Windows 10 S wel kwetsbaar voor ransomware
Windows 10 S, de nieuwe afgeschermde editie van Windows 10, is ook kwetsbaar voor ransomware. Een beveiligingsonderzoeker slaagde er na drie uur proberen in om het OS succesvol te infecteren met een aanval die hackers in principe kunnen repliceren.
Microsoft positioneerde het besturingssysteem nochtans als een veiligere editie van het klassieke Windows 10. De S-versie van Windows draait enkel applicaties die beschikbaar zijn in de Store van Microsoft. Die cureert het bedrijf uit Redmond zelf. Ook toepassingen zoals de opdrachtprompt en PowerShell zijn uitgeschakeld. Beide zijn handig voor administrators die krachtige commando’s willen uitvoeren, maar hun potentieel wordt vaak misbruikt door hackers.
Doordat Windows 10 S enkel applicaties draait die vooraf door Microsoft zijn goedgekeurd, en het onmogelijk is om software van het internet te installeren, claimt de Windows-bouwer dat het OS veiliger is voor de eindgebruiker dan klassieke versies van Windows 10. Op de achtergrond van de Wannacry-ransomware-aanval maakte Microsoft zich sterk dat Windows 10 S immuun is voor alle bekende ransomware.
‘Bekende’ blijkt het operatieve woord. Beveiligingsexpert Matthew Hickey slaagde er in opdracht van ZDNet.com in om zichzelf administratorprivileges op een Windows 10 S-systeem te verschaffen. Vervolgens kon hij de beveiliging omzeilen en ongehinderd eigen code draaien. Hickey’s methode was redelijk omslachtig, maar toont aan dat zelfs een ommuurd besturingssysteem als Windows 10 S kwetsbaar is.
Infectiemethode
Concreet maakte hij een geïnfecteerd Word-document met daarin een macro. Die macro was in staat om een bestaand DLL-bestand te injecteren met eigen code. Op die manier kon Hickey zelfgeschreven code uitvoeren zonder langs de Windows Store te passeren. Het DLL-bestand en het bijhorende proces waren immers in niet-geïnfecteerde vorm als veilig bestempeld door de beveiliging in Windows 10 S.
Via de geïnjecteerde code kon de onderzoeker Metasploit binnenhalen: een softwarepakket waarmee hij kwetsbaarheden kon detecteren. Via Metasploit kreeg hij vanop afstand toegang tot het systeem. Door opnieuw code te injecteren, deze keer in een DLL-bestand op systeemniveau, kon Hickey vervolgens een consolevenster openen met administratorprivileges. Vanaf dat punt had hij het systeem in handen en kon hij alles installeren, inclusief ransomware.
De aanval vereist dat het initiële bestand met de malware-macro aan boord van een vertrouwde bron komt. Vervolgens moet de gebruiker na het openen van het Office-document de gele balk wegklikken waarin staat te lezen dat macro’s zijn uitgeschakeld. Die gele balk wordt al te vaak argeloos weggeklikt door gebruikers, waardoor een dergelijke aanval ook op klassieke Windows-systemen populair is bij hackers.
Komt het Word-document via een mail of een usb-stick binnen, dan is de beveiliging strakker. In dat geval moet de gebruiker zelf naar de eigenschappen van het document gaan en aanvinken dat Microsoft het mag draaien. Dat vereist een doelgerichte aanpak van eventuele hackers en voorkomt een grootschalige verspreiding van malware zoals bij Wannacry.
Veilig, niet immuun
Microsoft claimt in een reactie dat Windows 10 S ten tijde van het statement over ransomware inderdaad immuun was voor gekende aanvallen. “We houden er rekening mee dat er constant nieuwe aanvallen de kop opsteken”, klinkt het. “Daarom zijn we vastberaden om de actuele dreigingen te monitoren en samen te werken met beveiligingsonderzoekers.”
Hoe onbekend de aanval van Hickey was, kan je over discussiëren. Geen van de technieken die hij inzette, maakte gebruik van een onbekend lek. Het blijft natuurlijk wel waar dat de afgesloten omgeving van Windows 10 S een significante extra beveiligingslaag biedt tegenover andere versies van Windows, zei het in ruil voor flexibiliteit. De aanval toont eerder aan dat niets onkraakbaar is, zelfs niet Windows 10 S.
In bedrijfsomgevingen geeft Windows dat zonder schroom toe. Daarom is de Enterprise-versie van het OS uitgerust met tal van extra features die beheerders de kans geven in te grijpen wanneer malware dan toch eens over de omwalling raakt.