Zero-day gat in Windows XP intensief uitgebuit

In een blogpost op het Threat Research & Response Blog schrijft Holly Steward dat Microsoft de aanvallen vanaf het begin af aan in de gaten heeft gehouden. In het begin zagen ze alleen activiteit van de onderzoekers die de proof-of-concepts aan het testen waren. Op 15 juni verschenen de eerste openbare exploits ten tonele, maar die werden toen nog beperkt gebruikt.

Afgelopen week is het aantal aanvallen echter sterk gestegen. Steward schrijft dat mensen daarom snel moeten overwegen om de tegenmaatregelen te nemen die in de Security Advisory staan, als ze dat tot nu toe nog niet hebben gedaan. Mensen kunnen heel makkelijk de fix toepassen die Microsoft heeft gepubliceerd.

Grote schaal

Afgelopen week werd de exploit ineens op grote schaal ingezet. "Er verschenen geautomatiseerde, random gegenereerde html- en php-pagina's waarop de exploit werd gehost. Het overgrote deel van de aanvallen die in de loop van deze en vorige week plaatsvonden werden op deze manier uitgevoerd", schrijft Steward.

De aanvallen concentreren zich op dit moment nog vooral op Portugal en Rusland. De criminelen gebruiken de exploit voornamelijk om verschillende malware op de computer te zetten, zoals de Trojan Obitel, die simpelweg nog meer malware downloadt. Maar sinds kort wordt ook gamut gedownload.

Help en Support

Het lek dat nu wordt gebruikt zit in het Windows Help and Support Center in Windows XP. Het is op 10 juni openbaar gemaakt door Tavis Ormandy, die vervolgens veel kritiek over zich heen heeft gekregen, omdat hij veel te snel naar Full Disclosure greep. Zelf zegt hij dat hij de bug al na vier dagen openbaar heeft gemaakt omdat Microsoft de fout niet binnen zestig dagen wilde patchen. Sindsdien is de discussie over 'Full Disclosure' en 'Responsible Disclosure' in alle hevigheid losgebarsten.

Bron: Techworld.nl