Securitysoftware moet beschermen tegen dreigingen, waarbij de defaultbescherming de norm is. Alleen bleek Windows op afstand te kapen, juist door ingebouwde anti-malware. Een reconstructie.
Vrijdagmiddag, bijna tijd voor het weekend. Behalve dan voor developers bij een bepaalde softwareleverancier: Microsoft. En behalve voor securityprofessionals bij leveranciers van beveiligingsproducten. Laatstgenoemden hebben net de tweet gezien van Google’s gatenjager Tavis Ormandy. “Ik denk dat @natashenka en ik zojuist de ergste Windows remote code execution in de recente geschiedenis hebben ontdekt”, laat deze beruchte 0-day zoeker weten.
Alarm: wormgevaar
‘Dit is echt erg. Rapport komt eraan’, vervolgt Ormandy in de tweet die hij afsluit met drie keer de emoji van brand. Hij geeft geen details vrij, maar duidt in een vervolgtweet nog wel de ernst van de ‘uitslaande brand’ aan. ‘Aanval werkt op een default-installatie, het is niet nodig om op hetzelfde LAN te zitten, en het is wormbaar.’
Die laatste bijzin betekent echt groot alarm. De ontdekte kwetsbaarheid biedt dus niet alleen de mogelijkheid om op afstand kwaadaardige code uit te voeren op standaardinstallaties van Windows. Exploitcode waarmee dit valt te doen, is ook nog eens in de vorm van een worm te ‘gieten’. Een worm is kwaadaardige code die zichzelf via een netwerk kan verspreiden, voor verdere besmetting.
Security default inbouwen
Code Red en Conficker zijn beruchte wormen uit de pc-geschiedenis. Deze en andere gevallen hebben wereldwijd voor miljarden aan schade aangericht en Microsoft aangezet tot het opvoeren van zijn securitymaatregelen. Daaronder bevindt zich ook de ontwikkeling, deels gevoed door enkele overnames, van eigen antivirus en anti-malware.
Deze bescherming heeft de Windows-maker vanaf 2009 gratis uitgebracht. Dit weggeven dient het algemeen belang: om internet veiliger te maken, voor iedereen. Daarbij sprak Microsoft tegen dat het concurreert met betaalde beveiligingspakketten. Nu blijkt de gratis – en sinds Windows 8 ingebouwde – securitysoftware van Microsoft een ernstig, wormbaar securitygat te bevatten. En niet alleen voor pc’s maar ook voor servers.
Google’s gatenjagers
Dit grote gat is ontdekt door Ormandy en zijn collega Natalie Silvanovich van Google’s speciale securityteam Project Zero. De onderzoekers in dat team sporen gaten op in veelgebruikte ict-producten, zoals ironisch genoeg ook securitysoftware. Vervolgens melden Google’s gatenjagers dit bij de verantwoordelijke leveranciers, die dan strenge deadlines opgelegd krijgen om te fixen vóór publieke bekendmaking. Dergelijke disclosure biedt gebruikers en beheerders namelijk de mogelijkheid om beschermende maatregelen te nemen, in afwachting van patches en het testen daarvan.
Terwijl Ormandy de ict-wereld opschudt met zijn zorgbarende tweet over wormbaar Windows-gevaar gaan Microsofts securitymensen aan de slag. Voor de developers bij de ict-leverancier is het weekend dus opgeschort. Zij storten zich op de aangeleverde gedetailleerde informatie over de kwetsbaarheid om die te dichten. Ondertussen zien experts van securityleveranciers ook af van het weekend. Zij gaan zoeken en gissen naar het gat om indien mogelijk alvast bescherming te bieden.
Snelle fix want groot gat
Microsoft zelf heeft de zaak goed en zelfs snel opgepakt. Direct na het weekend is een update uitgebracht voor de Malware Protection Engine waarin het gat schuilt. Die anti-malwaremotor is de basis voor een reeks securityproducten van Microsoft en is als service standaard ingeschakeld in moderne Windows-versies. Sinds Windows 8 is de malwarebescherming ingebouwd en actief bij een default installatie van het besturingssysteem.
In het vervolgens geopenbaarde bug-rapport meldt Ormandy dat ‘Windows 8, 8.1, 10, Windows Server 2012, enzovoorts’ kwetsbaar zijn. Het in de bedrijfswereld veelgebruikte Windows 7 is echter ook kwetsbaar, indien op die versie dan securitysoftware van Microsoft is geïnstalleerd. Dit betreft het gratis consumentenproduct Security Essentials en Windows Defender voor Windows 7, maar ook zakelijke securitypakketten waaronder Forefront Endpoint Protection 2010, Microsoft Endpoint Protection en System Center Endpoint Protection.
De getroffen softwareproducent meldt deze impact op de voorlaatste versie van zijn besturingssysteem in het securitybulletin over deze kwetsbaarheid. De daar opgesomde beveiligingsproducten gebruiken namelijk de Malware Protection Engine waar het gat in schuilt. Naast het brede bereik is deze kwetsbaarheid ook groot vanwege de opzet en het functioneren van de malwarebescherming.
Services en systeemrechten
Deze twee elementen zorgen namelijk voor directe infectiemogelijkheden. Dus zónder dat gebruikers tot een infecterende handeling hoeven te worden verleid, zoals het openen van een besmet e-mail attachment of het aanklikken van een malafide link. De anti-malware-service (MsMpEng) is op afstand en zonder authenticatie toegankelijk via diverse andere services die kunnen draaien op Windows, zoals mailserversoftware Exchange, webserver IIS, en meer. Het gevaar geldt niet alleen voor servers waar diverse services op draaien.
De malwarebeschermingsmotor is namelijk ook verwerkt in Microsofts securityproducten als Security Essentials, System Centre Endpoint Protection en meer, meldt Ormandy in het bug-rapport. Hierdoor zijn gewone pc’s ook vatbaar. Bovendien draait de kwetsbare service met diepgaande systeemrechten en dat ook nog eens zonder isolatie (sandboxing).
Zo te ‘voeren’
Bovenstaande betreft de opzet van de service. Daarnaast is er nog de aard van de onveilige beveiliger. MsMpEng onderschept en inspecteert standaard alle activiteit op het bestandssysteem, wat logisch is voor het beschermen van een systeem. De gevonden kwetsbaarheid zorgt er echter voor dat de service hierdoor gemakkelijk een infectie valt te ‘voeren’.
In het bug-rapport schrijft Ormandy dat het dus volstaat om speciaal geprepareerde data opgeslagen te krijgen op een doelcomputer. ‘Het schrijven van gestuurde content waar dan ook op de disk (dus caches, tijdelijke internetbestanden, downloads (en zelfs onbevestigde downloads), attachments, enzovoorts) is afdoende’, om de te misbruiken functionaliteit in de malwarebescherming te bereiken.
Een aanvaller kan deze toegang al verkrijgen door een e-mail te sturen, die het slachtoffer dan niet eens hoeft te lezen. Het binnenkomende bericht wordt volautomatisch gescand door de malwarebescherming, die dan voor de bijl gaat. Hetzelfde scenario geldt voor het bezoeken van een link in een webbrowser, het ontvangen van een malafide chatbericht, enzovoorts.
Ervaringen uit het verleden
Dit alles heeft Microsoft aangezet tot grote spoed in het aanpakken van dit grote, wormbare gat. Ormandy spreekt in enkele tweets begin deze week openlijk zijn hulde uit voor de developers bij Microsoft en het Security Response Center (MSRC). ‘Nog steeds erg onder de druk van hoe snel @msftsecurity reageerde om gebruikers te beschermen, kan niet genoeg kudos geven. Ongelofelijk.’
Overigens staat deze oplossingssnelheid in contrast met eerdere meldingen van Ormandy aan Microsoft. Exact vier jaar terug deze maand hebben de Windows-producent en de gatenjager publiekelijk overhoop gelegen over een door hem gemelde bug. De lokaal exploiteerbare kwetsbaarheid in Windows 7 en 8 is namelijk door Ormandy geopenbaard, compleet met exploitcode.
Disclosure
De publieke bekendmaking is gedaan nadat Microsoft niet binnen de gestelde deadline een fix gereed had. Daarbij hekelde Ormandy de Windows-maker die volgens hem een ‘vijandige houding’ had tegenover externe security-onderzoekers. Dit incident was namelijk niet de eerste aanvaring over ontdekte en gemelde gaten. De kans is ook groot dat de nu vlot gedichte malwaremogelijkheid in Microsofts antimalwaremotor niet het laatste contact is. Maar de afhandeling is nu wel veel beter.
