Microsoft patcht kritiek lek in Windows

Een van beide bugs schuilt in de Stream Buffer Engine (SBE), een voorziening die digitale videobestanden aanmaakt. Ze hebben de bestandsextensie ‘dvr-ms’. Kwaadwillenden kunnen de kwetsbaarheid op verschillende manieren aangrijpen om een pc in hun macht te krijgen.

Twee aanvalsroutes: website of e-mail
De ene methode is het lokken van nietsvermoedende internetgebruikers naar een kwaadaardige website waarop Digital Video Recording-bestanden zijn geplaatst. Zo’n type aanval wordt ook wel ‘drive-by’ genoemd: louter het bezoeken van de site is al genoeg om besmet te raken.

De tweede aanvalsroute is het rondsturen van mailtjes met een DVR-MS-bestand als bijlage. Wie het mailtje in de preview-modus van het mailprogramma bekijkt is al het haasje, zelfs zonder de bijlage te hebben geopend.

Windows XP Home is de enige clientversie van Microsofts besturingssysteem die niet vatbaar is voor een aanval via DVR-MS, omdat het niet met de betreffende codec is uitgerust. Gebruikers van Windows 7, Vista, XP Professional en Windows Media Center Edition moeten wel op hun tellen passen.

DLL load hijacking steekt weer de kop op
De overige patches van deze maand, zowel die in MS11-015 als in de 2 andere security bulletins, krijgen het predikaat ‘DLL load hijacking’. Aanvallers zijn hierdoor in staat dynamic link libraries (DLL’s) met malware op een pc te installeren.

Meer specifiek heeft MS11-016 betrekking op een lek in het groupwareproduct Groove 2007. Bulletin MS11-017 pakt een bug in de Remote Desktop Client (RDC) aan. In beide gevallen kan een aanval worden opgezet door de gebruiker zo gek te krijgen een legitiem, maar misvormd bestand te openen. Daarna is de weg vrij voor uitvoering van code op afstand (remote execution).

Microsoft dacht eind 2010 alle gaten in zijn producten die DLL-kaping mogelijk maken al te hebben gerepareerd. Maar sindsdien zag het bedrijf zich toch herhaaldelijk genoodzaakt extra patches uit te geven, ook deze maand weer.

Overigens zijn in de praktijk nog geen serieuze aanvallen gesignaleerd die gebruik maken van DLL load hijacking. De verklaring is vermoedelijk dat dit type kwetsbaarheden voor aanvallers erg lastig is te exploiteren. Beheerders kunnen een dam opwerpen tegen DLL-aanvallen door de WebDAV-client op Windows-pc's uit te schakelen en poorten 139 en 445 af te sluiten.

Een samenvatting van de patches van deze maand is te vinden op de website van Microsoft Technet.