image

Onderzoeker onthult ring0-lek in Windows-kernel

maandag 3 juni 2013, 16:16 door Redactie, 9 reacties

Een beveiligingsonderzoeker die ook voor Google werkt heeft een exploit voor een beveiligingslek in de Windows-kernel gepubliceerd. Het gaat om een ring0-exploit waarmee een lokale aanvaller toegang tot de kernel mode van het besturingssysteem kan krijgen. Het probleem zou in alle ondersteunde versies van Windows aanwezig zijn; van Windows XP tot en met Windows 8.

Het probleem bevindt zich in een 'path subsystem' van Windows. Onderzoeker Tavis Ormandy, tevens werkzaam voor het Google Security Team, ontdekte twee weken geleden ook al een probleem in de Windows-kernel.

In plaats van Microsoft te waarschuwen ging hij over tot full-disclosure en haalde hij uit naar de manier waarop de softwaregigant met bugmeldingen en onderzoekers omgaat.

Bugmelding
Een aantal uren geleden heeft Ormandy wederom een aanvulling op zijn eerdere ontdekking gepubliceerd. Hij stelt echter dat er nu een 'publieke oplossing' beschikbaar is. Om wat voor oplossing het gaat is onbekend, aangezien Microsoft in de tussentijd geen updates heeft uitgebracht.

Het idee voor de nu gepubliceerde exploit is afkomstig van een andere onderzoeker genaamd 'progrmboy'. Die kwam met een idee waar Ormandy niet aan had gedacht. Om het lek te misbruiken heeft een aanvaller wel lokale toegang nodig, of moet hij het systeem via bijvoorbeeld een 'drive-by download' eerst aanvallen.

Reacties (9)
03-06-2013, 18:08 door Anoniem
Hij stelt echter dat er nu een 'publieke oplossing' beschikbaar is. Om wat voor oplossing het gaat is onbekend, aangezien Microsoft in de tussentijd geen updates heeft uitgebracht.

Solution als in, een publieke exploit, geen oplossing.
03-06-2013, 18:51 door svenvandewege
Naar mannetje die Ormandy. Als het niet loopt zoals meneertje het wil... Beetje kinderachtig gedrag. Google zou deze man eens ter verantwoording moeten roepen in het kader van security gaat boven eigen ego.
03-06-2013, 21:35 door rob
Door svenvandewege: Naar mannetje die Ormandy. Als het niet loopt zoals meneertje het wil... Beetje kinderachtig gedrag. Google zou deze man eens ter verantwoording moeten roepen in het kader van security gaat boven eigen ego.

Mwah, Tis altijd nog beter dan verkopen op de zwarte markt niewaar
03-06-2013, 22:06 door [Account Verwijderd]
[Verwijderd]
03-06-2013, 23:14 door Anoniem

Om het lek te misbruiken heeft een aanvaller wel lokale toegang nodig, of moet hij het systeem via bijvoorbeeld een 'drive-by download' eerst aanvallen.
Tsjaaaa... dan lukt het mij ook met reeds bestaande tools...
04-06-2013, 09:47 door Anoniem
Ach, het is ongetwijfeld beter om het onder de pet te houden zo lang als de software leverancier nodig denkt te hebben om een patch uit te brengen, als ze dat al doen want de gedachtegang lijkt doorgaans te zijn "wat niet weet, want niet deert", en in de tussentijd af te wachten totdat iemand anders het lek ook ontdekt en er wel misbruik van maakt. Heel verantwoord.

Als zij het lek kunnen vinden, dan kan iemand anders het ook. Aangezien softwarebedrijven doorgaans laks zijn in het oppakken van dit soort problemen of de problemen niet serieus oppakken, heb ik liever dat ze worden gedwongen hun rotzooi snel op te ruimen dan het met de zachte hand te laten rotten; dat is helemaal geen "bescherming van miljoenen gebruikers".

Je mag van mij vinden dat iemand als Ormandy onverantwoord bezig is, maar dat zijn softwarebedrijven vaak ook door niet of veel te laat al dan niet slechte patches te leveren. Klaag daar dan ook over, maar dat zie ik je niet doen..
04-06-2013, 12:11 door [Account Verwijderd]
[Verwijderd]
04-06-2013, 15:32 door Terminator
Zie dat iedereen hier boven Ormandy bashed, maar hij doet het prima hoor. Microsoft heeft er nogal een handje naar om beveiligingslekken gewoon te negeren. NEtzoals met het ipv6 lek, toen dat netjes gemeld werd, zei microsoft vrij letterlijk dat ze het al wisten, en dat ze er niets aan gingen doen, en dat het in windows 8.1 wel gefixed zou worden.
04-06-2013, 16:48 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.