Microsofthater (?) publiceert wekelijks kwetsbaarheden in Windows

Geplaatst op door
Een oude kwetsbaarheid in Windows werkt nog steeds

De fout cve-2020-17103 werd al in 2020 ‘gerepareerd’, maar werkt nog steeds (afb: Microsoft)

Het lijkt er op dat een webpiraat die zich tooit met de schuilnaam Nightmare-Eclipse, uit ongenoegen met Microsoft of in opdracht sinds begin april zowat elke week een kwetsbaarheid publiceert in het Windows-bouwwerk. Hij begon op 3 april met een lek in Microsoft Defender, dat aangeduid wordt met BlueHammer. Daarna volgden RedSun, en Undefend (in Defender), YellowKey (in BitLocker), GreenPlasma (in de CTFMON-dienst) en MiniPlasma (in de OneDrivesynchronisator). Slechts voor een van de kwetsbaarheden heeft Microsoft een ‘pleister’ uitgebracht. Volgens beveiligingsonderneming Barracuda zou de Microsoft-vijand banden hebben met Rusland.
MiniPlasma zou de meest intrigerende zijn van de zes zijn. Die kwetsbaarheid bevindt zich in het cldflt.sys-kernelstuurprogramma, de component die de ‘Bestanden op aanvraag’-functionaliteit van OneDrive beheert, de ‘wolk’ van Microsoft. Wanneer een gebruiker een gesynchroniseerd bestand opent, vervangt dit stuurprogramma de lege schil door de daadwerkelijke gegevens die uit de ‘wolk’ zijn binnengehaald.
De kwetsbaarheid maakt gebruik van een snelheidsconditie: twee gelijktijdige bewerkingen concurreren om toegang tot dezelfde bron. Misbruik is mogelijk door het stuurprogramma te dwingen registersleutels te schrijven in een gebied dat is gereserveerd voor het beheerdersprofiel, waarna een legitiem proces wordt omgeleid om code uit te voeren met de hoogste bevoegdheden.
Deze kwetsbaarheid werd al in september 2020 aan Microsoft gemeld door James Forshaw van Google Project Zero (Google’s team voor het opsporen van grote kwetsbaarheden), onder referentie CVE-2020-17103. In december 2020 werd een ‘pleister’ uitgebracht. De oorspronkelijke misbruikcode schijnt echter nog steeds te werken, zonder enige aanpassing, op een Windows 11-systeem dat in mei 2026 is bijgewerkt. De ‘pleister’ schijnt in een later Windowsversie op onverklaarbare manier te zijn verdwenen.

BlueHammer

Van de zes kwetsbaarheden is alleen voor BlueHammer een ‘pleister’ gekomen (14 april 2026). Voor YellowKey, dat BitLocker-versleuteling omzeilt, adviseert Microsoft sinds 19 mei om over te schakelen van “alleen TPM”-authenticatie (standaardinstelling) naar “TPM + pincode”. Voor de andere vier, waaronder MiniPlasma, is geen herstel beschikbaar.

Bron: Futura-Sciences

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.