Cruciaal Windows-protocol achterpoort voor hackers sinds Windows XP

CTF is een onbekend Microsoft-protocol dat sinds Windows XP gebruikt wordt. Ondanks dat het alomtegenwoordig is, blijkt het al die tijd vatbaar te zijn voor hackers. Microsoft heeft ondertussen al een patch uitgerold, maar het is onduidelijk of dat genoeg is.

Een security-onderzoeker bij Googles Project Zero, Tavis Ormandy, heeft het buggy protocol ontdekt. Van zodra hackers of malware toegang hebben tot je pc, kunnen ze het CTF-protocol misbruiken om eender welke app of het hele besturingssysteem over te nemen.

Waar de afkorting CTF voor staat, is vandaag onbekend. Zelfs Ormandy heeft in geen enkele documentatie een uitleg gevonden. Hij kwam er wel achter dat het onderdeel is van het Windows Tekst Services Framework (TSF), een systeem dat weergegeven tekst binnen Windows en Windows-applicaties beheert.

Administratorrechten

Wanneer een gebruiker een applicatie start, schakelt Windows een CTF-client in voor die app. De CTF-client ontvangt instructies van een CTF-server omtrent de systeemtaal en lay-out van het toetsenbord. Wanneer de inputmethode verandert van de ene naar de andere taal, dan verwittigt de CTF-server alle CTF-clients. Die veranderen dan weer de taal in elke Windows-app, allemaal in realtime.

Ormandy ontdekte echter dat er geen toegangscontrole is op CTF. De communicatie tussen CTF-clients en CTF-servers worden niet deftig beveiligd of geauthentificeerd.

Eender welke applicatie of gebruiker, zelfs sandbox-processen, kunnen connecteren met eender welke CTF-sessie. Applicaties worden verwacht om hun thread-id, process-id en HWND te rapporteren, maar er gebeurt geen authenticatie waardoor je eenvoudig tussen kan komen.

“Je zou een actieve sessie van een gebruiker kunnen overnemen om zo tot een applicatie door te dringen”, benadrukt Ormandy. “Of je kan ook wachten tot een Administrator inlogt om zo de sessie over te nemen.”

Volledige controle

Een aanvaller dat een CTF-sessie van een app onderschept, kan commando’s verzenden naar die app waarbij het lijkt dat ze rechtstreeks van de server komen zoals Windows verwacht. Hackers kunnen deze loophole misbruiken om data te stelen van andere applicaties, of ze kunnen commando’s uitvoeren namens die applicatie.

Indien de apps draaien met administratorrechten, kan de hacker zelfs de volledige controle overnemen van de geïnfecteerde computer. Volgens Ormandy is elke applicatie of Windows-proces kwetsbaar. Omdat CTF tekst toont in elke app of service, bestaat er een CTF-sessie voor haast elk onderdeel binnen Windows sinds Windows XP.

Ormandy heeft als bewijs een demo opgenomen op YouTube om het reële gevaar te duiden:

 

 

Patch Tuesday

In een uitgebreide blogpost duidt Ormandy in detail wat het probleem is rond het CTF-protocol. Hij stelt tegelijk ook een tool beschikbaar op GitHub waarmee onderzoekers het protocol kunnen testen op andere problemen.

Het valt nog af te wachten hoe Microsoft dit probleem gaat patchen. Een hacker kan het niet misbruiken om een computer te besmetten, maar eens die besmet is, is werkelijk alles mogelijk omdat de CTF-kwetsbaarheid alomtegenwoordig is.

Microsoft laat aan ZDNet weten dat de bug gepatcht werd in de August 2019 Patch Tuesday die iedereen sinds gisteren krijgt aangeboden. Omdat het protocol alomtegenwoordig is, valt het af te wachten of de inspanning van Microsoft genoeg is om het lek te dichten. Ormandy is alvast benieuwd hoe Microsoft dit protocol zal moderniseren in toekomstige Windows-updates.

Gerelateerd: 32 procent bedrijven gebruikt nog Windows XP