Het is slechts een kwestie van tijd voordat hackers het SMB2-lek in Vista gebruiken om een worm te verspreiden, zo voorspellen beveiligingsexperts. De kwetsbaarheid werd afgelopen dinsdag op de Full-disclosure mailinglist aangekondigd, zonder dat Microsoft hiervan op de hoogte was. "De kans dat hackers een worm verspreiden is groot", zegt Jason Miller, onderzoeker bij Shavlik. "Elk lek dat zonder interactie van gebruikers te verspreiden is, is een goudmijn."

Wereldwijd zouden er zo'n 200 miljoen Vista machines zijn, een aantrekkelijk doelwit voor virusschrijvers. Volgens Symantec analist Ben Greenbaum is een wormuitbraak aannemelijk, maar laten de nu bekende proof-of-concept exploits machines alleen crashen. Het was echter Microsoft dat gisteren waarschuwde dat het lek veel ernstiger is dan in eerste instantie gedacht, en het uitvoeren van willekeurige code ook mogelijk is. Een mogelijk obstakel is dat het lek in de kernel van het besturingssysteem zit, wat misbruik moeilijker maakt. In vergelijking bevond Het RPC-DCOM lek dat Conficker misbruikte, zich in de 'user space' van het besturingssysteem.

Volgende Conficker
Toch houden experts er rekening mee dat een worm uiteindelijk verschijnt. "Het is slechts een kwestie van tijd", aldus Chet Wisniewski van Sophos. Volgens hem is het onvermijdelijk dat dit zal gebeuren. "Er zijn al wormen geweest die redelijk succesvol op Vista waren, dus ik weet zeker dat dit zal doorgaan." Jose Nazario, analist bij Arbor Networks, denkt niet dat dit volgende Conficker zal worden, met name omdat een werkende exploit nog ontbreekt. "Het zou mij niet verbazen dat iemand wel gaat proberen om dit de volgende Conficker te maken." Dat zou dan in de komende dagen of weken moeten gebeuren, als Microsoft bezig met het ontwikkelen van een patch is.

Als tijdelijke oplossing krijgen Vista-gebruikers het advies om SMB2 uit te schakelen en poort 139 en 445 op de firewall dicht te zetten. "De oplossing schakelt het interne delen uit. Dit betekent dat je geen printer of gedeelde bestanden kunt benaderen. Dit is te doen, maar of het logisch is blijft te bezien. Ik kan niet voorstellen dat zelfs een klein bedrijf dit beleid zal invoeren", zegt Roel Schouwenberg van Kaspersky Lab.

Onverantwoord
Microsoft is nog altijd geprikkeld door het feit dat onderzoeker Laurent Gaffié het lek wereldkundig maakte, zonder eerst Microsoft in te lichten. De softwaregigant noemt dit dan ook onverantwoord. Gaffié reageert door te zeggen dat het bedrijf meer software quality assurance (SQA) op de netwerkonderdelen had moeten verrichten. Dan hadden ze het probleem eenvoudig kunnen vinden. De onderzoeker beweert dat zijn fuzzer slechts 15 pakketjes nodig had om het kwetsbare onderdeel te laten crashen. "Persoonlijk denk ik dat Microsoft onverantwoord bezig is geweest door deze driver op elk Server 2008, Vista en Windows 7 systeem te leveren, zonder enige SQA en security controle te doen."