Kaspersky dicht lek dat aanvaller Windows Update liet blokkeren

[Captain Kirk]

Het Russische anti-virusbedrijf Kaspersky Lab heeft een beveiligingslek in Kaspersky Internet Security gedicht waardoor aanvallers eenvoudig de toegang van gebruikers tot Windows Update, de website van Kaspersky en andere websites, alsmede de servers van de e-mailprovider konden blokkeren.

De kwetsbaarheid was door Google-onderzoeker Tavis Ormandy ontdekt, die eerder al andere ernstige problemen in de beveiligingssoftware van Kaspersky Lab blootlegde. Eerder vond Ormandy ook al kwetsbaarheden in de software van Sophos, ESET en Avast. Het probleem met het Internet Security-pakket werd veroorzaakt door een onderdeel genaamd de "Network Attack Blocker". Dit onderdeel heeft als doel om de computer tegen kwaadaardige netwerkactiviteiten te beschermen. Ormandy ontdekte dat het eigenlijk niets meer is dan een eenvoudig 'stateless packet filter' dat in het geval van een aanval het betreffende IP-adres op een blacklist zet.

Dit ontwerp maakte misbruik mogelijk, aldus Ormandy. Zo bleek het onderdeel geen vervalste TCP-pakketten te herkennen. Ook bleek het filter de status van de applicatielaag niet te begrijpen als er een pakket werd ontvangen. Een aanvaller kon hier eenvoudig misbruik van maken door de signature van een aanval naar een Kaspersky-gebruiker te sturen, waarbij het IP-adres was vervalst. Volgens Ormandy zou de aanvaller bijvoorbeeld windowsupdate.microsoft.com als afzender kunnen opgeven. De Network Attack Blocker zou vervolgens de toegang tot Windows Update hebben geblokkeerd, waardoor gebruikers geen Windows-updates meer zouden ontvangen.

Het tweede probleem maakt een dergelijk scenario mogelijk, alleen dan via e-mail. In dit geval zou het beveiligingsonderdeel de toegang van de gebruiker tot zijn mailserver hebben geblokkeerd. Ormandy waarschuwde Kaspersky Lab op 11 september, waarna de update afgelopen donderdag verscheen. Daarop heeft de Google-onderzoeker besloten om details van de kwetsbaarheden bekend te maken.

 

bron: security.nl