Door de bug kan een aanvaller die binnenkomt op een systeem waar een gebruiker beperkte rechten heeft een browsersessie openen met hoge rechten, onder meer om malware te installeren. De User Account Control (UAC) waar de bug in zit moet voorkomen dat kwaadwillenden ongeautoriseerde wijzigingen aanbrengen in een pc, maar het model wordt niet juist afgedwongen, meldt het Zero Day Initiative.

De kwetsbaarheid treft alle nog ondersteunde versies van Windows, waaronder Windows 10 en Windows Server 2019. De bug die werd ontdekt omdat criminelen hem gebruikten om pc's aan te vallen wordt bekendgemaakt nu er een patch beschikbaar is. Microsoft gaf op de Patch Tuesday vorige week een update uit die 74 bugs oploste, waaronder deze wel heel kritieke (CVE-2019-1388).

Beveiligers adviseren dat gebruikers dringend de patches van deze maand toepassen omdat er al aanvallen in het wild zijn gezien met een exploit voor deze kwetsbaarheid. Onder meer aanvallen als WannaCry waren deels mogelijk omdat systemen nog kwetsbaar bleken nadat meer dan twee maanden eerder een Microsoft-patch verscheen voor het NSA-lek waarmee de onverlaten toen de ransomware konden verspreiden.