Microsoft heeft gisteren 22 lekken in Windows en Office gedicht, waaronder een ernstig lek in de Bluetooth functionaliteit, waardoor een aanvaller kwetsbare systemen kan overnemen. Om het lek te misbruiken moet een aanvaller in dezelfde buurt als de te aanvallen machine zijn. Door verschillende speciaal geprepareerde Bluetooth pakketten te versturen, is het vervolgens mogelijk om willekeurige code uit te voeren. Hiervoor moet een aanvaller eerst het Bluetooth adres achterhalen en met de machine verbinding maken.

Het probleem bevindt zich in Windows 7 en Vista en zou direct aan Microsoft gerapporteerd zijn. De softwaregigant geeft de kwetsbaarheid een "exploit rating" van 2, wat betekent dat de kans op misbruik klein is. "We denken dat het lastig is om een betrouwbare exploit voor dit lek te ontwikkelen waarmee het uitvoeren van willekeurige code mogelijk is", zegt Jonathan Ness van MSRC Engineering. Hij denkt dat het waarschijnlijker is dat aanvallers een manier zullen vinden om een systeem met een blauw scherm te laten crashen. Desktops lopen volgens Microsoft het grootste risico.

Bluetooth
Een aanvaller moet eerst het verkeer tussen de computer en Bluetooth apparaten onderscheppen om het Bluetooth adres te achterhalen. Volgens Ness is dit lastig, maar niet onmogelijk. "Er is op de markt een apparaat tussen de 10.000 en 30.000 dollar, dat dit in vijf minuten kan doen." In de toekomst verwacht Microsoft dat aanvallers sneller Bluetooth verkeer kunnen onderscheppen en analyseren. "Maar nu blijft het lastig, maar niet onmogelijk om het Bluetooth adres via verkeer dat zich door de lucht begeeft te onderscheppen."

Van de vier Security Bulletins die gisteren verschenen, was degene die het Bluetooh-lek oplost die enige die als "critical" werd bestempeld. Gebruikers krijgen dan ook het advies om de MS11-053 beveiligingsupdate zo snel als mogelijk te installeren. Als dat niet mogelijk is, kan men via de instellingen instellen dat apparaten niet via Bluetooth verbinding met de machine mogen maken. Dat voorkomt de aanval, maar zorgt er ook voor dat bijvoorbeeld Bluetooth muizen en keyboards niet meer werken.

Dichtbij
Ness benadrukt verder dat het lek niet via het internet is te misbruiken. Een aanvaller moet fysiek in de buurt van het slachtoffer zijn. "Wederom heeft recent onderzoek de definitie van "in de buurt" voor Bluetooth opgerekt, maar het volstaat om te zeggen dat een aanvaller binnen je gezichtsveld moet zijn."

Een aanvaller zou vervolgens enkele uren bezig zijn om het Bluetooth adres te brute-forcen, om hier vervolgens mee verbinding te maken en het lek te misbruiken. "Deze combinatie van factoren doet ons geloven dat systemen in de komende dertig dagen waarschijnlijk niet aan remote code execution exploits voor dit lek worden blootgesteld", besluit de Microsoft engineer. Updaten kan via Windows Update of de Automatische Update functie.