I august 2010 kom Microsoft med en ekstraordinær sikkerhetsfiks som skulle fjerne sårbarheter i Windows som lenge hadde blitt utnyttet, blant annet av Stuxnet-ormen som ble spredt mellom datamaskiner ved blant annet iranske atomanlegg. Nå viser det seg at denne sikkerhetsfiksen var utilstrekkelig og ikke fjernet den aktuelle sårbarheten, CVE-2010-2568. Dermed har Windows-pc-er også i ettertid har vært åpne for denne typen angrep.
Dette ble oppdaget av sikkerhetsforskeren Michael Heerklotz i januar. Han tok da kontakt med HP Tippingpoints Zero Day Initiative .
Bakgrunn: Slik slåss Microsoft mot Stuxnet
LNK-filer
I alle fall opprinnelig var det USB-baserte minnepinner som ble brukt som angrepsvektor. Angrepene utnyttet en sårbarhet i Windows som gjorde at kjøring av vilkårlig kode kunne skje ved bare å åpne en filmappe. Ifølge HP Security Research Blog tillater Windows at .LNK-filer, som definerer snarveier til andre filer eller mapper, å bruke tilpassede ikoner fra .CPL-filer (Control Panel). Men i Windows lastes ikoner fra moduler, det vil si enten kjørbare filer eller dynamisk lenkede biblioteker (DDL-filer). I praksis er også CPL-filer DDL-er. Og fordi en angriper kunne definere hvilken modul som skulle lastes, kunne angriperen bruke LNK-filen til å kjøre vilkårlig kode innen i Windows med samme privilegier som den innloggede brukeren.
Fjernkjøring
Om den nye sikkerhetsfiksen skriver Microsoft at sårheten som fjernes åpner for fjernkjøring av vilkårlig kode dersom en angriper lykkes i å overbevise en bruker til å besøke en spesielt utformet webside, åpne en spesielt utformet fil eller å åpne en arbeidsmappe som inneholder en spesielt utformet DLL-fil. Sårbarheten skyldes fordi Windows laster DLL-filer på en uegnet måte. Alle Windows-utgaver er berørt.
Bestrider
Microsoft bestrider dog at det dreier seg om den samme sårbarheten som skulle ha blitt fjernet i 2010. I en uttalelse som blant annet Ars Technica har gjengitt, opplyser selskapet at det dreier seg om en ny sårbarhet som krevde en ny sikkerhetsoppdatering.
Etter at Microsoft i går kveld kom med den kritiske sikkerhetsfiksen, kom HP på denne siden med flere detaljer om sårbarheten.
FREAK
I forrige uke ble det kjent at også Windows er berørt av en type angrep som kalles for FREAK, som kan brukes til å avlytte krypterte nettforbindelser. I Windows utnyttes en sårbarhet i Secure Channel-komponenten som gjør det mulig å tvinge ned nøkkellengde på RSA-nøkler for TLS-forbindelser til det som er kjent som eksport-klasse. Dette er chiffer-samlinger som det er fullt mulig å knekke. Det hele forutsetter dog at serveren som kontaktes faktisk støtter en slik svak chiffer-samling.
Les mer om FREAK: Fjerner gammel krypto-sårbarhet
Vanligvis virker Microsoft ute av stand til å komme med sikkerhetsfikser til selskapets produkter bare dager eller uker etter at en sårbarhet blir avslørt. Men i dette tilfellet har det tilsynelatende gått betydelig raskere. I praksis kan Microsoft har jobbet med dette i lengre tid, for forskere ved Microsoft Research var involvert i selve oppdagelsen av FREAK. Detaljene om denne oppdagelsen ble offentliggjort i forrige uke, men det tok to dager før det ble klart at også Windows var berørt.
Apple skal ha utgitt en sikkerhetsfiks som fjerner sikkerhetshullet som gjør Safari for både OS X og iOS sårbar for FREAK-angrep. En tilsvarende sårbarhet ble fjernet fra OpenSSL allerede i januar.
I alt kom Microsoft med 14 sikkerhetsoppdateringer i går.