Mogelijk gevoelige informatie in Windows-bestand op touchscreen-pc

In een Windows-bestand op pc’s met een touchscreen kunnen gevoelige data staan, waaronder de inhoud van e-mails en documenten. Het betreft de file WaitList.dat die wordt aangemaakt op computers met een touchscreen. De handschriftherkenning dient wel ingeschakeld te zijn.

“Zodra het staat ingeschakeld wordt tekst van elk document en e-mail dat door de Windows Search Indexer service is geïndexeerd in WaitList.dat opgeslagen. Niet alleen de bestanden die via de touchscreen-schrijffeature zijn gebruikt,” heeft forensisch expert Barnaby Skeggs laten weten tegenover ZDNet.

Penetratietesters

Skeggs voegt eraan toe dat het niet eens nodig is voor een gebruiker om een ondersteund bestand te openen. Zodra het bestand door de Indexer wordt gevonden en geïndexeerd, is het te zien in WaitList.dat. Penetratietesters zouden hiervan gebruik kunnen maken om in WaitList.dat naar wachtwoorden te zoeken. Ook kan WaitList.dat aangewend worden om tekst van verwijderde documenten terug te halen.

Indexes

“Naast het bestaan en de inhoud van een document, bewaart WaitList gedurende de tijd ook verschillende indexes van een enkel document. Dit biedt forensisch onderzoekers de mogelijkheid om verschillende versies van een bestand te bekijken, ook als een shadow copy niet staat ingeschakeld of wanneer het bestand van de harde schijf is verwijderd,” schrijft de expert op zijn blog. Voorwaarde om misbruik van het WaitList-bestand te maken, is dat de gebruiker dit bestand zelf heeft ingeschakeld. Tevens zal de aanvaller toegang tot de computer moeten hebben: fysiek of via malware.

Aanmelden voor onze nieuwsbrief