Nieuwe exploit voor Vista-lek duikt op

Hackers hebben een nieuwe exploit uitgebracht voor het kritieke zero-day lek in SMB2 in Windows Vista en Windows Server 2008. Het risico op uitbuiting van het lek wordt steeds groter.

 

Deze exploit is namelijk voor iedereen toegankelijk, en dat voert de druk op Microsoft op om met een patch te komen. Het lek werd op 7 september bekend gemaakt door Laurent Gaffié. Hij kon met zijn exploit systemen laten crashen. 10 dagen later maakte Immunity bekend dat ze een exploit hadden geschreven waarmee je systemen kon overnemen, maar die code is niet algemeen beschikbaar gemaakt. Toen al werd er gezegd dat ook het team van Metasploit dicht bij een exploit zat.

 

Nu is er inderdaad een derde exploit verschenen van de hand van Stephan Fewer, ontwikkelaar bij Harmony Security. Deze exploit laat aanvallers code uitvoeren op de aangevallen computer. De code is toegevoegd aan Metasploit, waardoor de code van Fewer voor iedereen toegankelijk is.

 

Volgens HD Moore, een ontwikkelaar van Metasploit, werkt de exploit op Windows Vista SP 1 en 2 en op Windows Server 2008 SP1. En op Server 2008 SP2 zou het moeten werken, voegde hij toe in een tweet.

 

Toch lijkt de code nog niet helemaal betrouwbaar. Een onderzoeker van Immunity heeft verklaard dat hij de code alleen werkend kreeg op een Windows Vista systeem dat binnen een virtuele machine van VMware draaide. Op een fysiek systeem liet de code het systeem weer alleen crashen. Maar Moore gaat ervan uit dat de exploit wel wel degelijk werkt op fysieke systemen. Hij moet alleen nog wat meer worden getest.

 

Op 18 september heeft Microsoft al een fix uitgebracht waarmee je SMB2 uit kunt zetten, en het bedrijf werkt ook nog aan een patch voor de software. Maar of die klaar is voor de volgende patchronde valt nog te bezien.