SMB/CIFS is standaard aanwezig in Windows en wordt gebruikt voor network- en printersharing. Linux en andere Unix-achtigen (zoals Apple's OS X en *BSD) gebruiken daarvoor het pakket Samba. Met behulp van dat pakket kunnen de Unix-achtigen samenwerken met Windows-systemen via hetzelfde protocol.

SerNet, het Samba team en Microsoft hebben aangegeven op 12 april meer informatie over de bug, genaamd Badlock, naar buiten te brengen samen met een patch. De bug is ontdekt door Stefan Metzmacher, een van de Samba-ontwikkelaars die op dit moment werkzaam is bij SerNet. De ontwikkelaar drukt iedereen op het hart na publicatie zo snel mogelijk de patch uit te voeren. "We weten bijna zeker dat er zeer snel exploits zullen verschijnen nadat wij alle relevante informatie hebben gepubliceerd."

De mensen van SerNet hebben een website in het leven geroepen genaamd badlock.org. Op deze site is meer informatie te vinden over de bug.

lock.c

Ondertussen wordt er druk gespeculeerd op Twitter over de bug. Mensen vragen zich af wat de bug precies inhoudt en waar deze precies zit. De naam suggereert dat het iets te maken heeft met het client lock-handling-mechanisme. De aanwezigheid van het bestand lock.c lijkt dat enigszins te bevestigen.

Omdat de kwetsbaarheid zowel op Windows als op Samba van toepassing is (die beide een andere implementatie gebruiken voor het protocol) zou het kunnen dat het om een fout gaat in het ontwerp van het protocol zelf. Brian Martin, director of vulnerability intelligence bij het bedrijf Risk Based Security, legt deze redenering uit in z'n blog.

Zowel Microsoft als SerNet houdt de lippen stevig op elkaar en informatie is op dit moment schaars. Toch is niet iedereen even blij met de aanpak rond de ontdekte bug.

Op de volgende pagina: Een tipje van de sluier

Het vroeg naar buiten brengen van deze informatie, het registreren van een domeinnaam en het "hypen" van de opkomende patch lijkt volgens critici meer op een veredelde marketing stunt. Verschillende mensen hebben zich hardop afgevraagd of dat ook het geval is en Johannes Loxen (die het badlock.org domein heeft geregistreerd) bevestigt dat.

Samenzweringstheorie

Sommige gebruikers gaan nog een stapje verder en beweren dat de ontdekking van de bug wel heel erg toevallig is. De bug is ontdekt door Stefan Metzmacher, maar de code is ook geschreven door Metzmacher. Dit hoeft natuurlijk niet te betekenen dat er opzet in het spel is, maar sommige twitteraars vinden het wel heel erg toevallig allemaal.

Het is niet de eerste keer dat het bekendmaken van een kwetsbaarheid werd aangezwengeld door een PR-machine. Het is een aantal keren voorgekomen sinds de ontdekking van Heartbleed. Het nadeel is dat die naam wordt misbruikt als sales en marketing-tool (omdat iedereen de naam kent). Het is een beetje de boeman onder de kwetsbaarheden geworden.

Tipje van de sluier

Op dit moment moet men dus nog 20 dagen wachten tot er meer informatie over het lek naar buiten komt, dit geeft kwaadwillenden genoeg tijd om Samba door te lichten en gericht op zoek te gaan naar de bug. Het hielp daarbij ook niet echt dat Loxen een tipje van de sluier oplichtte door te zeggen dat de bug inhoudt dat iedereen admin-accounts kan krijgen op hetzelfde netwerk.

De tweet is vrij snel weer verwijderd maar Brian Martin zegt dat het kwaad al is geschied. "Weten dat de kwetsbaarheid van toepassing is op Windows en Samba is al meer dan voldoende informatie om gericht te gaan zoeken. We weten dat dat de bug hoogstwaarschijnlijk op afstand kan worden misbruikt en dat het iets te maken heeft met het SMB/CIFS protocol. Er zijn tegenwoordig zoveel getalenteerde exploit-ontwikkelaars te vinden dat de kans dat de bug eerder wordt gevonden groot is."

Beveiligingsonderzoeker David Litchfield liet in een tweet weten dat de kans, om de bug te ontdekken voor 12 april 1 op 15 is.