Microsoft spreekt nog van "beperkte aanvallen die deze exploit misbruiken". Het heeft de security advisory over het lek van begin vorige week bijgewerkt. Het gevaar is echter flink groter geworden doordat er een variant van de aanvalsmethode is gevonden die makkelijker misbruik van het ftp-lek mogelijk maakt. De code daarvoor is eind vorige week geopenbaard.

'Onverantwoord'

Microsoft uit in de security advisory dan ook de klacht dat de ontdekkers onverantwoord bezig zijn. Dat was al zo met de eerste ontdekking van dit gat en de mogelijkheid daarmee de in Windows meegeleverde webserver te hacken. Aanvankelijk was de impact echter nog laag: het betrof oudere versies en bovendien moest de aanvaller rechten op IIS hebben om directories aan te maken. Die beperking geldt niet meer voor de 'bijgewerkte' methode. Daarvoor zijn simpelweg alleen leesrechten nodig.

0wnen of crashen

Dit betekent een drastische uitbreiding van het aantal kwetsbare IIS-servers. Naast het oude IIS 5.0 (op Windows 2000 Server) zijn ook 5.1, 6.0 en 7.0 kwetsbaar. Versie 7.0 draait op Windows Vista en Server 2008, hoewel daarvoor al wel IIS 7.5 beschikbaar is. Eerder kon Microsoft gebruikers nog geruststellen dat de webserver in de huidige versies van zijn besturingssystemen (de client- en serveruitvoeringen) niet kwetsbaar was.

In het ergste geval kan een aanvaller een oude IIS-server overnemen. In het mildste geval, afhankelijk van instellingen en eventueel genomen tegenmaatregelen, laat de aanval de webserver vastlopen. Dit komt neer op een denial of service-aanval (DoS). Het is niet bekend of de aanvallen die nu al zijn waargenomen, bestaan uit het overnemen van servers of 'slechts' het laten crashen daarvan.

Geen patch in zicht

Microsoft biedt in de security advisory enkele workarounds om aanvallen af te weren of om in ieder geval de impact te beperken. Het bedrijf werkt nu met spoed aan een patch, die echter niet morgen meekomt in de patchronde van deze maand. Het security bulletin dat Microsoft vooraf publiceert, maakt geen melding van een patch voor dit lek.