Development

Security
Windows Server 2003

Microsoft moet gapend gat in Windows Server 2003 ongepatcht laten

Teveel werk om fix te maken voor gevaarlijk lek in Server 2003, concludeert Microsoft.

© Microsoft
11 februari 2015

Teveel werk om fix te maken voor gevaarlijk lek in Server 2003, concludeert Microsoft.

Voor wie het beëindigen van de ondersteuning per 14 juli aanstaande niet genoeg aansporing was om af te stappen van Windows Server 2003: Microsoft is tot de conclusie gekomen dat het te veel werk is om een gevaarlijk lek in Windows Server ook in de 2003-versie te patchen.

Het lek werd een jaar gelden aan Microsoft gerapporteerd door Jeff Schmidt. Hij kwam het probleem op het spoor tijdens het uitvoeren van een opdracht van de Internet Corporation for Assigned Names and Numbers (ICANN) aan zijn bedrijf JAS Global Advisors. ICANN wou inzicht in potentiële technische problemen bij de introductie van nieuwe generieke toplevel-domeinen. Daarbij stuitte Schmidt op het probleem in Windows Server, die nu als JASbug door het leven gaat.

De JASbug stelt een aanvaller in staat het verkeer tussen eindgebruikers en de Active Directory af te tappen, en zo een zogeheten man-in-the-middle-aanval uit te voeren. Daardoor kan de aanvaller kwaadaardige code binnensmokkelen.

Kritiek lek

De patch voor de JASbug heeft de kwalificatie kritiek. Dat betekent dat een aanvaller de bug kan misbruiken zonde dat hij eerst de medewerking hoeft uit te lokken van een geautoriseerde netwerkgebruiker. Vooral in situaties dat een medewerker gebruik maakt van het publieke internet - bijvoorbeeld via de wifi-verbinding in een openbare ruimte om in te loggen op het bedrijfsnetwerk - is de kans op misbruik groot. Microsoft geeft op Technet een voorbeeld van dit scenario. Schmidt benadrukt dat dit slechts één van de denkbare methoden is om misbruik te maken van de bug. Zelf kwam hij het tegen in een internetscenario, waarbij dus geen sprake was van toegang tot het bedrijfsnetwerk.

Niet te fixen in Windows Server 2003

Dat Microsoft 12 maanden nodig had om de bug te fixen, duidt al aan dat het om een lastig probleem ging. Om het te verhelpen moest Microsoft kernonderdelen van het besturingssysteem op de schop nemen. Daarbij kwam het tot de conclusie dat de werkzaamheden om het lek in Windows Server te dichten, nog veel uitgebreider zouden moeten zijn. De kans dat die wijzigingen ertoe zou leiden dat bestaande applicaties niet meer zouden werken op Windows Server 2003 was daarbij reëel.

Wie nog werkt met Windows Server 2003, doet er daarom goed aan de connectie met van niet-vertrouwde netwerken te vermijden. Meer informatie is te vinden in Microsofts Security Bulletin MS15-011.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.