Microsoft waarschuwt voor drive-by aanval

Eerder had Microsoft al toegegeven dat het mechanisme van snelkoppelingen niet waterdicht is. Een kwaadwillende kan speciaal misvormde snelkoppelingen verspreiden waarvan de parameters niet correct door Windows worden gevalideerd. Het gevolg is dat de aanvaller de volledige controle over de pc kan krijgen. In eerste instantie beschreef Microsoft alleen dat zo’n aanval kan worden opgezet door malafide shortcuts via USB-geheugensticks te verspreiden.

In een herzien adviesbulletin over de kwetsbaarheid in de Windows Shell, een centraal onderdeel van het besturingssysteem Windows, bevestigt Microsoft dat ook een “aanval in het voorbijgaan” tot de mogelijkheden behoort. Onafhankelijke beveiligingsexperts hadden al op dat risico gewezen, maar in zijn oorspronkelijke beveiligingsbulletin zweeg Microsoft over deze mogelijkheid.

In de herziene versie schrijft Microsoft: “Een aanvaller zou ook een kwaadaardige website of remote network share kunnen opzetten en de kwaadaardige componenten op deze locatie op afstand kunnen plaatsen. Wanneer de gebruiker de website bekijkt met een browser zoals Internet Explorer of een bestandsmanager zoals Windows Explorer (Verkenner), zal Windows proberen het pictogram van de snelkoppeling te laden en zal het kwaadaardige binaire bestand worden geactiveerd.”

Een andere mogelijkheid is dat de aanvaller zijn ‘exploit’ opneemt in een document dat ingebedde snelkoppelingen of gehoste browsercontrole ondersteunt. Deze ondersteuning zit onder meer, maar niet uitsluitend, in Microsoft Office-documenten.

Naast het gebruik van USB-sticks had Microsoft ook gewezen op de aanvalsroute via een remote network share. Dat is echter voor cybercriminelen veel lastiger voor elkaar te krijgen dan ergens op het internet een website met besmette snelkoppelingen inrichten. Het enige dat daarna nog hoeft te gebeuren is gebruikers ertoe te verleiden de site te bezoeken.

In principe zijn alle versies van Windows, tot de nieuwste versie Windows 7 aan toe, kwetsbaar voor het probleem. Door Computerworld geciteerde experts melden echter dat Windows 7 en vermoedelijk ook Vista met een popup alarm slaan als de gebruiker een besmette site wil bezoeken. Bovendien is in de versies van Internet Explorer na IE6 enige interactie van de gebruiker vereist. Verder zou de drive-by-aanval niet werken met andere browsers, zoals Firefox en Chrome.

Het is niet bekend wanneer Microsoft met een patch voor het lek komt. De eerstvolgende reguliere patchronde is op 10 augustus. Microsoft heeft een Fix It-tool ontwikkeld dat de snelkoppelingen uitschakelt in afwachting van een patch.