Amper een dag nadat Microsoft een van zijn grootste beveiligingsupdates ooit uitrolde, duikt er al een nieuw groot probleem op. Een anonieme beveiligingsonderzoeker heeft namelijk een nog niet gepatcht Windows-lek openbaar gemaakt, inclusief code waarmee aanvallers het probleem kunnen misbruiken.
De actie lijkt allesbehalve toevallig. De onderzoeker, die online actief is onder de naam Nightmare-Eclipse, voert al geruime tijd een opvallende strijd met Microsoft en lijkt niet van plan om daarmee te stoppen.
Het nieuwe lek kreeg de naam RoguePlanet en bevindt zich in Windows Defender. Volgens de onderzoeker maakt de kwetsbaarheid het mogelijk om verhoogde systeemrechten te verkrijgen op een Windows-computer. Daarmee zouden aanvallers in theorie diepgaande controle over een systeem kunnen krijgen.
Opvallend is dat Nightmare-Eclipse niet alleen details over de kwetsbaarheid heeft gedeeld, maar ook een proof-of-concept heeft gepubliceerd, zo meldt The Register. Die demonstratiecode toont hoe het lek kan worden uitgebuit. Volgens de onderzoeker werkt de aanval momenteel nog niet onder alle omstandigheden omdat ze afhankelijk is van een zogenaamde race condition. Daarbij proberen verschillende processen gelijktijdig toegang te krijgen tot dezelfde gegevens, wat tot onverwachte resultaten kan leiden.
Toch waarschuwt de onderzoeker dat de huidige beperkingen relatief eenvoudig kunnen worden weggewerkt. Met bijkomende aanpassingen zou de aanval volgens hem veel betrouwbaarder kunnen worden gemaakt. Hoewel hij die verbeteringen zelf niet publiek heeft gedeeld, ligt de weg voor kwaadwillenden daarmee grotendeels open. Dat maakt de situatie extra gevoelig. Er is momenteel namelijk nog geen beveiligingsupdate beschikbaar die het probleem verhelpt. Ook tijdelijke maatregelen om het risico te beperken zijn vooralsnog niet bekendgemaakt.
Het is niet de eerste keer dat Nightmare-Eclipse een Windows-kwetsbaarheid rechtstreeks openbaar maakt. Volgens verschillende bronnen is dit inmiddels al het zevende zero-daylek dat de onderzoeker publiceert, zonder Microsoft vooraf op de hoogte te brengen. Eerder verschenen onder meer de lekken RedSun, UnDefend, BlueHammer, GreenPlasma, MiniPlasma en YellowKey online. Verschillende daarvan werden later effectief misbruikt voordat Microsoft een oplossing kon uitrollen. De zes eerdere kwetsbaarheden zijn inmiddels wel gedicht via de grote beveiligingsupdate van juni.
Met RoguePlanet lijkt de strijd echter opnieuw te beginnen. De onderzoeker heeft bovendien aangegeven dat er nog meer kwetsbaarheden volgen. Volgens berichten plant hij op 14 juli, de datum van de volgende Patch Tuesday, de publicatie van wat hij omschrijft als “zijn zwaarste Windows-zeroday tot nu toe”.
Over de motieven achter de acties wordt druk gespeculeerd. Nightmare-Eclipse beweert dat hij in het verleden beveiligingslekken volgens de regels heeft gemeld, maar daarvoor nooit de erkenning of vergoeding kreeg waarop hij had gehoopt. Daarnaast circuleren er geruchten dat de onderzoeker een voormalige Microsoft-medewerker zou zijn. Daarvoor bestaat voorlopig geen bewijs, maar het zou volgens sommigen wel kunnen verklaren waarom hij zo’n diepgaande kennis van Windows lijkt te hebben.
Microsoft heeft de aanpak van de bughunter ondertussen scherp veroordeeld. Het bedrijf benadrukt dat verantwoord melden van kwetsbaarheden cruciaal blijft om gebruikers te beschermen. Door beveiligingslekken meteen openbaar te maken, krijgen cybercriminelen immers dezelfde informatie als beveiligingsonderzoekers, terwijl er nog geen oplossing beschikbaar is. Dat vergroot het risico op misbruik aanzienlijk.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
