Beveiligingsexperts zijn bang dat er op zeer korte termijn een nieuwe Windows-worm zal uitbreken, vergelijkbaar met de beruchte Conficker-worm uit 2008. Microsoft patchte dinsdag een lek in de Remote Desktop-functie van Windows. Standaard staat deze optie niet ingeschakeld, maar het is een populaire manier voor Windows-gebruikers om op afstand op een computer in te loggen. Via de nu gepatchte kwetsbaarheid hoeft een aanvaller alleen een speciaal geprepareerd verzoek naar een computer met Remote Desktop te sturen, om die vervolgens over te nemen. Er is geen authenticatie of interactie van de gebruiker vereist.
"Het bevat alle ingrediënten voor een worm", zegt Andrew Storms van nCircle. Ook Jason Miller van VMware maakt zich zorgen. "Hackers willen lekken die geen authenticatie vereisen en zich in deel van Windows bevinden dat veel wordt gebruikt. Ik garandeer dat aanvallers hier nauwlettend op zullen letten."
Miller krijgt bijval van Amol Sarwate van Qualys. "Dit is zeer aantrekkelijk voor hackers. Het lijkt niet zo lastig om de code te ontwikkelen om het lek te misbruiken." Microsoft stelde dat aanvallers binnen dertig dagen zeker een exploit gereed zullen hebben, maar dat het onwaarschijnlijk is dat dit in de komende dagen zal gebeuren.
Conficker
Met name bedrijven lopen risico, aangezien in die omgevingen Remote Desktop vaak is ingeschakeld. Microsoft stelt in het Security Bulletin dat de functie standaard niet staat ingeschakeld, waardoor het idee kan ontstaan dat het niet veel gebruikt wordt. Iets wat volgens Miller misleidend is. "Het wordt door serverbeheerders en helpdesks gebruikt...het is echt goede technologie...en is op veel bedrijfsnetwerken ingeschakeld."
Miller wil het niet met een nieuwe Conficker-worm vergelijken, die eind 2008 en in 2009 miljoenen computers infecteerde. Chris Gatford van HackLabs vergelijkt de kwetsbaarheid wel met MS08-67. Het lek in de Windows Server service werd uiteindelijk door Conficker misbruikt. De experts zijn het er wel over eens dat aanvallers op korte termijn het lek zullen aanvallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.