Windows 10 zonder Creators Update ook vatbaar voor WannaCry-ransomware

Door , bron: Microsoft


Bij de gemiddelde IT'er is de brede ransomware-aanval van een paar weken terug vast nog bekend. WannaCry maakte gebruik van een aantal lekken in oudere Windows-versies. Bestanden werden ontoegankelijk gemaakt en als je ze terug wilde, dan diende je te betalen. Vele bedrijven werden slachtoffer, waarna systemen een tijdje lam lagen. Lang werd gezegd dat je met Windows 10 niet kwetsbaar was, maar Microsoft heeft zelf grondig onderzoek gedaan naar de gebruikte lekken, en kwam tot de conclusie dat Windows 10 wel degelijk kwetsbaar is als de Creators Update nog niet doorgevoerd is.

WannaCry maakt gebruik van de EternalRomance- en EternalBlue-kwetsbaarheden in de SMB-protocollen. In normale situaties wordt SMB alleen gebruikt in lokale netwerken, en zijn alle poorten van SMB ook afgesloten van contact met de buitenwereld. Werd een systeem binnen het lokale netwerk echter binnengedrongen vanuit een externe locatie, dan kon er kwaadaardige code gedraaid en verspreid worden, waarna het gehele lokale netwerk geïnfecteerd was met een backdoor in het SMB-protocol. Het gevolg is een nog grotere kwetsbaarheid en dus snellere verspreiding.

Het implementeren en draaien van de kwaadaardige code ging door middel van een buffer-overrun, geïnitieerd door het veranderen van zogenaamde function pointers die functies oproepen binnen code. Bij het converteren van zogenaamde extended attributes konden bepaalde waarden vervolgens groter worden dan de 16-bit waarde van de buffer. Het systeem zag de buffer echter nog steeds als 16-bit waarde, terwijl alles boven de 16-bits - kwaadaardige code - achterbleef om uitgevoerd te worden in de buffer gebruikt door de hardware abstraction layer. In Windows 7 was deze geheugenregio nog beschrijfbaar en uitvoerbaar, waardoor de kwaadaardige code zijn gang kon gaan. Op nieuwere systemen is dit deel alleen uit te lezen, wat het probleem deels oplost, maar niet geheel. Oudere Windows 10-versies zijn immers nog steeds kwetsbaar.

Wat Microsoft in de Creators Update toegevoegd heeft, is een extra optie bij het compilen van de kernel-code. Control Flow Guard moet de code nalopen op corrupte function pointers en indirecte calls naar code, waardoor kwetsbaarheden in een bredere zin minder voor zouden moeten komen, omdat de kernel minder mogelijkheden biedt tot het injecteren van eigen code. Ook voorkomt het met andere functies dat data uitgevoerd wordt met invloed op de kernel.

Voor de liefhebber is er nog het gehele onderzoek dat Microsoft online gezet heeft, waarvoor uiteraard wat kennis van zake nodig is om het geheel te snappen. De conclusie van het bedrijf uit Redmond is in ieder geval dat systemen vanaf de Creators Update niet meer kwetsbaar zijn voor WannaCry en in het geheel veiliger zijn.


Dossier

Vandaag in het nieuws

*