"We zijn ons ervan bewust dat CVE-2013-3660 wordt gebruikt voor beperkte, gerichte aanvallen", merkt Microsoft summier op in een blogpost. Daarin belicht het enkele van de security updates die gisteren zijn uitgekomen in de patchronde van deze maand. De aangehaalde kwetsbaarheid is één van de gaten die worden gedicht door de update MS13-053. De andere fouten die daarmee worden gefixt, zijn niet apart genoemd.

Pwnage

De MS13-053 patch draagt het label 'kritiek' en is voor alle momenteel ondersteunde Windows-versies en -uitvoeringen. Van XP met service pack 3 tot en met 8, en van Server 2003 met service pack 2 tot en met Server 2012. Op al die besturingssystemen is middels de te dichten gaten op afstand code uit te voeren. Ofwel: cybercriminelen kunnen hun malware draaien op niet gepatchte computers. Het gat zit ook in oudere Windows-versies, vanaf NT, maar die krijgen geen patch.

De bewuste patch is net als vijf andere in de lading van deze maand 'kritiek', maar is slechts één van de twee die onmiddellijke installatie vereisen:

Security-onderzoeker Tavis Ormandy, die in dienst is van Google, heeft het door hem ontdekte Windows-gat eind mei publiek gemaakt. Hij had het aanvankelijk privé bij Microsoft gemeld, maar besloot het toch te openbaren. De Windows-maker is volgens Ormandy namelijk "vijandig naar externe researchers".

Disclosure-discussie

Terwijl het gat zelf niet op afstand is te misbruiken, kan het wel dienst doen als laatste stap in een keten van kwetsbaarheden. Het 'Ormandy-gat' geeft namelijk de mogelijkheid hogere rechten te verkrijgen op een kwetsbaar Windows-systeem. Na het openbaren van het gat heeft de ontdekker enkele dagen later werkende exploitcode gemaakt, met hulp van een andere hacker.

Het is niet bekend of dit direct heeft geleid tot de gerichte aanvallen, op beperkte schaal, waar Microsoft nu gewag van maakt. Het softwarebedrijf weigert commentaar hierover, meldt persbureau Reuters. Security-expert Graham Cluley, tot voor kort in dienst bij antivirusleverancier Sophos, vraagt zich wel af of het publiek is gediend door Ormandy's openbaarmaking.

Expertise

"Ik twijfel niet aan Tavis Ormandy's expertise in het vinden van beveiligingsgaten, of zijn skills als onderzoeker van kwetsbaarheden. Er is geen twijfel dat hij extreem begaafd is op dat gebied", blogt Cluley die eerder aanvaringen met de bekende ontdekker heeft gehad. Dat geldt ook voor Sophos, wiens securitysoftware zelf malware binnenliet op Windows.

Cluley stelt nu dat het openbaar maken van de kwetsbaarheid onverantwoord was en dat het mensen in gevaar heeft gebracht. "Ik wou dat Microsoft en Ormandy een manier konden vinden om redelijker met elkaar samen te werken zodat kwetsbaarheden alleen op een verantwoordelijke manier kunnen worden onthuld, zodra een patch beschikbaar is." Ormandy en ook zijn werkgever Google denken daar heel anders over.