Alle recente versies van Windows bevatten een ernstige bug in de ssl/tls-software, heeft Microsoft bekendgemaakt. De bug laat een aanvaller eigen code uitvoeren door geprepareerde pakketten naar een server te sturen.

Servers die op Windows draaien zijn daarom het meest in gevaar voor de kwetsbaarheid, maar de kwetsbaarheid kan ook desktops en laptops treffen. Dat kan als ze software draaien die op een port luistert, bijvoorbeeld een ftp-server of de web-interface van een torrent-client.

Microsoft heeft weinig details bekendgemaakt over de bug, anders dan dat de aanvaller eigen code kan uitvoeren door geprepareerde pakketten naar een server te sturen. Het is niet duidelijk met welke rechten een aanvaller eigen code kan uitvoeren. Mogelijk hangt dat af van de rechten van het proces waarnaar de pakketten worden gestuurd. Als een aanvaller geen beheerdersrechten heeft, zou hij die kunnen verkrijgen met behulp van een andere kwetsbaarheid.

Microsoft heeft op zijn traditionele patchronde op de tweede dinsdag van de maand een patch uitgerold voor de bug. Volgens de softwaregigant zijn er geen aanwijzingen dat de bug in de praktijk is misbruikt. Een beveiligingsonderzoeker heeft het lek ontdekt. Nu de kwetsbaarheid overigens wel in de openbaarheid is, is de kans groot dat aanvallers hem zullen proberen te misbruiken.

De ssl/tls-implementatie van Microsoft, Schannel, is de nieuwste grote ssl/tls-implementatie die dit jaar met een kwetsbaarheid kampt. Eerder kampte de implementatie van Apple met de goto fail-bug, waardoor de inhoud van ssl-verkeer was te implementeren, en kon via de Heartbleed-bug in OpenSSL het interne geheugen van een webserver worden uitgelezen. Chrome en Firefox accepteerden verder valse ssl-certificaten, terwijl GnuTLS dit jaar twee keer lek was.

Bron: Tweakers.net