Windows 7 komt op de markt met een gekend veiligheidsprobleem

FSFE: Microsoft's nalatigheid toont de voordelen van Vrije Software

Microsoft nieuwste besturingssysteem wordt momenteel verdeeld met een potentieel gevaarlijke fout. Nog voor de officiële globale lancering van het product op donderdag verspreidt het Duits federaal IT veiligheidagentschap (BSI) een waarschuwing voor [1] een veiligheidsprobleem met een hoog risico in het SMB2 protocol. Door dit probleem kan de computer via het netwerk uitgeschakeld worden door middel van een Denial of Service (DoS) aanval.

Uit dit incident blijkt nogmaals dat propriëtaire software vaak aanleiding geeft tot veiligheidsproblemen. "Alleen Microsoft kan dit probleem, waarvan ze reeds geruime tijd op de hoogte zijn, verhelpen. Maar zij hebben er blijkbaar voor gekozen om dit probleem niet te erkennen in de hoop dat het geen roet zal gooien in de lancering van Windows 7 op de consumentenmarkt volgende donderdag." zegt Karsten Gerloff, voorzitter van de Free Software Foundation Europe (FSFE).

De BSI maakte in haar verklaring van 6 oktober (Nederlandse vertaling) geen extra details bekend aangezien ze een beleid van verantwoorde bekendmaking aanhoudt. Alhoewel het meestal een goede strategie is om verkopers de tijd te geven om hun veiligheidsproblemen op te lossen voordat men ze publiek bekend maakt, zou de BSI in dit geval moeten overwegen om de volledige details bekend te maken om zo de druk op Microsoft om dit probleem aan te pakken, te vergroten. Het agentschap zegt dat het veiligheidsprobleem voorkomt in zowel de 32- en 64-bit versie van Windows 7 en Vista en tevens in Windows Server 2008. Dit probleem is niet hetzelfde als het reeds eerder bekend gemaakte SMB2-probleem [2] waarvoor Microsoft in september patch MS09-050 uitbracht.

Gerloff stelt het zo: "Gebruikers van Microsoft's software zitten in de tang. Alhoewel ze weten dat het bedrijf hen blootstelt aan een veiligheidprobleem, kunnen ze niet zomaar van leverancier veranderen. Met Vrije Software zoals GNU/Linux - software die je kan bestuderen, delen en verbeteren - kunnen verschillende onafhankelijke entiteiten het probleem aanpakken. Consumenten zouden Microsoft's nalatig gedrag niet mogen belonen door haar producten te kopen. Vrije Software is een volwaardig alternatief dat beschikbaar is via verschillende onafhankelijke verkopers."

Microsoft heeft nog niet gereageerd op de waarschuwing van de BSI. Er is ook geen enkele aanwijzing dat het bedrijf er in zal slagen om het grote veiligheidslek in haar besturingssysteem te dichten voor de globale lancering van Windows 7 deze donderdag. Het veiligheidsprobleem is ook niet opgelost met de patches die in oktober werden uitgebracht.

Er heerst al langer bezorgdheid over de manier waarop het bedrijf met veiligheid omgaat. In een recent incident [3] was Microsoft al op de hoogte van een ander probleem in het SMB2-protocol sinds juli 2009. Terwijl ze het probleem wel aanpakte begin augustus in de definitieve versie van Windows 7, lieten ze het probleem in Windows Vista en Windows Server 2008 ongemoeid totdat een onafhankelijke veiligheidonderzoeker de zaak openbaar maakte. Heise, een Duitse IT-nieuws-site, vermoedt dat dit probleem bij Microsoft op een interne lijst van fouten met lage prioriteit is geplaatst. Zo proberen ze de fout in alle stilte te herstellen om al te veel negatieve kritiek te vermijden.

[1] Het Duits federaal IT-veiligheidsagentschap verstuurt een waarschuwing
[2] Microsoft's veiligheidsadvies (975497): Door een veiligheidslek in SMB kan men via het netwerk code uitvoeren
[3] Microsoft is reeds geruime tijd op de hoogte van het SMB2 lek


Vertaling van het BSI veiligheidsadvies:

Veiligheidrisico: "4 hoog risico" (getal tussen 1 en 5, waar 5 staat voor zeer hoog risico).
Tittel: Microsoft Windows SMB2-Protocol: nieuw veiligheidlek kan leiden tot denial of service (Windows Vista en Windows 7).
Datum 06-10-2009
Software: Microsoft Windows 7, Microsoft Windows 7 x64 Edition, Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64 Edition / SP1 / SP2, Microsoft Windows Server 2008
Platform: Windows
Gevolg: Denial-of-Service
Misbruik mogelijk van op het netwerk: Ja
Risico: hoog
Referentie: intern onderzoek
Beschrijving:

Server Message Block (SMB) is een protocol voor het delen van printers en bestanden. SMB2 is de nieuwe versie van dit protocol, dat werd geïntroduceerd met Windows Vista en Windows Server 2008 en nu ook beschikbaar is in Windows 7. De huidige implementatie van SMB2 bevat het probleem. Dit is een nieuw ontdekt lek, niet het probleem dat werd beschreven in Microsoft Security Advisory 975497. De opgelijste besturingssysteem kunnen ook na de patches van oktober (MS09-50) nog succesvol aangevallen worden.

Momenteel is geen update of patch beschikbaar bij de producent. Wij kunnen alleen adviseren om aandachtig te zijn en het probleem goed op te volgen. De enige manier om het probleem te omzeilen is het beperken van toegang tot de SMB2 servers door middel firewalls, of het uitschakelen van de SMB2 diensten.

$Date: 2009-10-19 21:35:53 +0000 (Mon, 19 Oct 2009) $ $Author: rolf_camps $