Gelekte code ‘oud maar gevaarlijk’

Het lekken van een deel van de broncode van Microsoft Windows is ‘redelijk gevaarlijk’. Dat zegt de Nederlandse virusexpert Righard Zwienenberg. De eerste exploit werd na twee dagen gemeld op een publieke mailinglijst. Microsoft bevestigt het veiligheidslek.

In dit stukje code uit het bestand imgbmp.cxx, deel van de uitgelekte broncode, wordt een (positief) geheel getal geacht een positie in het geheugen te bepalen, terwijl dat een getal ook negatief zou kunnen zijn (unsigned integer). In het commentaar van andere stukken broncode wordt veelvuldig gevloekt. Een van de opmerkingen luidt: “If you change tabs to spaces, you will be killed!! Doing so fucks the build process.”

Zwienenberg, een van de computervirusspecialisten verenigd in Caro (Computer Antivirus Research Organisation) verwacht “een vloedgolf van exploits”.
Een exploit is software die fouten in ict-systemen weet te misbruiken. Het eerste daarvan werd zaterdag bekend via de mailinglijst Full Disclosure. Een speciaal gemaakt plaatje (bmp) dat met Microsofts webbrowser Internet Explorer (versie 5, niet de huidige versie 6) wordt gedownload, laadt besturingssysteem Windows 98 verkeerd in het geheugen. Zo kan deze code het systeem overnemen met dezelfde rechten als die van de gebruiker. Zo heel ernstig lijkt de ontdekking nog niet: Windows 98 is een versie van het besturingssysteem die Microsoft uit roulatie wil halen. In bedrijfsomgevingen wordt doorgaans met recentere versies van Windows gewerkt.

Geen paniek

Een abonnee van de Ntbugtraq-mailinglijst meldt dat een aantal standaard-diensten op de Windows servers risico zouden lopen, waaronder ‘remote procedure call’, ‘simple network management protocol’, en de ‘command shell’. Paniek is volgens de schrijver niet nodig. Het zoeken naar exploits gebeurt ook door de gecompileerde programma’s (binaries) te debuggen. “Het is alleen wat makkelijker fouten te zien in C dan in assembler.”
Het lekken van de broncode overstemt de ernst van het eerder die week door Microsoft bekend gemaakte beveiligingslek (ASN.1. Abstract Syntax Notification). Deze fout maakt alle versies van Windows kwetsbaar die ouder zijn dan Windows 2003 Server. De fout in de software kan door een worm misbruikt worden via de gewone http-poort. Ict-onderzoeksbureau Gartner haalde donderdag fel uit naar Microsoft. “Bedrijven moeten de kosten van het voortdurend toepassen van lapmiddelen zwaar laten tellen, wanneer ze voor de keuze van een besturingssysteem staan.”
Vorige week donderdag maakte Microsoft bekend dat zo’n 15 procent van de broncode van besturingssysteem Windows 2000 is uitgelekt. De (gedateerde) code is waarschijnlijk ontvreemd van een computer van Microsoft-partner Mainsoft.< BR>