Onderzoekers beweren dat ze een ernstig beveiligingslek in Microsoft Virtual PC hebben ontdekt, waardoor hackers het systeem over kunnen nemen, maar Microsoft ontkent dit. De kwetsbaarheid waar Core Security Technologies voor waarschuwt bevindt zich in Windows Virtual PC en Virtual PC 2007. De software maakt het mogelijk meerdere virtuele hosts op één fysiek systeem te draaien. Windows 7 gebruikt de Virtual PC technologie om de XP Mode te implementeren. Via deze XP Mode kunnen Windows 7 gebruikers Windows applicaties op een gevirtualiseerd Windows XP SP3 systeem draaien. Maar dat vergroot het risico op aanvallen, aldus Core Security.

Een lek in het geheugenmanagement van de Virtual Machine Monitor zorgt ervoor dat geheugenpagina's boven de 2GB toegang hebben tot user-space programma's die in het gast besturingssysteem draaien. Door dit lek te gebruiken kan een aanvaller beveiligingsmaatregelen zoals Data Execution Prevention (DEP), Safe Structured Error Handling (SafeSEH) en Address Space Layout Randomization (ASLR) omzeilen. "Dus applicaties met lekken die niet kwetsbaar zijn als ze in een niet-gevirtualiseerde besturingssystemen draaien, worden kwetsbaar als ze binnen een gast besturingssysteem of met name Virtual PC draaien", aldus het beveiligingsbedrijf. Ook applicaties die via de XP Mode op Windows 7 draaien zijn mogelijk kwetsbaar, terwijl dezelfde applicatie die direct op een Windows XP SP3 systeem draait dat niet is.

Core Security waarschuwde Microsoft in augustus van vorig jaar, maar die liet weten dat het geen patch zou uitbrengen en het probleem mogelijk in een service pack zal oplossen. Het beveiligingsbedrijf adviseert gebruikers om alle belangrijke Windows applicaties op niet-gevirtualiseerde systemen te draaien of om een ander virtualisatie product te gebruiken. Naast de advisory publiceerde Core Security ook een exploit.

Geen lek
Volgens Microsoft is er geen sprake van een beveiligingslek en lopen ook Windows 7 gebruikers geen risico. De beveiligingsmaatregelen in het nieuwste Windows besturingssysteem blijven effectief in het beschermen van gebruikers tegen malware, zegt Microsoft's Paul Cooke. Ook de Windows Server virtualisatie technologie Hyper-V loopt geen risico.

Core Security beschrijft een manier om lekken te misbruiken die al op het systeem aanwezig zijn. "Een subtiel verschil", aldus Cooke. Hij bevestigt dat de beveiliging in de Windows kernel minder goed werkt binnen een virtuele machine. Het gaat dan ook niet om een kwetsbaarheid, maar alleen het "verlies" van bepaalde beveiligingsmaatregelen. In het ergste geval kan een aanvaller een al kwetsbare applicatie in een gast virtuele machine op Windows XP overnemen, in plaats van een virtuele machine op Windows 7.