Computerworld News Service: En fejl i Microsofts software giver hackere mulighed for at udnytte virtuelle Windows-maskiner, som ellers ville være sikre, hvis de i stedet kørte på rigtig hardware, fortalte en analytiker i denne uge.
Fejlen findes i noget af Microsofts virtualiserings-værktøj, blandt andet i Windows XP Mode, som er en gratis add-on til Windows 7, der gør det muligt for brugerne af det nyeste styresystem at køre ældre applikationer på en virtuel maskine.
Sikkerhedsfirmaet Core Security offentliggjorde fejlen i denne uge, syv måneder efter den først blev opdaget, på grund af Microsofts beslutning om ikke at fikse den. "De mener ikke, der er behov for en fejlretning," fortæller Ivan Arce, der er teknologi-direktør ved Core Security.
"De fortæller, at de vil tage hånd om problemet med en opdatering eller en service pack engang i fremtiden, men vi mener, at den skal rettes hurtigere end som så."
Microsoft bekræfter, at virksomheden ikke anser fejlen i Virtuel PC, Virtual PC 2007 og Virtual Server 2008 for at være et sikkerhedshul.
"Den funktionalitet, Core Security taler om, er ikke en sikkerhedsfejl som sådan," siger Paul Cooke, en leder hos Microsoft der beskæftiger sig med sikkerhed i virksomheder.
"Det, de beskriver, er en måde hvorpå angriberen nemmere kan udnytte allerede eksisterende sikkerhedshuller," fortsætter han. "Der er en lille forskel, som det er vigtigt, at folk forstår."
Core og Microsoft er ikke uenige om fakta, siger Ivan Arce.
Fejlen gør det muligt for hackere at hoppe over adskillige, større sikkerhedsforanstaltninger i Windows, heriblandt DEP ('data execution prevention') og ASRL ('adress space layout randomization), som er designet til at forhindre visse typer angreb mod Windows XP, Vista og Windows 7.
Simple sårbarheder kan blive farlige
Men de to virksomheder er ikke i øjenhøjde, når det kommer til spørgsmålet om, hvorvidt fejlen bør rettes.
"Vi er ikke enige med Microsofts beslutning om ikke at fikse fejlen," siger Ivan Arce.
"Applikationer i et virtuelt miljø er mere sårbare over for angreb, end de ville have været, hvis de kørte på rigtig hardware. Det bør der gøres noget ved."
Hackere kan udnytte fejlen til at angribe virtuelle kopier af Windows, der normalt ville være immune over for sådanne angreb, eller i hvert fald langt mindre sårbare på grund af mekanismer som DEP og ASLR, siger Ivan Arce.
Og fejlen kan gøre sårbarheder, der ellers bliver anset for at være simple og uproblematiske, til noget, som kan udnyttes.
"I lyset af denne bug, kan sårbarheder, som man ellers ikke har ment var relevante for det virtualiserede styresystem, eller som man har afvist som ligegyldige, blive farlige," tilføjer Ivan Arce.
Kun i nødstilfælde.
Ivan Arce anerkender at ved at udgive en omfattende vejledning - som indeholder proof-of-concept angrebskode - så lægger Core et pres på Microsoft.
"Vi er med på, at det kan være svært at rette fejlen, men det her vil lægge et pres på dem for at fikse fejlen hurtigt," siger han.
Microsofts Hyper-V teknologi, der blandt andet bliver brugt til Windows Server 2008, er ikke påvirket af fejlen, er både Microsoft og Core enige om.
Selv om 'guest'-styresystemerne, der kører på de virtuelle maskiner bliver påvirket af fejlen, så går 'host'-styresystemet - det styresystem, der kører den fysiske hardware - ram forbi, forsikrer Microsoft kunderne.
Fejlen kan heller ikke bruges til at hoppe fra et virtualiseret 'guest'-styresystem til et andet på en anden maskine. Alligevel opfordrer Paul Cooke kunderne til kun at køre med virtualiserede applikationer på desktoppen i 'nødstilfælde' - når der ikke er andre muligheder.
"Vi tror på, at både Windows XP-mode og Windows Virtual PC er rigtig gode brobygningsstrategier, der kan hjælpe de kunder, der har nedarvede applikationer, med at komme i gang med Windows 7," skriver han i et indlæg på Windows Security-bloggen.
"De kunder, der har brug for Windows XP mode, bør kun installere de mest nødvendige af de applikationer, der kræver Windows XP for at fungere ordentligt og kun i perioden mens de planlægger skiftet til Windows 7."
"Virtualiseringssoftware er helt almindeligt software, det er ikke magisk," siger Ivan Arce.
"Det er sårbart, og nogle gange er fejlene ikke bare minimale. Skal vi vente fem år - og jeg overdriver ikke - på at Microsoft retter fejlen uden at informere nogen? Ja, ok - det kan måske tage noget tid for Microsoft at få det rettet, men der findes også andre virtualiseringspakker, der ikke har den fejl."
Fejl - en del af designet
Cores vejledning gør dette meget klart og opfordrer brugerne til enten at køre missions-kritiske Windows applikationer via ikke-virtualiserede systemer eller til at anvende alternativt virtualiseringssoftware.
Ivan Arce fortæller, at Nicolas Economou, der arbejder hos Core som exploit writer, har æren for at opdage fejlen.
Microsoft har tidligere taget samme standpunkt, hvor virksomheden har argumenteret for, at det, andre anser for at være et sikkerhedshul, langt fra kan klassificeres som sådan.
For næsten tre år side påstod virksomheden for eksempel, at de nedbrud i Office 2007, som andre betegnede som fejl, faktisk var en del af designet.
Oversat af Marie Dyekjær Eriksen
