Een exploit voor het zeer ernstige LNK-lek in Windows, is aan hackertool Metasploit toegevoegd, waardoor misbruik van de kwetsbaarheid kinderspel wordt. Vanwege het lek hebben zowel het Internet Storm Center als Symantec de alarmfase voor het internet verhoogd.

De aan Metasploit toegevoegde exploitmodule maakt misbruik van de WebDAV methode. In de advisory voor het probleem geeft Microsoft een oplossing om deze aanvalsvector uit te schakelen, maar dat kan voor problemen zorgen bij Sharepoint-gebruikers.

Probleem
Volgens Roel Schouwenberg van anti-virusbedrijf Kaspersky, zit het lek in een fundamenteel onderdeel in de manier waarop Windows LNK-bestanden verwerkt. "En dat zorgt voor twee nadelen." Ten eerste betreft het een standaard functionaliteit, wat het lastig maakt om generieke detecties uit te brengen die geen false positives veroorzaken.

Ten tweede zal het lek lastig voor Microsoft te patchen zijn, zo merkt Schouwenberg op. "Er lijkt geen enkel beveiligingsmodel geassocieerd te zijn met de manier waarop Windows snelkoppelingen verwerkt." De hele situatie doet de senior virusanalist aan de lekken in het WMF-formaat denken. "Het is weer een voorbeeld van legacycode die Microsoft plaagt."

Update
De softwaregigant Twittert dat het nog niet weet wanneer er een beveiligingsupdate voor het lek verschijnt. De Belgische beveiligingsonderzoeker Didier Stevens, die gisteren al demonstreerde hoe zijn Ariad tool het lek verhelpt, legt nu uit hoe Software Restriction Policies (SRP) zijn te gebruiken om een systeem te beveiligen.

Anti-virusbedrijf Sophos maakte onderstaande demonstratie van de exploit.