Windu.be Blog

Microsoft gaat maandag een noodpatch uitbrengen voor alle Windows-systemen. Die patch moet een lek dichten in de wijze waarop Windows omgaat met snelkoppelingen. Ondanks werd een exploit gevonden voor dat lek.

De malware die gebruik maakt van de kwetsbaarheid kan een pc makkelijk besmetten, zo bleek met de Stuxnet-exploit. Gebruikers die een besmette usb-stick openen in Explorer of een andere filemanager die iconen van .lnk-bestanden toont, zijn al vatbaar voor de malware. Dat komt door de manier waarop Windows met .lnk-bestanden omgaat. Die bestanden zijn snelkoppelingen naar andere bestanden.

De patch komt uit voor Windows XP, Windows Vista en Windows 7, net als voor diverse edities van Windows Server. Hoewel Microsoft de .lnk-kwetsbaarheid niet bij name noemt, vermoedt Threatpost dat het gaat om de kwetsbaarheid die twee weken geleden opdook.

Microsoft brengt de patch uit los van ‘patch tuesday’, waarin het softwarebedrijf normaalgesproken kwetsbaarheden in Windows dicht. Dat komt omdat Microsoft het ziet als gevaarlijk lek, waarbij er kans bestaat dat het op grote schaal wordt misbruikt voor de volgende ‘patch tuesday’. De Stuxnet-malware werd aangetroffen op ongeveer 16.000 systemen en had bovendien een legitieme Realtek-signatuur, al was die verlopen.

Er is malware opgedoken die gebruikmaakt van een niet eerder beschreven lek in Windows. Wat verder opvalt, is dat de rootkit-drivers die onderdeel van de malware zijn een certificaat van het bedrijf Realtek dragen.

De malware werd onlangs ontdekt door een antivirusbedrijf uit Wit-Rusland en maakt gebruik van een fout in de manier waarop Windows .lnk-bestanden verwerkt, zo meldt Security.nl. Gebruikers die een besmette usb-stick openen in Explorer of een andere filemanager die iconen van .lnk-bestanden toont, zijn al vatbaar voor de malware. De malware hanteert niet de veelgebruikte methode om via een autorun.inf-bestand ongevraagd processen te starten. Ook Windows 7 met alle nieuwste updates zou vatbaar zijn voor de exploit.

Als de malware wordt uitgevoerd, installeert deze twee verschillende rootkit-drivers die code in systeemprocessen kunnen injecteren. Het opmerkelijke aan deze drivers is dat ze met een certificaat van hardwarefabrikant Realtek zijn ondertekend. Volgens Alexander Gostev van Kaspersy Labs is de signatuur legitiem, al is deze op 12 juni jongstleden verlopen. Mogelijk is dat ook de reden dat de malware nu pas is ontdekt, aangezien de malafide drivers al uit januari stammen.

De malware, die door Kaspersky Stuxnet is gedoopt, is sinds zijn ontdekking op meer dan 16.000 systemen aangetroffen. Het overgrote deel van deze systemen staat in India, Iran en Indonesië. Hoe de makers aan de Realtek-signatuur zijn gekomen is nog niet duidelijk. Gostev speculeert dat Realtek zijn driver-ontwikkeling mogelijk heeft uitbesteed in India, waar het certificaat vervolgens is uitgelekt. De drivers zouden mogelijk ook echt van Realtek afkomstig zijn en door de malware-makers zijn misbruikt om een rootkit te maken. Een aantal jaar terug bleek dat een drm-oplossing van Sony veel weghad van een rootkit. Op basis van deze Sony-drivers verscheen toen ook malware.

Volgens beveilingsexpert Frank Boldewin is de malware speciaal gemaakt om WinCC SCADA-systemen van Siemens aan te vallen. Hij zegt in de malware code te hebben gevonden die poogt een verbinding met de databases van dergelijke systemen te leggen. VirusBlokAda, het bedrijf dat de malware als eerste ontdekte, heeft met Realtek contact over de kwestie opgenomen, maar een antwoord is tot dusver uitgebleven.

Gebruikers van Windows XP en Vista kunnen hun upgrade naar Windows 7 nog enige tijd uitstellen. Voorheen gold de introductie van het eerste service pack voor Windows 7 als laatste mogelijkheid om naar eerdere versies te downgraden.

Microsoft heeft gebruikers van zijn besturingssystemen de mogelijkheid geboden naar eerdere versies van Windows te downgraden. Zo kunnen beheerders van computerparken in bedrijven werken met slechts één besturingssysteem in plaats van verschillende wanneer nieuwe pc’s worden aangeschaft. Bij de introductie van Microsofts nieuwste besturingssysteem, Windows 7, zouden klanten tot zes maanden na de introductie van het besturingssysteem naar Windows XP of Vista kunnen downgraden. Die termijn werd uitgebreid tot 18 maanden na de introductie, of tot de release van het eerste service pack voor Windows 7.

De deadline voor een upgrade naar Windows 7 van het computerpark is nu opnieuw uitgesteld, zo schrijft Microsoft-woordvoerder Brandon LeBlanc in een blog-posting. In de herziene product lifecycle kunnen gebruikers gedurende de hele Windows 7-lifecycle naar Windows XP of Vista downgraden. Dat zou betekenen dat de oude besturingssystemen kunnen worden gebruikt tot 2020; dan zou de zogeheten extended support voor Windows 7 eindigen. Microsoft zegt de downgrade-mogelijkheid te hebben verlengd met het oog op een uniformer beleid.

Alleen systeembouwers kunnen van de verlengde downgrade-mogelijkheid gebruikmaken, omdat de regel geldt voor oem-versies van Windows 7 Professional en Ultimate. Overigens mogen fabrikanten Windows XP Professional of Home per oktober 2011 niet langer op respectievelijk pc’s en netbooks voorinstalleren en mag Vista vanaf die datum evenmin op pc’s worden voorgeïnstalleerd. Gebruikers mogen na die datum uiteraard nog wel zelf een eerdere versie van Windows met hun Windows 7-licentie installeren. De retailverpakkingen van XP en Vista mogen tot 22 oktober 2010 worden verkocht.

De ondersteuning voor Windows XP zal overigens niet tot 2020 voortduren. De ondersteuning voor Service Pack 2 van Windows XP eindigt op 13 juli 2010. Windows XP met service pack 3 wordt tot april 2014 ondersteund. Tegelijk met de aankondiging over het uitstel van de downgrade-mogelijkheid naar Windows XP en Vista, en het eind van de XP SP2-support, komt de aankondiging dat de bèta’s voor service packs 1 voor Windows 7 en Windows Server 2008 R2 beschikbaar zijn.