De Nederlandse beveiligingsonderzoeker Yorick Koster heeft een gevaarlijk lek in Windows ontdekt waardoor aanvallers kwetsbare computers kunnen overnemen. Koster, die freelance security consultant bij en eigenaar van Akita Software Security is, ontdekte een probleem dat in alle ondersteunde versies van Windows aanwezig is. Door een ClickOnce applicatie in een Office-document te verstoppen, wordt de applicatie automatisch en zonder toestemming van de gebruiker uitgevoerd, als die het document opent.

ClickOnce is een technologie voor het maken van Windows-gebaseerde applicaties die zichzelf updaten en met minimale interactie van de gebruiker zijn uit te voeren. Een ClickOnce applicatie is elk Windows formulier of console applicatie die via ClickOnce technologie is gemaakt. De technologie is aanwezig in .NET 2.0 en nieuwer.

Logische fout
Het probleem wordt veroorzaakt door een logische fout in de manier waarop .NET permissies aan ClickOnce applicaties geeft. Gecombineerd met de "relaxte beveiligingswaarschuwingen bij het verwerken van OLE pakketten in Office 2007 laat een aanvaller willekeurige .NET assemblies met volledige Trust permissies uitvoeren", aldus Koster op de Full-disclosure mailinglist, waar hij het beveiligingslek in detail bespreekt.

Het lek werd afgelopen dinsdag door Microsoft gepatcht. De softwaregigant verwacht dat aanvallers binnen een maand aanvalscode gereed hebben om de kwetsbaarheid te misbruiken.