image

Google vindt Windows-lekken door Windows 7 en 10 te vergelijken

vrijdag 6 oktober 2017, 11:02 door Redactie, 11 reacties

Google heeft meerdere lekken in de kernel van Windows ontdekt door code van Windows 7 en Windows 10 met elkaar te vergelijken. Volgens de internetgigant is het dan ook belangrijk dat verbeteringen die Microsoft aan Windows 10 doorvoert ook voor andere Windows-versies beschikbaar komen.

Er zijn verschillende technieken die zowel onderzoekers als aanvallers gebruiken om kwetsbaarheden in software te vinden. Zo is er "patch diffing", waarbij twee versies van dezelfde code worden vergeleken. Het gaat dan om de kwetsbare versie van de code en de gepatchte versie. Op deze manier kunnen oorzaken, aanvalsvectoren en mogelijke varianten van de kwetsbaarheid in kwestie worden ontdekt. Dit wordt bijvoorbeeld gedaan als een leverancier niet veel details over een kwetsbaarheid en update vrijgeeft. Aanvallers maken er bijvoorbeeld gebruik van om kwetsbaarheden te vinden en exploits te ontwikkelen om zo gebruikers aan te vallen die beschikbare updates niet op tijd installeren.

Een andere techniek die wordt toegepast om veiligheidsproblemen te vinden is "binary diffing". Hierbij worden verschillen gezocht tussen twee of meer versies van een enkel product die dezelfde kerncode delen en tegelijkertijd op de markt beschikbaar zijn, maar onafhankelijk door de leverancier worden ondersteund. Het gaat dan bijvoorbeeld om Windows. Microsoft ondersteunt op dit moment drie versies van het platform, namelijk Windows 7, 8.1 en 10.

Volgens Google staat Microsoft erom bekend dat het structurele verbeteringen alleen aan de meest recente Windows-versie doorvoert. "Dit geeft gebruikers van oudere systemen een vals gevoel van veiligheid en maakt ze kwetsbaar voor kwetsbaarheden die zijn te vinden door alleen subtiele veranderingen in de corresponderende code van verschillende Windows-versies te vergelijken", zegt Google-onderzoeker Mateusz Jurczyk.

Jurczyk gebruikte naar eigen zeggen een zeer eenvoudige vorm van binary diffing om drie kwetsbaarheden in de Windows-kernel te vinden. Dergelijke kwetsbaarheden kunnen handig zijn voor een aanvaller die al toegang tot een systeem heeft en zijn rechten wil verhogen of informatie uit het geheugen wil halen. De drie beveiligingslekken waren aanwezig in Windows 7 en Windows 8.1 en werden deze maand door Microsoft gepatcht.

De Google-onderzoeker heeft nu besloten om de details vrij te geven om te laten zien hoe veiligheidsverschillen in verschillende ondersteunde versies van een enkel product door aanvallers kunnen worden gebruikt om in de oudere versies kwetsbaarheden te vinden. "Niet alleen stelt het klanten bloot aan aanvallen, maar het onthult ook aanvalsvectoren die direct tegen de veiligheid van de gebruiker kunnen worden ingezet", aldus Jurczyk. Hij stelt dat ook niet-geavanceerde aanvallers de drie kwetsbaarheden die hij ontdekte hadden kunnen vinden. Google roept softwareleveranciers dan ook op om veiligheidsverbeteringen consistent onder alle ondersteunde versies van hun software uit te rollen.

Reacties (11)
06-10-2017, 11:32 door Anoniem
pot... ketel....

Gezien de puinhoop die Android updates heet, zou Google eerst zichzelf eens kritisch moeten bekijken.
En nee, de laatste nieuwigheden in Android 8 zijn nog lang niet genoeg om de fragmentering tegen te gaan.
06-10-2017, 12:02 door Anoniem
Die fragmentatie in Android is niet de schuld van Google, maar de schuld van de verschillende fabrikanten die hun toestellen niet updaten (of voorzien van security-patches). Google kan er echt niets aan doen dat een fabrikant zijn toestellen niet voorziet van update. Enige optie die ze hebben is het uitschakelen van toegang tot de Play Services, maar dat staat gelijk aan zelfmoord.
06-10-2017, 13:31 door KoalaBear
De situatie van Android had beter gekund, de verantwoordelijkheid ligt bij de fabrikanten en maakt Google nu stappen om dat te verbeteren.

Dat wil nog niet zeggen dat je een ander niet kan wijzen op beveiligingsproblemen. Microsoft lijkt daar inmiddels ook deels schuldig te maken aan fragmentatie, zelfs al van 'subversies' van Windows 10. Dat je perse de Creators update moet hebben wil je beveiligd blijven. Voor consumenten vaak geen probleem, bij bedrijven duurt het soms wat langer, voor ons is de nieuwste Windows versie van maand of 2 geleden nog niet beschikbaar. Jammer als je die nodig hebt voor een bepaald pakket...
06-10-2017, 14:25 door Anoniem
Door KoalaBear: De situatie van Android had beter gekund, de verantwoordelijkheid ligt bij de fabrikanten en maakt Google nu stappen om dat te verbeteren.

Dat horen we al sinds Android 3.
06-10-2017, 15:01 door Anoniem
Door Anoniem: pot... ketel....

Gezien de puinhoop die Android updates heet, zou Google eerst zichzelf eens kritisch moeten bekijken.
En nee, de laatste nieuwigheden in Android 8 zijn nog lang niet genoeg om de fragmentering tegen te gaan.

Is het niet juist beter dat organisaties elkaar wijzen op elkaars fouten. Net zoals dat je vroeger op school elkaars huiswerk wel eens moest nakijken. Je kan zo juist van elkaar leren en kan Microsoft in dit geval fouten zien, die zij zonder Google misschien niet hadden gezien.
06-10-2017, 15:45 door Anoniem
" door code van Windows 7 en Windows 10 met elkaar te vergelijken. "

hoe komen ze nou aan die kernel code ?
06-10-2017, 16:08 door Anoniem
Door Anoniem: " door code van Windows 7 en Windows 10 met elkaar te vergelijken. "

hoe komen ze nou aan die kernel code ?

Reverse engineering. Doet Google vaker, ook bij iOS en OSX. Was laatste nog een lang artikel over gepubliceerd aangaande WiFi op beide laatstgenoemde OS-en. Moet je ff opzoeken op internet.
06-10-2017, 16:51 door Anoniem
Door Anoniem: " door code van Windows 7 en Windows 10 met elkaar te vergelijken. "

hoe komen ze nou aan die kernel code ?

Aanvulling op mijn reactie van 16:08 uur: https://googleprojectzero.blogspot.nl/2017/10/using-binary-diffing-to-discover.html
06-10-2017, 22:50 door Anoniem
Laat Google eerst maar naar Android kijken. Daar krijg je geen fatsoenlijke update. Windows en Apple kunnen elk type telefoon updaten van welk merk ook en Google geeft de fabriekanten de schuld. Nee Google had het zelf moeten regelen zoals het hoort. Elke Windows kan geupdate worden welk merk dan ook en er staat dan ook software van fabrikanten op. Google doet belangrijk maar levert slecht software.
07-10-2017, 10:09 door Anoniem
" Volgens Google staat Microsoft erom bekend dat het structurele verbeteringen alleen aan de meest recente Windows-versie doorvoert. "

payed support is dus een kneedbaar begrip en hele discussies kunnen gebaseerd worden op de gehanteerde defenitie van structureel. welkom in de commercie waar het eindoel je geld innen is en niets anders.

btw tegen al die eigenlijk kinderachtige googel-jezelluf-android reacties hierboven, twee keer fout maakt niet een goed en ondanks dat google al dan niet misschien ook iets te verbeteren heeft, neemt niet weg dat er nog een hele lange weg te gaan is met MS.
07-10-2017, 18:06 door ph-cofi
Interessant. Voor de security-minded mensen een nieuw argument om privé over te gaan op Win10? En voor de bedrijven een argument om de EULA nog eens na te kijken of de praktijk aansluit bij de afgesloten licenties?

Mijn werkgever (no comment) wil om veiligheidsredenen alle medewerkers richting Win7 hebben, de rest wordt niet vertrouwd. Alles is relatief in deze wereld.

Ik begroet de dag dat een andere onderneming (laten we zeggen, Microsoft) binary diffing gaat uitvoeren op Android code.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.