Een groot Windows 10-gat zorgt ervoor dat aanvallers certificaten kunnen spoofen en zich zo voor kunnen doen als een legitieme bron. Om te demonstreren hoe makkelijk dat is, heeft een beveiligingsonderzoeker een exploit ingezet om de websites van zowel de NSA als Github te simuleren en daar de bekende Rick Astley-video op af te spelen.

Ars Technica meldt dat onderzoeker Saleem Rashid de crypto-kwetsbaarheid in Windows 10 gebruikte om domeinen NSA.gov (ontdekker en melder van het gat) en Github.com te spoofen in browser Chrome en Microsofts eigen browser Edge alsof het de legitieme domeinen zijn. Hij meldt op Twitter dat Firefox ongevoelig is voor de aanval.

De aanvalsmethode voor het Windows 10-gat vereist een Man in the Middle-techniek en wordt daarom als Microsoft niet zo kritiek ingeschat. De patch voor het gat zelf wordt als Belangrijk aangemerkt door Microsoft en niet Kritiek. De meningen van beveiligers lopen uiteen of Microsoft het probleem onderschat of dat de NSA een hype heeft ontketend.

De NSA, die Microsoft informeerde en met Patch Tuesday zijn rol onthulde, stelde deze week dat gebruik van het gat gemakkelijk is en er snel exploits zouden verschijnen. Ook beveiligingsjournalist Brian Krebs trok die conclusie en Ars haalt ook diverse beveiligers aan die stellen dat het probleem groter is dan Microsoft lijkt te beseffen.

Hoe het ook zij, het is waarschijnlijk een goed idee om je Windows 10-systeem snel te patchen. Je haalt de update binnen via Instellingen > Bijwerken en beveiliging > Windows Update > Naar updates zoeken. Mocht dat niet werken, of als je wilt controleren of je pc is gepatcht, lees dan dit artikel van gisteren waarin we dat uitgebreid toelichten.