US-CERT waarschuwt voor Windows-’feature’
De ingebouwde anti-exploitfunctie ASLR is in Windows 8 en 10 niet helemaal correct geïmplementeerd, stelt een security-onderzoeker. US-CERT is het hiermee eens en geeft een waarschuwing af. Maar Microsoft spreekt het tegen.
© CC0
CC0
ASLR (address space layout randomisation) zorgt voor willekeur in de adresruimte die door applicaties wordt gebruikt. Hierdoor leiden buffer overflows niet standaard tot telkens dezelfde - en dus voorspelbare - adreslocatie waar aanvallers dan malware kunnen uitvoeren. In Windows 8 en later is de willekeurige geheugenadressering echter niet aan de orde, stelt een security-onderzoeker.
Via 17 jaar oud gat
Het inschakelen van systeem-brede ASLR levert geen random geheugengebruik op. In plaats daarvan worden programma’s neergezet op telkens dezelfde locatie, wat dus voor misbruikmogelijkheden zorgt. Dit geldt voor ASLR-inschakeling via Microsofts securitytool EMET (Enhanced Mitigation Experience Toolkit) en voor activering via Windows Defender Exploit Guard op Windows 10, tweet ontdekker Will Dormann. Hij is verbonden aan het security-onderzoekscentrum CERT/CC van de Carnegie Mellon universiteit.
Dormann is tot zijn ontdekking gekomen door onderzoek naar een kwetsbaarheid in Microsoft Equation Editor, die al wel is gedicht. Het ging hier om een gat dat op afstand was te misbruiken en dat niet door ASLR werd afgedekt. De programmacode (exnedt32.exe) van de kwetsbare Microsoft-tool is 17 jaar geleden gecompileerd. ASLR bestond toen nog niet op Windows.
‘Windows 7 is veiliger’
Oude, kwetsbare code zou echter beschermd moeten worden door het systeem-breed ‘opleggen’ van ASLR, dat sinds Vista is geïmplementeerd in Windows. Dit bleek niet het geval bij de Equation Editor, wat Dormann tot zijn onderzoek heeft aangezet. Een van de conclusies is dat Windows 7 in combinatie met EMET veiliger is dan Windows 10.
Microsoft spreekt dit tegen en reageert dat de ASLR-issue geen bug is, maar een feature. “ASLR werkt zoals bedoeld en de configuratie-issue zoals beschreven door CERT/CC geldt alleen voor applicaties waar de .exe niet al meedoet [opt-in] aan ASLR”, blogt security-expert Matt Miller van Microsofts Security Response Center (MSRC). Deze zaak speelt alleen wanneer non-default configuraties worden toegepast op bestaande Windows-versies, verklaart Miller.
Kwestie van configuratie
De door Dormann geconstateerde configuratiekwestie geeft volgens Miller dan ook geen risico’s. “CERT/CC heeft wel een issue geïdentificeerd met de configuratie-interface van Windows Defender Exploit Guard die momenteel systeem-brede inschakeling verhindert van bottom-up randomization.”
De ASLR-functie mankeert dus wel wat, zij het niet direct. Het verantwoordelijke ontwikkelteam binnen Microsoft onderzoekt de zaak nu, merkt Miller nog op. Hij schrijft ook dat EMET geen algehele geheugenwillekeur kan opleggen aan het hele systeem. Dit wordt niet ondersteund en valt dus niet te configureren, aldus de Microsoft-expert.
Miller draagt in zijn blogpost workarounds aan, voor wat hij met klem geen kwetsbaarheid noemt. Het Amerikaanse beveiligingsorgaan US-CERT stelt echter in zijn Vulnerability Note dat Dormanns ontdekking misbruik (exploitation) van bepaalde soorten kwetsbaarheden vergemakkelijkt.
MEER AG CONNECT?
Altijd op de hoogte blijven van het laatste IT-nieuws? Volg ons op Twitter, like ons op Facebook of abonneer je op onze nieuwsbrief.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee