De Threat Analysis-groep van Google heeft gisteren een grote kwetsbaarheid in Windows bekend gemaakt, via een blogpost. Via deze kwetsbaarheid kunnen aanvallers uit de sandbox – een mechanisme waarmee programma’s apart worden gedraaid, mochten ze gevaarlijk zijn – kunnen komen en je systeem in. Microsoft zou zelf nog geen patch hebben.
De kwetsbaarheid zit in een fout in het win32k-systeem. Via daar komen aanvallers de sandbox dus uit. Met een sandbox worden regelmatig programma’s die je niet vertrouwd of nog niet getest zijn gedraaid. Op die manier is er geen schade voor je gehele machine of besturingssysteem mocht de software toch gevaarlijk zijn. Daardoor kunnen hackers niet zomaar je systeem binnenkomen via malware in een programma. Maar met deze bug kunnen ze de beveiliging omzeilen.
Om gebruik te maken van de bug, moeten aanvallers ook gebruikmaken van een exploit in Adobe Flash. Adobe heeft hier al een patch voor uit gebracht, maar de kans is groot dat nog niet iedereen die heeft geïnstalleerd. Probleem is dat nu de exploit bekend is, hackers wel gaan zoeken naar mensen die Flash nog niet geüpdatet hebben. Google raadt dan ook aan om te controleren of je Flash al geüpdatet hebt als je een auto-updater hebt, en zo niet, dit handmatig te doen.
Bekendmaking
Google maakt een kwetsbaarheid in de systemen van een ander en zichzelf pas minimaal zeven dagen nadat ze het bij het bedrijf gemeld hebben bekend. Op die manier kunnen bedrijven het lek eerst dichten, zodat criminelen geen kans hebben om er gebruik van te maken als het openbaar wordt. In dit geval wachtte de internetgigant tien dagen.
Maar Microsoft heeft dus nog geen patch, waardoor hackers over de gehele wereld er nu vanaf weten en hiermee kunnen aanvallen. Google bestempelt de kwetsbaarheid dan ook als kritiek en het zou al actief worden gebruikt. Daarentegen geeft Google wel alleen een korte en algemene beschrijving van de kwetsbaarheid, zodat hackers het niet na kunnen doen via hun website. Overigens heeft Google zelf al wel een patch uitgebracht voor Chrome.
Microsoft geeft tegenover VentureBeat flink wat kritiek over de bekendmaking van de kwetsbaarheid. “Het bericht van Google kan klanten mogelijk in gevaar brengen”, aldus een woordvoerder. “We raden klanten aan om Windows 10 en Microsoft Edge te gebruiken voor de beste bescherming.”