Nieuws

Microsoft hield patch achter voor bug die elke Windows-pc kan laten crashen

Microsoft heeft al twee maanden lang een patch klaar om een bug aan te pakken die alle Windows-versies kan laten crashen, maar wachtte met het uitrollen van de oplossing wegens praktische overwegingen.

Update (07/02/2017): in het oorspronkelijke artikel werd een SMB-server met het SMB protocol verward. Deze fout is rechtgezet.

Microsoft brengt binnenkort een patch uit voor een bug die het mogelijk maakt om eender welk Windows-systeem met een ‘link des doods’ te laten crashen. Informatie over de bug is echter vroegtijdig online gezet door de security-expert die de fout ontdekte, omdat hij vindt dat Microsoft te traag reageert. De technologiereus is al sinds september op de hoogte van de bug en heeft als sinds december een patch klaar, maar koos ervoor om de uitrol ervan uit te stellen.

Corrupt geheugen

De fout vloeit voort uit het feit dat Windows niet overweg kan met een serverinstructie die te veel bytes bevat; de kwetsbaarheid komt neer op een memory corruption bug. Het gaat specifiek om het SMB (Server Message Block)-protocol. Een hacker kan deze situatie exploiteren door een slachtoffer op een link te laten klikken die leidt naar een bestand dat gehost wordt op een malafide SMB-server. Elke Windows-versie is kwetsbaar voor deze bug, het resultaat is een blauw scherm des doods voor het slachtoffer. Laurent Gaffié, die de bug ontdekt en rapporteerde aan Microsoft, stelt in een e-mail aan The Register dat de fout kan misbruikt worden voor een denial-of-service-attack, maar niet om vanop afstand een computer over te nemen.

Verkeerde houding

Gaffié stelde Microsoft op 25 september 2016 op de hoogte van de fout, en kreeg te horen dat het bedrijf een patch zou uitrollen in december. Dat ging echter uiteindelijk niet door. Omdat het verschillende patches voor SMB-servers in één keer wilde uitrollen, besliste het bedrijf nadien om de update uit te stellen naar februari. De veiligheidsexpert is niet te spreken over die manier van werken.”Wanneer ze op een bug zoals deze zitten, helpen ze hun gebruikers niet maar doen ze aan schadebeperking voor hun imago, en aan opportunistische patch-updates, ” zegt Gaffié. “Deze houding is verkeerd voor hun gebruikers, en voor de veiligheidsgemeenschap in zijn geheel.” De onderzoeker plaatste een proof-of-concept van de exploit online op Github.

BeveiligingmicrosoftWindows

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600