Microsoft Access lekt mogelijk gevoelige data

De Access-databasesoftware van Microsoft bevat een kwetsbaarheid waarbij gevoelige informatie ongevraagd kan worden opgeslagen in databasedocumenten. Zo kunnen hackers bijvoorbeeld wachtwoorden terugvinden.

Een bug in Microsoft Access zorgt ervoor dat gevoelige informatie potentieel zichtbaar wordt gemaakt. Dat ontdekte beveiligingsbedrijf Mimecast. De bug doet zich voor wanneer je een Access-document wil opslaan. Naast de correcte informatie slaat de software een stukje niet-geïnitialiseerde geheugenwaarden op in het bestand. Die horen daar niet te zitten, en kunnen van allerlei aard zijn.

Vaak gaat het om irrelevante stukjes data en code, maar het is perfect mogelijk dat Access per ongeluk gevoelige informatie verwerkt in het opgeslagen MDB-document. Denk bijvoorbeeld aan wachtwoorden of persoonlijke informatie. Welke data wordt gelekt, is vrijwel willekeurig.

Scannen naar data

Een hacker die toegang krijgt tot een grote hoeveelheid MDB-documenten, kan echter een geautomatiseerde scan uitvoeren opzoek naar ingewerkte gevoelige informatie. Als de poule van documenten groot genoeg is, is de kans groot dat er iets wordt gevonden. Microsoft behandelt het lek als serieus en lanceerde al een patch. Alle versies van Access sinds 2002 zijn kwetsbaar zonder. De bug krijgt de officiële noemer CVE-2019-1463 mee en wordt door Mimecast MDB Leaker genoemd.

Voordat de kwetsbaarheid kan worden uitgebuit, moet een hacker natuurlijk toegang krijgen tot een systeem. Daarbij helpt de bug niet. Het lek lijkt sterk op een eerder ontdekte geheugenbug in Office 365. Die werd begin vorig jaar door Mimecast naar buiten gebracht.