Gefrustreerde bughunter neemt wraak op Microsoft en gooit gevaarlijk Windows-lek online
Microsoft bracht afgelopen dinsdag nog een bomvolle Patch Tuesday-update uit. Daarin zaten ruim tweehonderd beveiligingspatches, waarvan zes voor zeer ernstige lekken. Maar de techgigant kan direct weer aan de bak. Er ligt namelijk alweer een nieuw, ernstig beveiligingslek op straat, inclusief concrete instructies om er misbruik van te maken.
RoguePlanet zet Windows Defender buitenspel
Het lek is ontdekt door de bughunter die online de naam Nightmare-Eclipse gebruikt. Het gaat om een kwetsbaarheid in Windows Defender die de naam RoguePlanet heeft meegekregen. Techmedium The Register ontdekte dat de onderzoeker ook meteen een zogenaamde proof-of-exploitcode heeft gepubliceerd.
Met dat RoguePlanet-lek kunnen kwaadwillenden diepgaande systeemrechten binnen Windows verkrijgen. De bughunter geeft wel aan dat zijn code op dit moment nog niet in honderd procent van de gevallen vlekkeloos werkt. Het lek leunt namelijk op een zogeheten race condition. Dit is een situatie waarin verschillende processen of threads tegelijkertijd dezelfde gedeelde data proberen op te halen, waardoor applicaties onvoorspelbaar gedrag gaan vertonen.
In zulke specifieke scenario’s kan de code worden ingezet om een aanval succesvol uit te voeren. Met een paar gerichte aanpassingen is het bovendien mogelijk om de aanval áltijd te laten slagen, waarschuwt de ontdekker. Nightmare-Eclipse gaat die aanpassingen zelf niet doorvoeren, maar de boodschap is duidelijk: cybercriminelen krijgen hier een kant-en-klare kans in de schoot geworpen.
Dat zo’n zeroday open en bloot op internet staat, is al gevaarlijk genoeg. Maar met de gedetailleerde uitleg over hoe je het lek actief kunt misbruiken, is de kans ontzettend groot dat hackers hier direct mee aan de haal gaan. Wat het nog erger maakt: er is op dit moment nog geen enkele (tijdelijke) oplossing of fix beschikbaar om de kwetsbaarheid te dichten.
De zevende klap voor Microsoft
Inmiddels is het al de zevende keer dat Nightmare-Eclipse een zerodaylek in Windows onthult zonder Microsoft eerst vertrouwelijk in te lichten. Eerder deelde de hacker ook al exploitcode voor drie andere zerodays (RedSun, UnDefend en BlueHammer), die vervolgens ook actief zijn misbruikt door kwaadwillenden. Daarnaast bracht dezelfde hunter eerder de lekken GreenPlasma, MiniPlasma en YellowKey aan het licht.
Die voorgaande zes beveiligingslekken zijn met de grote beveiligingsronde van juni inmiddels allemaal dichtgeplakt. Nu begint het hele liedje dus weer van voor af aan, en het einde is nog niet in zicht. Nightmare-Eclipse claimt namelijk dat hij nog lang niet klaar is. Op 14 juli – niet geheel toevallig de dag van de volgende Patch Tuesday – is de hunter van plan om de zwaarste zerodaykwetsbaarheid tot nu toe te publiceren.
Wraakactie van een ex-medewerker?
Microsoft keurt de werkwijze van de bughunter openlijk af. Normaal gesproken horen onderzoekers dit soort kwetsbaarheden via de officiële kanalen te melden, zodat een techbedrijf de tijd krijgt om een update te bouwen voordat het lek bekend wordt. Nightmare-Eclipse lapt die ongeschreven regels echter bewust aan zijn laars.
Daar lijkt ook een duidelijke reden voor te zijn: hij claimt dat hij in het verleden wel netjes lekken heeft doorgegeven, maar daar nooit erkenning of financiële beloning voor heeft ontvangen. Inmiddels gaan ook hardnekkige geruchten rond dat de bughunter geen gewone buitenstaander is. Het zou gaan om een gefrustreerde ex-medewerker van Microsoft, die door zijn verleden over diepgaande insider-kennis van de Windows-architectuur beschikt.
