Chinese hackers publiceren broncode Windows-worm

Massale aanval mogelijk volgens beveiligingsexperts

28 juli 2003 | Jeff Ronge Een groep hackers heeft code waarmee een wijdverspreid lek in Windows is te misbruiken online gepubliceerd. Beveiligingsexperts waarschuwen voor de mogelijkheid van een massale worm-aanval.

Afgelopen vrijdag stuurden hackers van de Chinese XFocus-groep de broncode naar verschillende publieke mailinglijsten. De code is ontworpen voor een programma waarmee een aanvaller toegang kan krijgen tot Windows-systemen.

Het lek wordt door beveiligingsexperts omschreven als één van de meest wijdverspreide in het Windows-besturingssysteem. "Een 'exploit' (het programma, red.) als deze is makkelijk om te bouwen tot een worm", stelt Marc Maiffret, chief hacking officer bij eEye Digital Security, specialist in netwerkbeveiliging. "Het zou me niet verbazen als we op korte termijn een worm zien opduiken", voegt Maiffret toe.

Maiffret en een aantal van zijn collega'se maken zich zorgen aangezien deze week de Defcon-hackersconferentie in Las Vegas op het programma staat. Een kwaadwillende hacker zou dit evenement kunnen gebruiken als podium voor de creatie en publicatie van een worm.

In januari 2003 verspreidde de Slammer-worm zich wereldwijd over zakelijke netwerken, waardoor databases werden uitgeschakeld, pinautomaten dienst weigerden en sommige luchtvaartmaatschappijen zich genoodzaakt zagen vluchten te schrappen. Zes maanden eerder gaf een onderzoeker de code prijs waarmee het grote lek in Microsofts SQL was te misbruiken.

Maiffret heeft ook aan den lijve ondervonden hoe de publicatie van een lek kan leiden tot de creatie van kwaadaardige code. In juni 2001 maakte zijn bedrijf een lek bekend in een component van Microsofts web server-software. Een maand later werd deze kwetsbare plek gebruikt als verspreidingsmiddel voor de Code Red-worm.

Jeff Jones, senior director van Microsofts Trustworthy Computing-initiatief, verklaart: "Wij geloven dat de publicatie van een exploit in gevallen als deze bedrijven niet helpt hun systemen eerder te beveiligen, zoals sommigen beweren." Jones vertelde verder dat Microsoft de identiteit van de schrijver van een eventuele worm wellicht gaat achterhalen om de boosdoener gerechtelijk te vervolgen. "Het publiceren van de code is op zich niet illegaal, maar de code bewust gebruiken om schade aan te richten is een misdaad".

De details van de kwetsbare plek zijn op 16 juli bekend gemaakt door Microsoft. De fout zit in de component van Windows die andere computers toestaat het systeem te vragen een actie of dienst uit te voeren. Dit 'remote procedure call (RPC)-process' maakt het mogelijk bestanden te delen of de printer van het systeem door anderen te laten gebruiken. De gepubliceerde code werkt op tenminste zeven versies van het Windows-besturingssysteem, bestaande uit Windows 2000 tot en met Service Pack 4 en Windows XP zonder en met Service Pack 1. Lees meer artikels over : lek, worm, xfocus, hack

bron: ZDNet