"Gratis Windows-lek voor de NSA"
Beveiligingsonderzoeker Cesar Cerrudo heeft een nieuw probleem met Windows 7 en Windows 2008 ontdekt, dat hij een "gratis Windows-lek voor de NSA" noemt. Het probleem doet zich bij sommige installatieprogramma's voor en zorgt ervoor dat sommige installers hun rechten verhogen en systeemrechten krijgen, ongeachte welke gebruiker de installatie uitvoert. "Aangezien de applicaties al geïnstalleerd zijn, zou er in theorie geen probleem moeten zijn", merkt Cerrudo op.
Er doet zich echter tijdens het installatieproces een interessant probleem voor. Er wordt namelijk een tijdelijk bestand in de tijdelijke map van de ingelogde gebruiker aangemaakt. Dit DLL-bestand wordt later door het msiexec.exe proces geladen, wat met systeemrechten draait. De code in het DLL-bestand wordt dus met volledige systeemrechten uitgevoerd. Door het vervangen van het originele DLL-bestand zou elke gebruiker code met systeemrechten kunnen uitvoeren.
Volgens Cerrudo is het probleem niet eenvoudig te misbruiken, aangezien het msiexec.exe proces een MD5 hash van het DLL-bestand genereert en met de hash van een bestand in C:\Windows\Installer\ vergelijkt, dat alleen lees- en schrijfbaar is voor Systeem en Administrators accounts.
Inlichtingendiensten
"Het probleem is dat dit geen eenvoudige aanval is, het is een aanval op het MD5 hashing algoritme, waar nog geen praktische aanvallen voor bestaan waar ik van weet", merkt de onderzoeker op. Het zou voor een doorsnee aanvaller onmogelijk zijn om een bestand met dezelfde MD5 hash als het bestaande DLL-bestand te genereren.
"De reden voor de titel van dit bericht, komt van het feit dat inlichtingendiensten, die bekend staan om hun technologieën en mogelijkheden om te kaken, waarschijnlijk deze aanval kunnen uitvoeren en een zero-day exploit voor Windows kunnen bouwen om hun rechten te verhogen." Cerrudo weet niet of Microsoft nog steeds MD5 gebruikt.
Verder is Windows (en alle andere OSsen) zo lek als wat. Dus dat is efficiënter om aan te vallen. Reken maar dat de NSA exploits heeft die pas over een half jaar gepatched worden door Microsoft! Als ze deze kwetsbaarheden al delen met Redmond.
In nov. 2007 waren Marc Stevens, Arjen K. Lenstra en Benne de Weger al in staat om binnen 2 dagen met 1 Playstation 3 verschillende executables te maken met dezelfde md5 checksum (zie http://www.win.tue.nl/hashclash/SoftIntCodeSign/). Md5 is gebroken, daar kan en mag je nooit meer op vertrouwen.
Gegeven het feit dat Windows binaries gewoon blijven werken als je er elk gewenst aantal bytes achter plakt maakt zo'n aanval een stuk makkelijker (maar ik weet niet of Microsoft Installer de lengte van het bestand checkt).
By design is het een slecht idee om, met een privileged (system) account, user writable code uit te voeren. Als het je lukt om na de hash of signature check, en voor code wordt geladen om deze uite te voeren, de code te manipuleren, dan helpt zelfs SHA512 je niet.
Vergelijkbaar, veel virusscanners slaan updates, waaronder code, op ergens in de "All Users\Application Data\" map en updaten vanaf die plaats - een onnodig risico op privilege escalations.
In nov. 2007 waren Marc Stevens, Arjen K. Lenstra en Benne de Weger al in staat om binnen 2 dagen met 1 Playstation 3 verschillende executables te maken met dezelfde md5 checksum (zie http://www.win.tue.nl/hashclash/SoftIntCodeSign/). Md5 is gebroken, daar kan en mag je nooit meer op vertrouwen.
(...)
MD5 is inderdaad zo stuk, maar nog niet zo stuk dat je zelf de MD5 van een bestand kan bepalen (preimage attack). Je kan wel door te padden twee bestanden maken met dezelfde md5sum maar dat is niet bruikbaar bij deze kwetsbaarheid.
De aanval die er tot nu toe is op md5 is een collision, waarbij je door slim te padden snel twee bestanden kan krijgen die dezelfde md5sum hebben. Je kan echter niet bepalen wat die md5 waarde wordt of die van tevoren voorspellen.
Best een leuke kwetsbaarheid hoor, maar onnodig gehyped imho. Als de NSA de capability heeft om een preimage attack op md5 te doen kunnen ze vast wel toffere dingen verzinnen om ermee te doen :)
"It is important to note that the hash value shared by the two different files is a result of the collision construction process. We cannot target a given hash value, and produce a (meaningful) input bit string hashing to that given value. In cryptographic terms: our attack is an attack on collision resistance, not on preimage or second preimage resistance. This implies that both colliding files have to be specially prepared by the attacker, before they are published on a download site or presented for signing by a code signing scheme. Existing files with a known hash that have not been prepared in this way are not vulnerable. "
Cerrudo weet niet of Microsoft nog steeds MD5 gebruikt.
En dat noemt zich onderzoeker.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.