NCSC waarschuwt voor zero day-lek in Windows
Het Nationaal Cyber Security Center (NCSC) van de overheid waarschuwt voor een zero day-lek in Windows 8.1 en Windows 10 waar nog geen beveiligingsupdate van Microsoft voor beschikbaar is en waardoor een aanvaller in het ergste geval willekeurige code op afstand kan uitvoeren.
Het gaat om een kwetsbaarheid (pdf) die door Herbert Bos, hoogleraar systeem- en netwerkbeveiliging bij de Vrije Universiteit, en verschillende andere VU-onderzoekers is ontdekt. Bos maakte de ontdekking gisteren tijdens het IEEE Symposium over Security en Privacy in de Verenigde Staten bekend en besprak het met BNR Digitaal.
Bos en zijn team lieten zien hoe de Page-Combining functionaliteit in Windows in combinatie met een RowHammer-aanval kan leiden tot geheugencorruptie. Page-Combining is een techniek waarin twee of meer geheugenblokken (pages) met dezelfde inhoud worden gededupliceerd tot één geheugenblok. Door middel van de RowHammer-techniek, een aanval op het werkgeheugen van computers, kan een aanvaller bits in het geheugen manipuleren die niet onder zijn controle staan.
Demonstratie
De onderzoekers gebruikten voor hun demonstratie JavaScript en Microsoft Edge. Door Edge kwaadaardige JavaScript uit te laten voeren is het voor een aanvaller mogelijk om op afstand willekeurige code op de computer uit te voeren, zoals het installeren van malware. Hiervoor moet een gebruiker nog wel eerst zelf een kwaadaardige website bezoeken. De Page-Combining functionaliteit bevindt zich alleen in Windows 8.1 en nieuwer. In Windows Server 2012 R2 is de functionaliteit aanwezig, maar staat standaard niet ingeschakeld.
Bos waarschuwde Microsoft een aantal maanden geleden voor het probleem, maar een beveiligingsupdate is nog niet verschenen. Daarop besloot hij de details vrij te geven. Volgens de hoogleraar wordt er op dit moment nog geen misbruik van de kwetsbaarheid gemaakt, maar zal dat niet lang meer duren, zo stelt hij tegenover BNR. Het NCSC laat weten dat Page-Combining via het volgende PowerShell-commando is uit te schakelen: Disable-MMAgent -PageCombining.
"Welke gevolgen het uitzetten van Page-Combining heeft voor de performance en stabiliteit van het systeem is op dit moment niet duidelijk. Dit kan mogelijk per systeem verschillen, het grondig testen van deze wijziging is noodzakelijk", aldus de waarschuwing van het NCSC.
Toch, Microsoft?
Wat ze hebben bereikt is dat de Rowhammer vulnerability betrouwbaar misbruikt kan worden.
De conclusie van de paper is dan ook niet dat edge kwetsbaar is, maar dat bij het introduceren van nieuwe technieken in een OS (als memory deduplicatie) de attack surface van een OS vergroot.
Adding more and more functionality to operating systems
leads to an ever-expanding attack surface. Even ostensibly
harmless features like memory deduplication may prove
to be extremely dangerous in the hands of an advanced
attacker. In this paper, we have shown that deduplicationbased
primitives can do much more harm than merely
providing a slow side channel. An attacker can use our
primitives to leak password hashes, randomized code and
heap pointers, and start off reliable Rowhammer attacks. We
find it extremely worrying that an attacker who simply times
write operations and then reads from an unrelated addresses
can reliably “own” a system with all defenses up, even if
the software is entirely free of bugs. Our conclusion is that
we should introduce complex features in an operating system
only with the greatest care (and after a thorough examination
for side channels), and that full memory deduplication inside
the operating system is a dangerous feature that is best
turned off. In addition, we have shown that full deduplication
is an overly conservative choice in the practical cases of
interest and that deduplicating only zero pages can retain
most of the memory-saving benefits of full deduplication
while addressing its alarming security problems.
Ook niet helemaal correct, de kwetsbaarheid zit in ieder OS waar gebruik gemaakt wordt van Memory Deduplicatie. De onderzoekers hebben een soortgelijke methode gebruikt om hetzelfde te doen op Linux. Deze techniek extend de Rowhammer vulnerability.
Omdat het een design vulnerability betreft hebben ze hiervoor wel contact met Microsoft gehad om aan een oplossing voor Windows te werken. Ik ben nog wel benieuwd of systemen die niet kwetsbaar zijn voor de Rowhammer vulnerability wel kwetsbaar zijn voor de methodiek van de onderzoekers. dit kon ik even niet snel uit de paper distilleren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.