image

Windows feature is beveiligingslek

maandag 24 januari 2011, 11:36 door Redactie, 3 reacties

Een functie in Windows maakt het mogelijk om de aanwezige beveiliging van het besturingssysteem te omzeilen, waardoor bedrijven risico lopen. Dat laat de Belgische beveiligingsonderzoeker Didier Stevens weten. Via Software Restriction Policies en AppLocker is het mogelijk om DLL-bestanden te whitelisten en in te stellen welke applicaties op het bedrijfsnetwerk mogen draaien. De LoadLibraryEx functie in Windows maakt het mogelijk om zowel SRP als AppLocker te omzeilen.

Als de functie wordt gebruikt, controleert het systeem niet of de AppLocker-regels of Software Restriction Policies voor het DLL-bestand in kwestie gelden. Volgens Stevens volstaat het vervangen van een call om de beveiliging te omzeilen. Het gaat hier alleen om het laden van willekeurige DLL-bestanden binnen bestaande processen. Het is niet mogelijk om een nieuw proces aan te maken dat AppLocker of SRP niet zouden toestaan. Toch vormen DLL-bestanden een risico, zoals eerder al het Windows DLL-preloading-lek liet zien.

Risico
Stevens merkt op dat het risico afhangt van de manier waarop bedrijven AppLocker toepassen. Als het wordt gebruikt om malware en ongewenste software te voorkomen, dan is er volgens de onderzoeker "nu" nog geen probleem. Wordt de beveiliging als maatregel tegen ervaren aanvallers gebruikt, dan moeten bedrijven weten dat er "een groot gat in hun beveiligingslaag zit en het eenvoudig te misbruiken is." Beheerders krijgen in dit geval het advies om een andere whitelisting beveiligingslaag te zoeken, waar de ontwerper geen gaten in heeft aangebracht.

"We hebben het talloze keren gezien. Een leverancier ontwerpt een beveiligingsproduct, maar schiet gaten in dit schild om ontwikkelaars te helpen." Stevens laat tegenover Security.nl weten dat het duidelijk een feature is, zoals het staat beschreven in de MSDN. Inmiddels heeft de Belg het AppLocker-team benaderd. Mogelijk is er een "switch" in Windows om de aanvalsvector uit te schakelen.

Reacties (3)
24-01-2011, 12:38 door Dev_Null
Is dit werkelijk een "feature" of een ingebakken backdoor?
24-01-2011, 13:47 door spatieman
ik houd het op het laatste.
zou me niet ,ach, laat maar...
24-01-2011, 17:55 door H.King
Ja een backdoor vanzelfsprekend, en vervolgens zetten ze documentatie van de backdoor online. ;) heel logisch,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.