15 jaar oude ontwerpfout in Windows maakt bedrijfspc’s kwetsbaar

. © ThinkStock
Pieterjan Van Leemputten

Microsoft brengt een patch uit die een vijftien jaar oude fout oplost. Die maakt het mogelijk om in de juiste omstandigheden zakelijke computers over te nemen.

Het probleem dat intussen bekend staat als Jasbug treft Windows-toestellen (en servers) die door een bepaald domein (zoals het bedrijfsnetwerk) worden beheerd en daar verbinding mee willen maken. Als de pc verbinding maakt met een netwerk dat door een aanvaller wordt misbruikt, dan kan dat leiden tot een volledige overname van het systeem, inclusief het installeren van software en het bekijken of bewerken van bestanden.

De fout, die door Microsoft als ‘kritiek’ wordt omschreven treft zowat alle actieve versies van Windows: Server 2003, Vista, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 7, Windows 8, 8.1, RT en RT 8.1. Mogelijk worden ook oudere systemen (zoals Windows XP) getroffen want de fout bestaat al sinds 2000, maar werd pas een jaar geleden ontdekt. De update die het probleem oplost zit verwerkt in het Patch Tuesday pakket.

Active Directory

De kern van het probleem zit bij Active Directory langs de kant van de gebruiker. In praktijk komt het er op neer dat een laptop niet genoeg controles uitvoert wanneer er verbinding wordt gemaakt met een netwerk. Dat maakt het mogelijk om het domeinnaamsysteem (DNS) te misbruiken. Vervolgens wil je naar een website surfen, maar door misbruik van DNS kan een hacker je naar een andere website studeren van waar malware en ander onfris materiaal zich kan verspreiden.

Zo’n aanval waarbij de aanvaller tussen de gebruiker en het echte internet zit noemen we een man-in-the-middle aanval. Om die reden is misbruik vooral mogelijk wanneer je met een bedrijfslaptop verbinding met het bedrijfsnetwerk via een gewone internetverbinding (buiten het bedrijfsterrein). Bijvoorbeeld op hotel of in een tankstation.

Al een jaar bezig

Jasbug werd al in januari 2014 ontdekt toen bedrijven JAS Global Advisors en simMachines enkele technische zaken onderzochten voor ICANN (dat de toplevel domeinnamen beheert). Dit rond de uitrol van generische TLD’s zoals .brussels, .travel enz… Door big data analytics op een aantal datasets los te laten ontdekte beide bedrijven ongewone patronen waardoor technische experts op de kwetsbaarheid uitkwamen.

Kort nadien werd Microsoft ingelicht al kostte het een jaar om de 15 jaar oude fout recht te zetten. Dat komt omdat het om een ontwerpfout gaat en niet om een implementatieprobleem. Ook moest het bedrijf de oplossing compatibel maken met verschillende systemen waarbij cruciale onderdelen opnieuw ontworpen moesten worden, aangevuld met een reeks testen om te voorkomen dat een update meer schade dan goeds zou veroorzaken.

Altijd te misbruiken?

Hoewel alle bedrijfspc’s, of toch zij die verbinding maken met een specifiek domein, kwetsbaar zijn, vereist succesvol misbruik van het probleem wel een specifieke misconfiguratie van het systeem. Maar die komt volgens JAS Global Advisors vaak genoeg voor om de zaak zeer ernstig te nemen.

Om het probleem op te lossen heeft Microsoft een KB-artikel vrijgegeven. De oplossing omvat een nieuw onderdeel in Active Directory (zowel clients als server) die netwerkbeheerders correct moeten configureren.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content