Geheugenbescherming Windows Vista omzeild

Twee beveiligingsonderzoekers beweren de geheugenbescherming van Windows Vista te kunnen omzeilen. Het lukte de onderzoekers om malware via een buffer overflow in het geheugen te laden. Dit is de zoveelste tegenslag voor Vista.

Mark Dowd van IBM Internet Security Systems (ISS) en Alexander Sotirov van VMware zeggen een techniek te hebben ontwikkeld waarmee alle geheugenprotectietechnieken (zoals Data Execution Prevention en Address space layout randomization) van Windows Vista worden omzeild. Het tweetal presenteerde hun bevindingen op de Black Hat beveiligingsconferentie in Las Vegas.

De techniek (beschreven in dit pdf-document) maakt gebruik van de manier waarop browsers omgaan met active scripting en .NET-objecten. Dowd en Sotirov slaagden er door hun ontdekking in om allerlei malware via een webbrowser in het geheugen te laden. Ze maakten daarbij gebruik van onder andere Java, ActiveX en .NET-objecten.

Gat in browser nodig

Deze omzeiling van Vista's geheugenbescherming betekent niet dat de hele beveiliging openligt, maar wel dat dat een belangrijk nieuw, door Microsoft veelgeroemd deel van de beveiliging 'kraakbaar' is. Voor een geslaagde aanval hebben kwaadwillenden eerst een beveiligingslek in de browser nodig. Via dat lek kunnen ze malware in het systeem laden die bijvoorbeeld een buffer overflow veroorzaakt.

Deze systeemoverbelasting maakt het voor exploitcode mogelijk om in een ander deel van het geheugen terecht te komen, waar het meer rechten heeft. Normaal gesproken voorkomt de geheugenbescherming van Windows Vista het ontstaan van buffer overflows, maar via de techniek die de onderzoekers op Black Hat presenteerden wordt deze bescherming omzeild.

UAC beschermt

Het inschakelen van UAC (User Account Control) biedt bescherming tegen de gepresenteerde aanvalstechniek. UAC zorgt ervoor dat toepassingen niet automatisch dezelfde rechten toegewezen krijgen als de gebruiker, zelfs al is de gebruiker ingelogd als systeembeheerder.

Wanneer UAC ingeschakeld is, kan Internet Explorer 7 draaien in "protected mode". Daarbij draait de browser in een afgesloten deel van de machine, zonder toegang tot de rest van het besturings- en bestandssysteem. Gebruikers schakelen UAC echter vaak uit, omdat deze technologie ertoe leidt dat zij veelvuldig vragen van het besturingssysteem voorgeschoteld krijgen (een eigenschap waaraan in deze Apple-reclame wordt gerefereerd).

Zoveelste tegenslag

Dit is de zoveelste tegenslag voor Windows Vista. In mei werd bekend dat slechts 8 procent van de Noord-Amerikaanse ontwikkelaars applicaties schrijft voor besturingssysteem Windows Vista. In juni schreef Charles Di Bona, analist bij financieel onderzoeksbureau Bernstein Research, in een rapport dat de zakelijke acceptatie van besturingssysteem Windows Vista aan het ‘verdampen' is. In juli maakte analistenbureau Forrester bekend dat nog geen tien procent van de zakelijke markt Windows Vista gebruikt.

Ronald, 11-08-2008 15:09

"Gat in browser nodig"
Als ik het helemaal goed begrepen heb was Microsoft Internet Explo(d)rer toch juist bedoeld om heel veel "remote-code-execution" toe te staan??.

Voor "gewone computer gebruikers"...
Dat betekent dat anderen (good guys, badguys) over het internet, via Internet Exploder ALTIJD in staat zullen zijn om programma's, malware, virussen en trojans en (over)ActiveX components op je computer te planten, zonder dat JIJ het als gebruiker door hebt!...

Wat security experts van Microsoft ook beweren.. the hacking community blijft keer op keer aantonen dat IE en het windows platform zo lek is als een mandje. (dus ook Vista :-) )

Meer weten...??
Huur dan eens de film "The Net" met Sandra Bullock.
Let dan vooral op de diepere essentie achter de Janus Browser software in dit verhaal ;-)

Firefox is niet voor niets terrein aan het winnen op de browser markt, simpelweg om IE hackers rechtstreeks toegang bied tot ALLE onderdelen van je pc over internet.

Have fun @ Surfing AND "Shields Up"

"Lang leve Open Source

Tonijn, 11-08-2008 17:04

Ik kan niet begrijpen dat mensen langzamerhand niet genoeg krijgen van Windows, dat gerotzooi allemaal met viagra slaappillen via e/mail aanbieding 2 halen 3 betalen, nou daar word je vrolijk van slapen met een erectie en ander soort flauwekul
Ik overweeg echt Linux te gaan instaleren, want ik heb het zo'n beetje gehad met Microsoft

Marcel, 11-08-2008 18:02

Beste Tonijn,

heel verstandig.
Goede distributie nodig? Even hier downloaden:
http://www.pardus.org.tr/eng/index.html
http://www.pclinuxos.com/
http://www.ubuntu.com/

Allemaal gemakkelijk te installeren! Allemaal gratis! Succes!

onwetende, 11-08-2008 22:26

Beste allemaal.

Maak je niet zo druk, het zal ooit wel eens lukken een exe-filetje in het geheugen te laden maar dan draait die zooi nog niet (het staat daar niks te doen). Heb je in Vista wel een een stukje software willen laten draaien, dan moet je nog wel effe ja klikken of die software wel mag draaien. Dus.

Wat is dat toch, hebben deze mannen geen werk, vrouw, kinderen, of iets beters te doen??? Iedereen raakt in de stress, omdat in het land der blinde eenoog koning is.
Ik heb ooit eens gehoord je een beeldscherm brilmoet kopen omdat je anders ezelsoren krijgt. Dus.

Gegroet allen.

Kees V., 12-08-2008 9:15

@Tonijn: Denk je echt dat je met Linux verlost bent van spam? Dat heeft echt heel weinig met Microsoft en IE te maken hoor... :-)

Hans, 12-08-2008 11:23

We weten dat Windows niet het beste systeem is, wel meestal het traagste het meest onveilige, ga zo maar door, maar toch blijven we met z'n allen die zooi kopen, ik ook trouwens. Dus we hebben het aan ons zelf te danken, wij hebben Bill de kans gegegeven zijn zakken te vullen met zooi die zeker in het begin helemaal niets voorstelde (Windows 2.0).
Dus nu niet huilen, maar blij zijn dat er altijd weer mensen zijn die de gaten voor ons opsporen em MS aanzetten tot het oplappen van de zooi.

Hans Bos, 12-08-2008 15:13

De ontdekker van de kwetsbaarheid stelt:
"Vista is still very good at preventing vulnerabilities."
en
"Microsoft had contacted us before Black Hat. We had some conference calls and sent them an early draft a few weeks ago. In fact, they put us in touch with the people who designed the [memory protection] defenses [in Windows Vista] and sent us a few minor corrections. It was a very positive experience working with Microsoft. Our research is helping them learn where they need to focus their resources and where they need to improve."
http://blogs.zdnet.com/Bott/?p=513

Tonijn, 12-08-2008 16:45

Kees,
Nee, dat denk ik niet, maar,wel van de trojans. En Marcel,ja ik ben eigenlijk al in 1995 begonnen met slackware, maar zover ik weet kan je windows dingen onder wine goed draaien

Linux is niks, 12-08-2008 22:48

Jammer hoor, Microsoft is geen hacker en Linux-mannen wel :). We blijven nee zeggen tegen Linux JUIST omdat het open code is, iedereen kan in linux zijn eigen idee kwijt waardoor het onveilig is en overkomt als een los zand. Er is geen dekking (omdat de man die de code gemaakt heeft nou toevallig geen zin meer had) en er is geen ondersteuning voor bijvoorbeeld echte videokaarten. Ook kan iedereen maar wilde code plaatsen, zodat een prive bankrekening op elke website in de wereld te zien is (eventueel met pincode en pasinfo). Wie kijkt dat na dan ???

security / Nieuws

Geheugenbescherming Windows Vista omzeild

Gat in browser nodig

UAC beschermt

Zoveelste tegenslag

Security 3.0: de nieuwste generatie beveiligingsoplossingen

Security èn toegevoegde waarde met een goede secure desktop solution

Computable Events Security

SonicWALL beveiliging voor EBS en SBS

Transparante systeemtoegang voor 17.000 UWV-medewerkers

Lege stoelen bij Pinewood

ECM onmisbaar in het 'nieuwe werken'