Test

Dit is een popup

Windows-crashrapporten spelen hackers in de kaart

Windows-pc's sturen een schat aan informatie in crashrapporten naar de Microsoft-servers, zeggen veiligheidsonderzoekers. En die informatie is niet versleuteld.

De rapporten die Windows-computers naar de Microsoft-servers sturen na een crash kunnen door hackers perfect misbruikt worden om gerichte aanvallen nog doeltreffender te maken. Dat zegt het veiligheidsbedrijf Websense in een nieuw rapport.

“Deze informatie geeft een aanvaller een onmiskenbaar voordeel”, zegt Alex Watson, hoofd threat research bij Websense. “Het schotelt hen als het ware een blauwdruk van het (geviseerde) netwerk voor.” Watson zal zijn bevindingen in meer detail voorstellen op de RSA Conference in San Francisco op 24 februari.

[related_article id=”161920″]

Ongelooflijke tool
De crashrapporten doorsnuffelen via een man-in-the-middle-aanval (klassiek voorbeeld: via een gehackte openbare wifi-hotspot) geeft al heel wat informatie, zegt Watson. Maar de informatie aftappen op providerniveau, zoals de NSA dat naar verluidt al langer doet, zou pas echt een goudmijn opleveren.

“Als je de tijd en mankracht hebt om de informatie van miljarden pc’s te verzamelen is het een ongelooflijke tool”, aldus de veiligheidsspecialist.

Aan dit soort informatie geraken blijkt niet eens zo lastig te zijn. Microsoft versleutelt de gegevens niet en verstuurt alles over een gewone http-verbinding. Wat er precies verstuurd wordt, gaat ook een stuk verder dan wat de meeste mensen denken.

Een iPhone aan een Dell
Van elk apparaat dat via USB is aangesloten, bijvoorbeeld een iPhone, wordt een identificatiecode en de naam van de fabrikant verzonden, naast zaken als de Windows-versie, de fabrikant en het model van de pc, de versie van het BIOS en een unieke code voor de pc.

Door dit soort informatie te vergelijken met publieke databases, kan je er bijvoorbeeld probleemloos achterkomen dat er een iPhone 4S aan een Dell Latitude-notebook hing met deze of gene identificatiecode. Hackers kunnen op die manier ook achterhalen op welke machines nog oude of niet-gepatchte (en dus kwetsbare) besturingssystemen draaien.

Eerst versleutelen
Windows Error Reporting wordt standaard geïnstalleerd en geactiveerd op alle machines met XP, Vista, Windows 7, Windows 8 en 8.1. Alle versies staan bloot aan dezelfde kwetsbaarheid. Websense raadt bedrijven aan om de niet-versleutelde rapporten eerst door te sluizen naar een eigen bedrijfsserver, waar ze geëncrypteerd kunnen worden voor ze naar Microsoft worden verzonden.

De rapporten niet meer versturen, raadt Websense niet aan. Uiteindelijk kunnen ze van grote waarde zijn, niet alleen voor Microsoft, maar ook voor de eigen IT-afdeling.

De meer gedetailleerde crashrapporten, zoals Microsoft die soms zelf opvraagt bij gebruikers en waarbij ook informatie zit die tot een bepaalde persoon is te herleiden, wordt wel versleuteld en via https verstuurd.

De NSA doet mee
Het Duitse magazine Der Spiegel meldde eerder al dat ook de NSA voortdurend crashrapporten van Windows verzamelt om kwetsbaarheden op te sporen die door haar malware uitgebuit kan worden. 

De rapporten die Windows-computers naar de Microsoft-servers sturen na een crash kunnen door hackers perfect misbruikt worden om gerichte aanvallen nog doeltreffender te maken. Dat zegt het veiligheidsbedrijf Websense in een nieuw rapport.

“Deze informatie geeft een aanvaller een onmiskenbaar voordeel”, zegt Alex Watson, hoofd threat research bij Websense. “Het schotelt hen als het ware een blauwdruk van het (geviseerde) netwerk voor.” Watson zal zijn bevindingen in meer detail voorstellen op de RSA Conference in San Francisco op 24 februari.

[related_article id=”161920″]

Ongelooflijke tool
De crashrapporten doorsnuffelen via een man-in-the-middle-aanval (klassiek voorbeeld: via een gehackte openbare wifi-hotspot) geeft al heel wat informatie, zegt Watson. Maar de informatie aftappen op providerniveau, zoals de NSA dat naar verluidt al langer doet, zou pas echt een goudmijn opleveren.

“Als je de tijd en mankracht hebt om de informatie van miljarden pc’s te verzamelen is het een ongelooflijke tool”, aldus de veiligheidsspecialist.

Aan dit soort informatie geraken blijkt niet eens zo lastig te zijn. Microsoft versleutelt de gegevens niet en verstuurt alles over een gewone http-verbinding. Wat er precies verstuurd wordt, gaat ook een stuk verder dan wat de meeste mensen denken.

Een iPhone aan een Dell
Van elk apparaat dat via USB is aangesloten, bijvoorbeeld een iPhone, wordt een identificatiecode en de naam van de fabrikant verzonden, naast zaken als de Windows-versie, de fabrikant en het model van de pc, de versie van het BIOS en een unieke code voor de pc.

Door dit soort informatie te vergelijken met publieke databases, kan je er bijvoorbeeld probleemloos achterkomen dat er een iPhone 4S aan een Dell Latitude-notebook hing met deze of gene identificatiecode. Hackers kunnen op die manier ook achterhalen op welke machines nog oude of niet-gepatchte (en dus kwetsbare) besturingssystemen draaien.

Eerst versleutelen
Windows Error Reporting wordt standaard geïnstalleerd en geactiveerd op alle machines met XP, Vista, Windows 7, Windows 8 en 8.1. Alle versies staan bloot aan dezelfde kwetsbaarheid. Websense raadt bedrijven aan om de niet-versleutelde rapporten eerst door te sluizen naar een eigen bedrijfsserver, waar ze geëncrypteerd kunnen worden voor ze naar Microsoft worden verzonden.

De rapporten niet meer versturen, raadt Websense niet aan. Uiteindelijk kunnen ze van grote waarde zijn, niet alleen voor Microsoft, maar ook voor de eigen IT-afdeling.

De meer gedetailleerde crashrapporten, zoals Microsoft die soms zelf opvraagt bij gebruikers en waarbij ook informatie zit die tot een bepaalde persoon is te herleiden, wordt wel versleuteld en via https verstuurd.

De NSA doet mee
Het Duitse magazine Der Spiegel meldde eerder al dat ook de NSA voortdurend crashrapporten van Windows verzamelt om kwetsbaarheden op te sporen die door haar malware uitgebuit kan worden. 

beveiligingBeveiligingcrashcrashrapportennieuwswebsenseWindows

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!