet over beschikt." Daarnaast is Vista voorzien van andere beveiligingsmaatregelen die misbruik tegengaan en kan Microsoft het probleem op verschillende manieren verhelpen.

Beveiligingsgoeroe Bruce Schneier is het niet met de critici eens: "De critici zeggen dat het niet zo'n groot probleem is. Ik ben niet overtuigd, ik denk dat het een veel groter probleem zal worden."

Reacties (5)
12-08-2008, 11:45 door Nomen Nescio
Gelukkig is Apple veel veiliger. Die verbiedt gewoon alles.
12-08-2008, 11:56 door Anoniem
De 64bits browser, althans op XP, ondersteunt wel DEP. Maar dan kunnen de
meeste ActiveX controls niet meer worden geladen, zoals flash.
12-08-2008, 20:29 door Anoniem
Geweldig die Windows systeempjes
12-08-2008, 23:50 door Anoniem
Door Nomen Nescio
Gelukkig is Apple veel veiliger. Die verbiedt gewoon
alles.
En ondanks die verboden schijnt een Apple goed te werken als
non-root user. Zelfs experts geven nus openlijk toe dat
Vista de zoveelste Windows-versie is die in feite zo lek is
als een mandje. En Vista is al bijna net zo'n giller als
Windows ME. Zonder M$ hadden we heel wat minder humor gehad
in de ICT :-).
17-08-2008, 23:07 door Anoniem
Nou ik kan je zeggen dat DEP waardeloos is want mijn
Internet Explorer doet het niet meer wordt elke keer
afgesloten. Zit vol met Malware maar is niet te decteren.
Dan ben je mooi de AAP gelogeerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.