Windu.be Blog

Microsoft gaat maandag een noodpatch uitbrengen voor alle Windows-systemen. Die patch moet een lek dichten in de wijze waarop Windows omgaat met snelkoppelingen. Ondanks werd een exploit gevonden voor dat lek.

De malware die gebruik maakt van de kwetsbaarheid kan een pc makkelijk besmetten, zo bleek met de Stuxnet-exploit. Gebruikers die een besmette usb-stick openen in Explorer of een andere filemanager die iconen van .lnk-bestanden toont, zijn al vatbaar voor de malware. Dat komt door de manier waarop Windows met .lnk-bestanden omgaat. Die bestanden zijn snelkoppelingen naar andere bestanden.

De patch komt uit voor Windows XP, Windows Vista en Windows 7, net als voor diverse edities van Windows Server. Hoewel Microsoft de .lnk-kwetsbaarheid niet bij name noemt, vermoedt Threatpost dat het gaat om de kwetsbaarheid die twee weken geleden opdook.

Microsoft brengt de patch uit los van ‘patch tuesday’, waarin het softwarebedrijf normaalgesproken kwetsbaarheden in Windows dicht. Dat komt omdat Microsoft het ziet als gevaarlijk lek, waarbij er kans bestaat dat het op grote schaal wordt misbruikt voor de volgende ‘patch tuesday’. De Stuxnet-malware werd aangetroffen op ongeveer 16.000 systemen en had bovendien een legitieme Realtek-signatuur, al was die verlopen.

Er is malware opgedoken die gebruikmaakt van een niet eerder beschreven lek in Windows. Wat verder opvalt, is dat de rootkit-drivers die onderdeel van de malware zijn een certificaat van het bedrijf Realtek dragen.

De malware werd onlangs ontdekt door een antivirusbedrijf uit Wit-Rusland en maakt gebruik van een fout in de manier waarop Windows .lnk-bestanden verwerkt, zo meldt Security.nl. Gebruikers die een besmette usb-stick openen in Explorer of een andere filemanager die iconen van .lnk-bestanden toont, zijn al vatbaar voor de malware. De malware hanteert niet de veelgebruikte methode om via een autorun.inf-bestand ongevraagd processen te starten. Ook Windows 7 met alle nieuwste updates zou vatbaar zijn voor de exploit.

Als de malware wordt uitgevoerd, installeert deze twee verschillende rootkit-drivers die code in systeemprocessen kunnen injecteren. Het opmerkelijke aan deze drivers is dat ze met een certificaat van hardwarefabrikant Realtek zijn ondertekend. Volgens Alexander Gostev van Kaspersy Labs is de signatuur legitiem, al is deze op 12 juni jongstleden verlopen. Mogelijk is dat ook de reden dat de malware nu pas is ontdekt, aangezien de malafide drivers al uit januari stammen.

De malware, die door Kaspersky Stuxnet is gedoopt, is sinds zijn ontdekking op meer dan 16.000 systemen aangetroffen. Het overgrote deel van deze systemen staat in India, Iran en Indonesië. Hoe de makers aan de Realtek-signatuur zijn gekomen is nog niet duidelijk. Gostev speculeert dat Realtek zijn driver-ontwikkeling mogelijk heeft uitbesteed in India, waar het certificaat vervolgens is uitgelekt. De drivers zouden mogelijk ook echt van Realtek afkomstig zijn en door de malware-makers zijn misbruikt om een rootkit te maken. Een aantal jaar terug bleek dat een drm-oplossing van Sony veel weghad van een rootkit. Op basis van deze Sony-drivers verscheen toen ook malware.

Volgens beveilingsexpert Frank Boldewin is de malware speciaal gemaakt om WinCC SCADA-systemen van Siemens aan te vallen. Hij zegt in de malware code te hebben gevonden die poogt een verbinding met de databases van dergelijke systemen te leggen. VirusBlokAda, het bedrijf dat de malware als eerste ontdekte, heeft met Realtek contact over de kwestie opgenomen, maar een antwoord is tot dusver uitgebleven.

Het doek voor Newzbin, een indexeringsdienst voor usenet, lijkt definitief gevallen. De website is niet langer in de lucht. De eigenaren zouden na het verlies van een rechtszaak niet kunnen voldoen aan een aantal opgelegde schadevergoedingen.

Newzbin, dat gebruikers tegen betaling toegang gaf tot verwijzende nzb-bestanden, verloor in maart een rechtszaak die door een aantal Hollywood-studio’s was aangespannen. De site was volgens de rechter schuldig aan copyrightschending. Daarna werd het stil rondom Newzbin, maar het definitieve einde van de indexeringssite is in zicht, zo meldt Deepsharer.

Volgens de weblog, die zich in eerste instantie baseert op informatie die het van een Newzbin-redacteur via irc ontving, kan Newzbin niet de 230.000 pond ophoesten die de MPA als directe schadevergoeding opeist. Daarnaast zou een software-ontwikkelaar meer dan 500.000 Britse ponden eisen. Inmiddels is ook de website van Newzbin gesloten en verwijst het opmerkelijk genoeg naar de posting van Deepsharer.

Het is volgens de blog niet ondenkbaar dat een op Newzbin gelijkende website zal opstaan. Volgens geruchten zou een deel van de code van de site en de database in handen zijn gekomen van een hacker. Newzbin heeft zelf altijd geweigerd om de broncode van zijn site vrij te geven.