Ernstig lek Windows XP laat hackers binnen

Microsoft brengt patch uit voor internationale versie

21 december 2001 | Jamie Biesemans Microsoft wil XP graag aan de man brengen als de meest veilige Windows-versie ooit, maar heeft nu moeten toegeven dat een ernstig lek in het besturingssysteem hackers volledige toegang kan verschaffen tot een pc. Systemen kunnen kwetsbaar zijn voor DoS-aanvallen. Het softwarebedrijf heeft in allerijl een patch uitgebracht en raadt gebruikers van Windows XP ten stelligste aan om het direct te installeren. Iedereen met XP is kwetsbaar, evenals sommige gebruikers van Windows 98, 98SE en ME.

De enorme achterdeur is het gevolg van twee fouten in de Universal Plug and Play (UPnP)-module in Windows. Die detecteert automatisch nieuwe hardware en installeert de benodigde stuurprogramma's. Sinds Windows 98 kan UPnP ook over een netwerk nieuwe randapparatuur zoals printers ontdekken; niet dat er veel vraag is naar UPnP-mogelijkheden over een netwerken. In de praktijk zijn er nog weinig toestellen op de markt die overweg kunnen met die mogelijkheid, maar Microsoft meent dat daar in termijn verandering in zal komen.

In Windows 98, 98SE en ME is deze feature optioneel en pas installeerbaar na het instellen van Internet Connection Sharing, waarmee een internetverbinding kan worden gedeeld via een netwerk. In XP staat PnP via het netwerk standaard aan.

Juist dit maakt Windows XP bijzonder gevoelig voor het probleem. De situatie is ernstig, geeft Microsoft toe. "Mensen die XP gebruiken, moeten de patch onmiddellijk installeren", zei Scott Culp, hoofd van Microsofts Security Response Center. Als dat lukt, tenminste, want op het moment van schrijven is alleen een patch verkrijgbaar voor de internationale versie van XP. Gebruikers met een Nederlandse versie van XP worden niet bediend, want de patch weigert zich te installeren. Ook de Windows Update-functie brengt geen soelaas.

Het valt vooralsnog moeilijk in te schatten hoe groot de publicitaire schade is voor Microsoft. Bij de introductie van Windows XP benadrukte onder meer Bill Gates dat het besturingssysteem de veiligste Windows-versie ooit is. Die mening wordt niet gedeeld door Marc Maiffret, Chief Hacking Officer van eEye Digital, een veiligheidsfirma die de lek boven water heeft gekregen.

Hij beschrijft de kwestie als "het ergste default - dus standaard aanwezig - veiligheidsprobleem in Windows ooit". Tegelijkertijd prijst Maiffret wel het werk van Microsoft bij het maken van een patch voor het probleem. De veiligheidsexpert gelooft dat applicaties om het lek te misbruiken binnen een week of twee op het internet verkrijgbaar zullen zijn. Omdat misbruik maken van het lek technische kennis vraagt, verwacht Maiffret dat alleen de meer begaafde hackers een poging zullen wagen.