16 januari 2020 15:06

Gevaarlijke bug in Windows 10 gebruikt om te ‘Rickrollen’

Nog geen 24 uur nadat Microsoft een patch uitrolde om een gevaarlijk beveiligingsprobleem op te lossen, werd de bug misbruikt door een hacker met gevoel voor humor.

Dinsdagavond rolde Microsoft een patch voor een beveiligingsprobleem in Windows 10 dat door hen als ‘kritiek’ werd bestempeld. Het ging meer bepaald om een bug in het cryptoprogramma CryptoAPI. De bug kon door hackers misbruikt worden om de encrypties van veilige softwarepakketten en applicaties te wijzigen. Zo zouden zij ransomware kunnen verspreiden die door gebruikers onmogelijk kan gedetecteerd worden omdat ze als een wolf in schaapskleren vermomd zit achter de façade van een betrouwbaar programma.

De bug werd ontdekt en gerapporteerd door de National Security Agency. Ironisch genoeg is NSA zelf het eerst geregistreerde slachtoffer geworden van de bug die de naam CVE-2020-0601 gekregen heeft. Een veiligheidsonderzoeker genaamd Saleem Rashid maakte gebruik van de code om een ‘practical joke’ uit te halen met NSA. Hij zorgde er voor dat wanneer mensen de url van de website van NSA (nsa.gov) intikten in de zoekbar, ze een video te zien kregen van Rick Astley’s klassieker ‘Never Gonna Give You Up’. Dat is een grap op het internet die al een decennia bestaat onder de term ‘Rickrollen’. Hetzelfde gebeurde op de website van Github. De browser Chrome en Edge werden zeker aangetast door de bug, en vermoedelijk ook Brave en Internet Explorer. Of Firefox er kwetsbaar voor is, kon niet worden vastgesteld.

Urgentie

Rashid wilde met deze actie niet alleen de flauwe plezante uithangen. Hij wilde juist aantonen hoe gevaarlijk de bug zou kunnen zijn, en waarom ze dringend moet aangepakt worden. Hij sloeg erin om de geregistreerde HTTPS codes van de websites te spoofen en alle validatiecertificaten van Chrome en Edge te omzeilen. Volgens Rashid hoede daar helemaal geen magie voor aan de pas te komen. Zijn programmeercode bestond wel uit 100 lijnen, maar hij zegt dat hij dat zonder moeilijke trucs kan herleiden tot 10 lijnen.

Gelukkig gaat het hier maar om een flauwe grap, maar de gevolgen hadden groter kunnen zijn als Rashid iemand met slechte bedoelingen was. Dan had hij zomaar een virus of ransomware achter de URL kunnen verstoppen, die elke PC die de websites kon aanvallen. Die conclusie is ook NSA aangedaan. Daarom halen zij nog maar eens het belang aan van de nodige updates snel uit te voeren. Als Windows zodanig ingesteld staat dat updates automatisch uitgevoerd worden, zou de patch normaal gezien al geïnstalleerd moeten zijn.

thanks to @CiPHPerCoder's hint 🙂
the biggest constraints are Chrome's tight certificate policies and that the root CA must be cached, which you can trigger by visiting a legitimate site that uses the certificate pic.twitter.com/GgftwVvpY8
— ✨ saleem ✨ ⍼ (@saleemrash1d) January 15, 2020