Google onthult veiligheidsfout in Windows 10, tot frustratie van Microsoft

Het team van Google Project Zero heeft een veiligheidslek gevonden in een veiligheidsfunctie van Windows 10, meer specifiek in de UMCI (User Mode Code Integrity). Dit omvat onder andere Windows 10 pc’s die werden geconfigureerd met Microsoft Device Guard virtuele container.

Google heeft afgelopen weekend een lek bekend gemaakt in Windows 10, ondanks dat Microsoft meermaals heeft geprobeerd om dat te voorkomen. Googles Project Zero heeft op 19 januari de bug aan Microsoft bekend gemaakt. Microsoft heeft op zijn beurt drie weken later laten weten dat ze het rapport goed hebben ontvangen. Van zodra Project Zero de bug doorstuurt, start er een 90-dagen deadline voordat Google het veiligheidslek publiek maakt.

Helaas kon Microsoft de patch niet tijdig verwerken in de Patch Tuesday van april, volgens ITProPortal omwille van een “onverwachte coderelatie”. Het vroeg voor een extra twee weken eerder deze maand, maar kreeg die niet van Google.

Daarna wilde Microsoft de code updaten in de nieuwe Redstone 4-update (Spring Creators Update), maar omdat ze daarrond nog geen lanceringsdatum hebben, heeft Google opnieuw geweigerd om medewerking te verlenen vorige week.

James Forshaw, onderzoeker bij Project Zero, heeft een gedetailleerd rapport vrijgegeven over de bug die zich situeert in .NET en werkt binnen WLDP (Windows Lockdown Policy). De bug vereist dat een bepaalde machine vooraf al geïnfecteerd is met malware, waardoor het niet vanop afstand kan worden uitgebuit.

Dat laatste kan wel worden omzeild door een remote code execution bug in Microsoft Edge te misbruiken, volgens Forshaw. Dat Google niet naar Microsoft wilde luisteren om de bug nog even geheim te houden, komt omdat Forshaw nog twee andere bugs in .NET heeft gevonden die ook de Device Guard kunnen passeren en al langer kritiek zijn.

Binnenkort rolt trouwens de nieuwste Redstone 4-update uit op alle Windows 10-computers. Wil je die update liever nog even uitstellen? Klik dan hier.