Microsoft heeft een fix-it tool voor een zeer ernstig beveiligingslek in Windows uitgebracht, dat op dit moment actief wordt misbruikt voor het infecteren van systemen. De kwetsbaarheid in de verwerking van icoontjes van snelkoppelingen werd voor een zeer professionele aanval op SCADA-omgevingen gebruikt. Wereldwijd zouden zeker 16.000 computers zijn besmet.

Dit weekend waarschuwde Microsoft voor het lek en gaf twee oplossingen, namelijk het aanpassen van het Windows register en het uitschakelen van de WebClient service. De aanpassing van het Windows register is nu geautomatiseerd via de fix-it tool. Die zorgt er wel voor dat icoontjes niet meer ter herkennen zijn.

Aanvalsvector
Naast het uitbrengen van de fix-it tool is ook de omschrijving van mogelijke aanvalsvectoren aangepast. Een aanvaller kan volgens Microsoft ook een kwaadaardige website of een 'remote network share' opzetten en daar de kwaadaardige onderdelen onderbrengen. Zodra een gebruiker de website bezoekt met een browser zoals Internet Explorer of een file manager zoals Windows Explorer, zal Windows het icoontje van de snelkoppeling proberen te laden en wordt de malware aangeroepen.

Daarnaast kan een aanvaller de exploit ook aan een document toevoegen dat ingebedde snelkoppelingen ondersteunt, zoals Office documenten.

Alarmfase
Ondanks dat er nog geen officiele beveiligingsupdate beschikbaar is, besloot het Internet Storm Center de alarmfase voor het internet naar groen terug te zetten. Er zou inmiddels voldoende bewustzijn over het lek zijn gekweekt, aldus Manuel Humberto Santander Pelaez.