Het Windows DNS server lek waar Microsoft gisteren voor waarschuwde, blijkt ook in de code van Longhorn Server aanwezig te zijn, de opvolger van Windows Server 2003. De softwaregigant heeft nog geen rating aan de kwetsbaarheid gegeven, maar verschillende beveiligigingsbedrijven spreken inmiddels van een "zeer ernstig" lek.

Via de RPC functionaliteit die voor remote management ontworpen is, kan een aanvaller een stack-based buffer overflow veroorzaken, en willekeurige code uitvoeren en het systeem overnemen. Windows gebruikt de remote procedure call om een service van een applicatie op een andere machine aan te roepen.

Aangezien Longhorn Server nog in ontwikkeling is, heeft Microsoft het nieuwe besturingssysteem niet in zijn waarschuwing genoemd. De softwaregigant vermeldt sowieso geen beveiligingslekken in produkten die nog niet zijn uitgebracht.

Het is alweer de derde bug in twee weken tijd, die door oude code te recyclen, zich voordoet in nieuwe besturingssystemen. Eerder ging het om het animated cursorlek en de kwetsbaarheid in het Windows Client/Server Run-time Subsystem (CSRSS) die ook Windows Vista aanwezig zijn.

Zoals Microsoft in haar advisory aangaf is het beveiligingslek al misbruikt. Volgens het Internet Storm Center zouden twee Amerikaanse universiteiten het doelwit van de aanvallers geweest. Die scande eerst poorten 1024 tot 2048 en maakte verbindinn met de TCP poort waarop de kwetsbare RPC service luistert. Uiteindelijk lukte het ze om een VBscript op poort 1100 te uploaden en uitvoeren, waarna het script het bestand DUP.exe downloadde.

Aangezien de exploit nu ook in Metasploit 3 aanwezig is, wordt beheerders aangeraden om remote management over RPC voor de DNS server via een register aanpassing uit te schakelen, ongevraagd inkomend verkeer op poorten 1024-5000 via de firewall te blokkeren of geavanceerde TCP/IP filtering opties voor de interface te gebruiken.