Microsoft verhelpt groot driverlek in alle versies van Windows
Microsoft rolde gisteren zijn maandelijkse veiligheidspatches voor Windows uit. Een daarvan werkt een gevaarlijke kwetsbaarheid weg die aanwezig is in alle versies van het besturingssysteem, van Windows Vista tot later en inclusief Windows Server 2008. Een hacker die het lek exploiteerde via een man-in-the-middle aanval kan de controle over een computer verwerven en op afstand malware installeren of een account met volledige rechten aanmaken, zegt het bedrijf in het bijhorende security bulletin.
Het lek maakte het voor aanvallers mogelijk om een gans netwerk over te nemen met een nauwelijks te detecteren gerichte aanval. Hel lek in kwestie zat in de print spooler. Aanvallers konden het gebruiken om een systeem te infecteren met een zelfgemaakte driver zodra dat systeem contact zocht met een printer. Die driver kreeg na het infecteren uitgebreide privileges op het systeem, waarna het zich zonder problemen kon verspreiden over een netwerk.
Zwakke plek
De kwetsbaarheid, die bekend stond als cve-2016-3238, was des te gevaarlijker omwille van de vaak gebrekkige beveiliging van netwerkprinters. Die toestellen vormen zo een uitstekende aanvalsvector voor wie wil binnenraken op het netwerk van een bedrijf. Vaak volstaat het om het standaard-wachtwoord van de webinterface in te voeren, waarna een hacker lelijk huis kan houden.
Het was veiligheidsonderzoeker Nicolas Beauchesne van Vectra Networks die het lek ontdekte. Hij gaat dieper in op de kwetsbaarheid in een blogpost: “Normaal gezien zijn er User Account Controls aanwezig die een waarschuwing tonen of een gebruiker tegenhouden wanneer deze een nieuwe driver installeert. Om printen gemakkelijker te maken, werd er echter een uitzondering gecreëerd om deze controle te vermijden. Zo krijgen we uiteindelijk een mechanisme dat toelaat om uitvoerbare code te downloaden van een gedeelde drive, en als een systeem op een workstation [of een ander type computer, red.] te laten draaien zonder een waarschuwing te genereren aan de kant van de gebruiker. Vanuit het perspectief van een aanvaller is dit bijna te mooi om waar te zijn.”
Andere lekken
Als onderdeel van de maandelijkse updates verhelpt Microsoft het Windowslek nu, niet alleen voor Windows 10 maar ook voor oudere Windowsversies die eveneens getroffen werden. Verder komen ook minder kritieke lekken aan bord, onder andere voor Office. Ook daar zat een lek dat een hacker in het ergste geval kon uitbuiten voor het uitvoeren van zijn eigen code. De hacker moest daartoe een speciaal geïnfecteerd Worddocument in elkaar knutselen. Dat beveiligingsprobleem gaf de hacker toegang tot het systeem met dezelfde privileges als de gebruiker, wat aantoont dat het veilig is om dagelijks op de computer te werken als gewone gebruiker, en slechts als administrator in te loggen wanneer dat nodig is.
[related_article id=”180531″]Snel updaten
In Edge dicht Microsoft dan weer enkele gaten waarlangs een hacker opnieuw dezelfde rechten kon krijgen als de gebruiker. Ook Flash bleek opnieuw lek, al is dat intussen geen verrassing meer. Flash standaard uitschakelen is en blijft een verstandig idee.
Zoals altijd is het een goed idee om de updates zo snel mogelijk te installeren. Niet alleen Windows wordt zo veiliger, ook de Office-updates mag je niet uit het oog verliezen. De meest gebruikte vector voor het infecteren van systemen via Office is immers een lek waarvoor al meer dan drie jaar een patch bestaat.
