Windows-lek publiek gemaakt zonder beschikbare patch

Het Zero Day Initiative heeft een remote-code execution bug in Microsofts Jet Database Engine publiek gemaakt, zonder dat Redmond een patch beschikbaar heeft. Het bedrijf kreeg daarvoor nochtans 120 dagen de tijd, maar haalde die deadline niet.

De bug werd ontdekt door Lucas Leong, beveiligingsonderzoeker van Trend Micro Security Research en lid van het Zero Day Initiative (ZDI). Op 8 mei werd Microsoft van de kwetsbaarheid op de hoogte gesteld en kreeg het – in lijn met het openbaringsbeleid van ZDI – 120 dagen de tijd om een patch te voorzien, voordat het lek zou worden publiek gemaakt. Die deadline is ondertussen verstreken en de bug werd door ZDI gepubliceerd, maar een patch is nog niet beschikbaar.

Het probleem situeert zich volgens ZDI in de index manager van Jet en laat een aanvaller toe om code uit te voeren op een kwetsbare Windows-installatie. Daartoe moet hij het slachtoffer wel zo ver krijgen om een speciaal ontwikkeld Jet-bestand te openen, al kan dat eventueel met een omweg via JavaScript op een malafide webpagina. Een belangrijke beperking van de aanval, is dat de aanvaller maar zoveel rechten heeft als het slachtoffer. Dat wijst nog maar eens op het belang om niet elke gebruiker zomaar beheerdersrechten te geven op een pc.

De Jet Database Engine wordt onder meer gebruikt door Microsoft Access en Visual Basic. Indien deze toepassingen binnen je onderneming worden gebruikt, is extra waakzaamheid geboden bij het openen van verdachte bestanden. Zero Day Initiative publiceerde een proof of concept van de aanval op GitHub. Het gaat ervan uit dat alle ondersteunde Windows-versies, inclusief serveredities, kwetsbaar zijn.

Microsoft heeft het bestaan van de bug erkend en plande aanvankelijk een patch voor de updateronde van september. Het moest de release evenwel uitstellen door een onvoorzien probleem. Daardoor verstreek de deadline van 120 dagen en werd de zero-day door ZDI gepubliceerd, zonder een beschikbare oplossing. Vermoedelijk krijgt Microsoft de patch wel op tijd klaar voor de updateronde van oktober.