Zero-day lek in Windows maakt uitvoeren van willekeurige code mogelijk

Aanvallers kunnen de Page-Combining functionaliteit van Windows 8.1 en Windows 10 in combinatie met de rowhammer kwetsbaarheid van DRAM misbruiken om willekeurige code uit te voeren op systemen van doelwitten. Ook kunnen aanvallers via de aanval gevoelige informatie buitmaken. Het gaat om een zero-day lek, waar op dit moment geen oplossing voor is.

Hiervoor waarschuwt het Nationaal Cyber Security Centrum (NCSC) in een beveiligingsadvies.De aanval is ontdekt door Herbert Bos, hoogleraar systeem- en netwerkbeveiliging bij de Vrije Universiteit Amsterdam (VU). Bos doet zijn verhaal tegenover BNR Nieuwsradio en stelt dat de aanval met behulp van JavaScript kan worden uitgevoerd in de webbrowser Edge, waardoor op afstand willekeurige code kan worden uitgevoerd. Hiervoor moet het slachtoffer overigens wel eerst worden verleid een malafide website te bezoeken.

Page-Combining

Page-Combining is een techniek waarin twee of meer geheugenblokken (pages) met dezelfde inhoud worden gededupliceerd tot een geheugenblok. Door gebruik te maken van de al langer bekende rowhammer techniek kan een aanvaller bits in het geheugen manipuleren. Deze kwetsbaarheid doet zich voor bij sommige recente DRAM apparaten. Bij rowhammer wordt een geheugenblok meerdere keren aangesproken, waardoor bits kunnen ‘flippen’ naar een ander geheugenblok.

De feature Page-Combining is niet alleen onderdeel van Windows 8.1 en Windows 10, maar ook van Windows Server 2012 R2. In de consumentenbesturingssystemen staat de functie standaard ingeschakeld, terwijl dit bij Windows Server 2012 R2 niet het geval is. Gebruikers van Windows Server 2012 R2 lopen dan ook alleen risico slachtoffer te worden van deze aanval indien zij Page-Combining aanzetten.