Aanvallen op een nieuw lek in Windows XP en Windows Server 2003 waarvoor Microsoft woensdag waarschuwde zijn een maand lang onopgemerkt gebleven, aldus anti-virusbedrijf Symantec. Via het lek kunnen aanvallers hun rechten op een aangevallen systeem verhogen.

De aanvallers combineren het nieuwe Windows-lek met een ouder lek in Adobe Reader om malware op computers te kunnen installeren. Het gaat om een kwetsbaarheid in Adobe Reader 9.5.4, 10.1.6 en 11.0.02 die Adobe in mei van dit jaar patchte. De aanvallers gebruiken het lek in Windows XP om de sandbox-beveiliging van de PDF-lezer te omzeilen.

Volgens Symantec vinden de aanvallen die van het lek misbruik maken al sinds begin november plaats. Onder andere doelen in Duitsland, Noorwegen, Hongarije, India en de Verenigde Staten zijn via kwaadaardige PDF-documenten aangevallen. De PDF-bestanden hebben onder andere als naam "syria15.10.pdf" en "Note_107-41D.pdf".

Wipbot

In het geval aangevallen gebruikers en organisaties een verouderde Adobe Reader met Windows XP gebruiken wordt er een Trojaans paard genaamd "Wipbot" geïnstalleerd. Via deze Trojan, die voor het eerst halverwege oktober verscheen, hebben de aanvallers volledige controle over het systeem. Voor zover Symantec kan zien en meten zijn er wereldwijd minder dan 50 systemen met de Wipbot Trojan geïnfecteerd geraakt.