Het wachten is nog op een echte patch voor dit kritieke beveiligingsgat waarmee Windows-desktops en -servers kunnen worden overgenomen. Hiervoor hoeft de gebruiker van een computer slechts een malafide webpagina te bezoeken in Microsofts webbrowser Internet Explorer (IE). Een andere aanvalsmogelijkheid is het slachtoffer een speciaal geprepareerd Office-document laten openen.

Drive-by gevaar

Beide opties worden al benut door malwaremakers. Microsoft sust in zijn security-advies over dit gat dat een aanvaller geen enkele manier heeft om gebruikers te dwingen zo'n malafide site te bezoeken. In de praktijk gebeurt dit echter andersom: cybercriminelen plaatsen hun exploitcode op legitieme sites waar al veel bezoekers komen. Dit omvat bijvoorbeeld sportsites, krantensites, speelgoedwinkels en grote nieuwssites.

Daarnaast is er natuurlijk het gevaar van toegemailde links naar malafide webpagina's, of naar legitieme sites met exploitcode stiekem ingebed. De aanvalsoptie van malafide Office-documenten biedt kwaadwillenden meer mogelijkheden wat betreft het toesturen van hun payload. Hiermee zijn ook gebruikers te treffen die niet met het in Windows ingebouwde IE surfen.

Bij een succesvolle aanval kan een computer worden overgenomen met de rechten van de op dat moment ingelogde gebruiker. Dit levert dus niet altijd meteen beheerdersrechten op, maar de waarschuwingsdienst van de Nederlandse overheid meldt dat er dan nog altijd genoeg buit kan worden gemaakt of gewist. Microsoft merkt nog op dat IE standaard in een beperkte modus draait op Windows Server (versies 2003, 2008 en 2008 R2).

Nu afdekken

De fix die Microsoft nu ter beschikking stelt, dekt het eigenlijke XML-gat af maar dicht het dus niet. De workaround zet malafide XML-bestanden voor deze kwetsbaarheid op een soort zwarte lijst. Die lijst is een voorziening die normaliter dient voor compatibiliteit van applicaties en webapps.

Het gat is ontdekt door security-onderzoekers van Google, die het op 30 mei hebben gemeld aan Microsoft. Beide bedrijven waarschuwen dat deze kwetsbaarheid op dit moment al actief wordt misbruikt. Zowel Microsoft als Google adviseren gebruikers dan ook om de fix direct te installeren. Microsoft laat weten dat een patch mogelijk buiten de reguliere, maandelijkse patchcyclus uitkomt. Het is nog niet bekend of en wanneer dat gebeurt.