Windows kwetsbaar en dit is geen geheim aan iedereen. Echter, Windows kwetsbaarheden worden niet zo vaak besproken als ze zouden moeten zijn. Enkele maanden geleden, we u geïnformeerd over een bepaalde exploit in Windows 10 bekend als de Multihandler exploiteren.
Meer informatie over Windows’ Kwetsbaarheden:
Silverlight Zero-Days Exploits
De ATP-service van Microsoft is gebrekkig
The Hot Potato Exploit
Nu, onderzoekers van Foxglove Security hebben een andere zwakke plek in Windows onthuld die bijna alle nieuwste versies beïnvloedt. De exploit wordt Hot Potato genoemd en is ontdekt door een reeks bekende beveiligingsfouten in Windows samen te stellen.
De exploit zelf is gemaakt op basis van een proof-of-concept-code die is vrijgegeven door Google's Project Zero in 2014. Het onderzoeksteam van The Foxglove heeft hun bevindingen gepresenteerd op de website van ShmooCon-beveiligingsconferentie onlangs gehouden in Washington. De onderzoekers hebben ook de code van Hot Potato gedeeld op GitHub.
Wat heel alarmerend is aan Hot Potato, is dat het kan worden geactiveerd door drie soorten aanvallen waarover werd onthuld 15 jaren geleden, in 2000. Met andere woorden, alle kwetsbaarheden die deelnemen aan Hot Potato zijn niet gepatcht.
Is er enige uitleg gegeven door Microsoft? Gewoon een vreemde opmerking dat het patchen van de beveiligingsfouten de compatibiliteit tussen de verschillende versies van Windows zou hebben verbroken.
De kwetsbaarheden van Hot Potato Exploit
Zoals uitgelegd door Softpedia, de drie kwetsbaarheden die Hot Potato vertegenwoordigen zijn:
- Een zeer effectieve lokale NBNS (NetBIOS-naamservice) spoofing techniek;
- Een kwetsbaarheid waardoor kwaadwillende actoren een nep-WPAD kunnen opzetten (Web Proxy Auto-Discovery Protocol) proxy server;
- Een aanval op het Windows NTLM-verificatieprotocol.
De aanvalsscenario's van Hot Potato
Onderzoekers zijn van mening dat het één voor één gebruiken van de drie exploits enkele minuten tot enkele dagen kan duren. Echter, als hun pogingen succesvol zijn, ze kunnen de machtigingen van apps verhogen tot privileges op systeemniveau.
Het ergste is dat de onderzoekers erin zijn geslaagd de volgende versies van het besturingssysteem te doorbreken:
- Windows 7;
- Windows 8;
- Windows 10;
- Server 2008;
- Server 2012.
De juiste mitigatietechnieken moeten nog worden onderzocht. Echter, onderzoekers zeggen dat het inschakelen van de Windows ' Uitgebreide bescherming voor authenticatie zou een einde moeten maken aan de laatste fase van Hot Potato.