Microsofts noodpatch voor het shortcut-lek is alleen voor officieel nog ondersteunde versies van Windows. Het beveiligingsgat, dat schuilt in de weergave van iconen voor snelkoppelingen, zit ook in Windows NT, 2000 en XP met service pack 2 (SP2). Eerstgenoemde krijgt al jaren geen ondersteuning meer, en de support voor de twee laatstgenoemde versies is net komen te vervallen.

XP SP2 nog veelgebruikt

Microsoft noemt de kwetsbare oudere versies van zijn besturingssystemen niet in het security bulletin bij de nu verschenen noodpatch. In de FAQ (frequently asked questions) wordt wel gerefereerd aan oudere versies, waarbij de softwareproducent het advies geeft te migreren. Het bedrijf noemt nog wel de mogelijkheid van custom support voor oudere software, waarvoor aparte contracten op maat gelden.

Windows XP is nog altijd het meestgebruikte besturingssysteem ter wereld, blijkt uit nieuwe cijfers van marktmeter Net Applications. De eervorige Windows-versie is met een marktaandeel van 61,87 procent groter dan opvolgers Vista (14,34 procent) en Windows 7 (14,46 procent ) bij elkaar opgeteld.

De populariteit van XP geldt niet alleen voor de meest actuele versie, met SP3. Volgens schattingen is het verouderde XP SP2 nog veel in gebruik bij het bedrijfsleven. Dat is vaak te wijten aan afhankelijkheden van oudere, kritieke applicaties. Dat kunnen technische afhankelijkheden zijn, maar ook een kwestie van support; de oudere software geniet mogelijk geen ondersteuning op het nieuwere besturingssysteem.

Kritieke fabriekssystemen

Onder bedrijven zijn productie-omgevingen vaak nog het meest behoudend wat betreft software. Bovendien was de eerste malware die het shortcut-lek benutte specifiek gemaakt om binnen te dringen in industriële beheersoftware van Siemens die draait bij fabrieken en nutsbedrijven.

Die kritieke omgevingen gaan normaliter jaren mee en vormen een complex geheel waarin updates, laat staan migraties van hele besturingssystemen, niet altijd worden doorgevoerd.

Naast de installatiekosten is de support ook een voorname reden voor dit achterlopen met updates. Door een upgrade kan namelijk de support voor het eigenlijke applicatiesysteem vervallen. Ook is het mogelijk dat de oude software niet draait op het nieuwere besturingssysteem. Daardoor is dan weer een nieuwe versie van het kostbare en complexe pakket vereist. Zo is versie 6.2 van WinCC niet compatibel met Vista en Windows 7, maar de betaalde upgrade naar versie 7 wel. Die versie is in juli 2008 uitgekomen. Voor Step 7 (versie 5) zijn er wel gratis upgrades beschikbaar om te draaien op nieuwere Windows-versies.

De ontdekking door het Wit-Russische securitybedrijf VirusBlokAda van de zogeheten Stuxnet-worm heeft het shortcut-lek aan het licht gebracht. Die worm is gemaakt om via het Windows-lek zwakke plekken te misbruiken in de applicaties WinCC (Windows Control Center) en Step7 van fabriekssoftware SCADA (Supervisory Control and Data Acquisition) van Siemens.

WinCC is visualisatiesoftware voor het monitoren van geautomatiseerde processen. Step7 is een pakket voor ingenieurs die software maken en configureren voor programmable controllers van Siemens (Simatic) die weer dienst kunnen doen in fabrieken en productieprocessen.

Toegang beperken

Siemens biedt inmiddels een eigen security-update voor zijn software. Die moet worden geïnstalleerd ná de noodpatch van Microsoft. De Siemens-patch voert in wezen de workaround uit die Microsoft eerder heeft geadviseerd en die de weergave van iconen geheel uitschakelt. Daarnaast verscherpt de update de security-instellingen voor SQL Server in de SCADA-beheeromgeving van Siemens. Daardoor leidt toegang tot die Microsoft-database niet meer tot beheerdersrechten, staat vermeld in de documentatie bij de patch.

Naast het installeren van deze patches moet een eventuele infectie nog wel worden opgespoord en geruimd. Dat kan met de door Siemens goedgekeurde antiviruspakketten van Trend Micro, Symantec en McAfee, die sinds 25 juli definities hebben om deze malware aan te pakken. Siemens zelf biedt op zijn supportpagina over deze malware ook een gratis tool, afkomstig van Trend Micro.

Klanten besmet

Siemens meldt op die supportpagina ook dat het momenteel op de hoogte is van vier klanten wereldwijd die besmet zijn. Dat waren er enkele dagen eerder nog twee. Hierbij zijn tot nog toe geen fabrieken verstoord, benadrukt de leverancier van de fabriekssoftware. Het saboteren van SCADA-systemen is overigens niet het doel van de malware. Stuxnet is juist gemaakt om informatie uit de fabriekssystemen te halen en die te uploaden naar remote servers. Kortom, industriële spionage.

Eerder was al bekend dat er in ieder geval één Siemens-klant in Duitsland is besmet. Securitybedrijf Symantec heeft gedetecteerd dat het merendeel van de Stuxnet-besmettingen zich in Iran bevindt. Stuxnet is allang niet meer de enige malware die dit fundamentele lek in Windows misbruikt. De bank-Trojan Zeus en de Sality-malware kunnen ook binnenkomen via het snelkoppelingenlek in Windows.