De malafide hackers maken misbruik van kwetsbaarheid CVE-2017-7269, een stack-overflow probleem die kwaadwillende de mogelijkheid geeft code op afstand uit te voeren. Deze kwetsbaarheid is te vinden op Servers die Windows 2003 draaien en Microsoft Internet information Services 6.0. Eenmaal binnen installeerden de criminelen een aangepaste versie van de open source Monero mining software, xmrig, en gebruikten ze de systeembronnen van de servers om zo hun geld te verdienen.

De malware is ontdekt door Eset en er is al enige tijd een patch beschikbaar voor deze kwetsbaarheid. Microsoft had in juni 2017 al een patch uitgebracht voor de software ondanks dat het bedrijf deze oude versie van Windows Server niet meer ondersteunt. Microsoft wilde zo voorkomen dat er Wannacrypt-achtige praktijken zouden plaatsvinden.

Patch je server

Het probleem is echter dat de patch blijkbaar nog niet door iedereen is toegepast. Eset meldt dat dit te maken zou kunnen hebben met het feit dat het automatische update-proces niet altijd even vloeiend werkt en verwijst daarvoor daar een blogpost van Clint Boessen.

Gebruikers en beheerders wordt aangeraden de patch (voor de zekerheid alsnog) handmatig te installeren als het niet lukt via de automatische update-software van Microsoft.