Sasser-patch wijst hackers de weg
Geplaatst: 11 mei 2004, 12:18
In het kielzog van de Sasser-worm zouden weleens meer en ernstiger beveiligingsproblemen voor Microsoft kunnen volgen. Medewerkers van het computerbeveiligingsbedrijf IRM toonden tegenover journalisten van BBC hoe met een op internet breed beschikbaar stukje code gemakkelijk controle kan worden verkregen over Windows-servers, van bijvoorbeeld Microsoft zelf.
<img src="http://upload.userbase.be/upload/sasser_kl.jpg" align="left" width="120" height="100"> Het betreffende stukje code dook op internet op, kort nadat Microsoft zelf op 13 april met een reeks beveiligingspatches reageerde op de Sasser-worm. En het lijkt erop dat de makers ervan zich juist door die patches hebben laten inspireren tot het maken van een hackprogrammaatje dat gebruikmaakt van de ermee te dichten lekken. Het gaat met name om een kwetsbaarheid in de wijze waarop Windows Internet Information Server 5.0 beveiligde communicatie afhandelt. Na compilatie - met bijvoorbeeld Microsofts C++-compiler - kan het hackprogrammaatje onmiddellijk worden gebruikt om via internet de aanval op een server te openen. Het enige wat men hoeft te weten is het internetadres van de server, het 'nummer' van te gebruiken poort wordt binnen enkele minuten proefondervindelijk achterhaald.
Voor het vinden van servers onder ISS 5.0 kan de hacker desgewenst nog gebruikmaken van scan tools die eveneens te kust en te keur zijn te downloaden in het grijze circuit van internet. Potentiële doelen zijn dan snel gevonden, al was het maar doordat er zo veel zijn. Internetonderzoekbedrijf Netcraft schat dat zo'n 8,6 miljoen servers onder IIS 5.0 draaien. Sommige van deze servers zullen met behulp van de patches zijn beschermd, maar IRM acht het aannemelijk dat veel sites nog steeds kwetsbaar zijn.
<img src="http://upload.userbase.be/upload/tn_hacker1.jpg" align="right" width="112" height="120"> IRM's technisch manager Robinson uitte zijn verbazing dat de kwetsbaarheden niet de aandacht krijgen die de Sasser-worm kreeg. Deze viel aan op een verhoudingsgewijze weinig gangbare poort van Windows, "maar de afgeleide hacksoftware maakt gebruik van poorten die veel in gebruik zijn voor openbare diensten op internet." Netcraft rapporteert dat de beveiligde communicatiesystemen die kwetsbaar zijn voor de hacksoftware op tenminste 132 duizend servers draait. Een groot aantal daarvan wordt gebruikt door banken en financiële instellingen. Van de hacksoftware zijn inmiddels verschillende varianten in omloop. De variant die IRM demonstreerde blijkt al 15 duizend keer te zijn gedownload. De code is inmiddels verwijderd. De hacker die 'm maakte schrijft op z'n site: "Te veel risico dat kinderen over de wereld het voor slechte doelen gebruiken. Ik zag dat m'n oorspronkelijke bedoeling voor het publiceren van de code, het testen van beveiliging of patches, niet werkte."
Bron: BBC Radio
<img src="http://upload.userbase.be/upload/sasser_kl.jpg" align="left" width="120" height="100"> Het betreffende stukje code dook op internet op, kort nadat Microsoft zelf op 13 april met een reeks beveiligingspatches reageerde op de Sasser-worm. En het lijkt erop dat de makers ervan zich juist door die patches hebben laten inspireren tot het maken van een hackprogrammaatje dat gebruikmaakt van de ermee te dichten lekken. Het gaat met name om een kwetsbaarheid in de wijze waarop Windows Internet Information Server 5.0 beveiligde communicatie afhandelt. Na compilatie - met bijvoorbeeld Microsofts C++-compiler - kan het hackprogrammaatje onmiddellijk worden gebruikt om via internet de aanval op een server te openen. Het enige wat men hoeft te weten is het internetadres van de server, het 'nummer' van te gebruiken poort wordt binnen enkele minuten proefondervindelijk achterhaald.
Voor het vinden van servers onder ISS 5.0 kan de hacker desgewenst nog gebruikmaken van scan tools die eveneens te kust en te keur zijn te downloaden in het grijze circuit van internet. Potentiële doelen zijn dan snel gevonden, al was het maar doordat er zo veel zijn. Internetonderzoekbedrijf Netcraft schat dat zo'n 8,6 miljoen servers onder IIS 5.0 draaien. Sommige van deze servers zullen met behulp van de patches zijn beschermd, maar IRM acht het aannemelijk dat veel sites nog steeds kwetsbaar zijn.
<img src="http://upload.userbase.be/upload/tn_hacker1.jpg" align="right" width="112" height="120"> IRM's technisch manager Robinson uitte zijn verbazing dat de kwetsbaarheden niet de aandacht krijgen die de Sasser-worm kreeg. Deze viel aan op een verhoudingsgewijze weinig gangbare poort van Windows, "maar de afgeleide hacksoftware maakt gebruik van poorten die veel in gebruik zijn voor openbare diensten op internet." Netcraft rapporteert dat de beveiligde communicatiesystemen die kwetsbaar zijn voor de hacksoftware op tenminste 132 duizend servers draait. Een groot aantal daarvan wordt gebruikt door banken en financiële instellingen. Van de hacksoftware zijn inmiddels verschillende varianten in omloop. De variant die IRM demonstreerde blijkt al 15 duizend keer te zijn gedownload. De code is inmiddels verwijderd. De hacker die 'm maakte schrijft op z'n site: "Te veel risico dat kinderen over de wereld het voor slechte doelen gebruiken. Ik zag dat m'n oorspronkelijke bedoeling voor het publiceren van de code, het testen van beveiliging of patches, niet werkte."
Bron: BBC Radio