Sinds lange tijd ligt er weer een zeer vernietigende Windows worm op de loer, zeker nu een beveiligingsonderzoeker een proof of concept heeft gepubliceerd die laat zien hoe het beveiligingslek te misbruiken is. Het probleem dat Microsoft met de eerste patch van dit jaar verhielp bevindt zich in alle Windows versies, is standaard ingeschakeld (behalve bij Server 2003), vereist geen enkele interactie van de gebruiker en is op afstand te misbruiken. Hierdoor kan een worm zichzelf via netwerken verspreiden en systemen overnemen, net als "ouderwetse" wormen als Sasser, Zotob, Slammer en Blaster deden.

De Windows TCP/IP exploit die beveiligingsbedrijf Immunity publiceerde is alleen toegankelijk voor haar klanten. In het verleden betekende dit dat de hackergemeenschap in afzienbare tijd over een publieke variant beschikt. Op het eigen Security Vulnerability Research & Defense weblog legt Microsoft uit dat het beveiligingslek zeer moeilijk te misbruiken is. Toch geeft het toe dat zowel de Windows XP als Vista firewall standaard verkeer van het IGMPv3 protocol doorlaten, waardoor de worm systemen weet over te nemen.

Het protocol wordt gebruikt voor het streamen van media, online spellen en Live Meeting-achtige applicaties. "Als we geen uitzondering voor IGMPv3 in de firewall hebben, is het geen goede ervaring voor de gebruiker", zegt Microsoft woordvoerder Tim Rains, die de kans klein acht dat er een nieuwe Sasser of Blaster zal verschijnen. Rains erkent dat de beveiligingsmaatregelen in Windows Vista, zoals Address Space Layout Randomization, die hackaanvallen juist moeten voorkomen, geen bescherming tegen een eventuele worm bieden.

"Vanuit een aanvaller gezien, is het ernstige risico voor XP SP2 hetzelfde als voor Vista. Het is in theorie een remote, ongeauthenticeerd wormbaar lek op beide besturingssystemen." Dave Aitel van Immunity is het niet met Microsoft eens, en volgens de onderzoeker is het misbruiken van de kwetsbaarheid niet zo lastig als de softwaregigant ons laat geloven. "Ik denk dat dit lek een van de grootste van 2008 zal zijn."

Het installeren van de update is echter niet zonder risico en met name bedrijven zijn gewaarschuwd. "Het is moeilijk te voorspellen wat voor resultaat driver aanpassingen op alles hebben. Als ik een klant was met een netwerk vol met zelf ontwikkelde applicaties die netwerkdrivers gebruiken, dan zou deze update me peentjes laten zweten", zegt Holly Stewart van IBM's ISS.