Hoewel het ernstige LNK-lek in Windows al ruim twee weken bekend is, kwam het Computer Emergency Response Team van de Nederlandse overheid (Govcert) pas gisteren met een waarschuwing, die ook nog onvolledig is. De kwetsbaarheid werd op 15 juli voor het eerst gerapporteerd, waarna Microsoft een dag later met een advisory kwam. Een fout in de verwerking van icoontjes van snelkoppelingen zorgt ervoor dat het vrij eenvoudig voor aanvallers is om systemen over te nemen.

In de advisory gaf Microsoft een tijdelijke oplossing om de aanvalsvectoren voor het lek uit te schakelen. Op 21 juli verscheen er vervolgens een Fix-it tool, die gebruikers via één muisklik het register laat aanpassen, waardoor ze beschermd zijn.

Aanvalsvector
Verder werd de advisory door Microsoft aangepast, aangezien er meerdere aanvalsvectoren mogelijk zijn. Naast het gebruik van USB-sticks, zou een aanvaller ook een kwaadaardige website of remote netwerk share kunnen opzetten en daar de kwaadaardige componenten plaatsen.

"Als de gebruiker naar de website met een browser zoals Internet Explorer of een file manager zoals Windows Explorer surft, zal Windows het icoon van de snelkoppeling proberen te laden en wordt de kwaadaardige binary aangeroepen. Daarnaast kan een aanvaller een exploit in een document verstoppen dat ingebedde snelkoppelingen ondersteunt of een hosted browser control (zoals, maar niet beperkt tot Microsoft Office documenten)."

Onvolledig
Een week na het verschijnen van de Fix-it tool kwam Govcert pas gisteren met een Factsheet en via de Waarschuwingsdienst (een dienst van Govcert) met een waarschuwing. De waarschuwing is onvolledig, aangezien niet alle aanvalsvectoren staan beschreven.

"Het softwarelek kan worden uitgebuit wanneer je met de Windows Verkenner een map opent waarin zich een kwaadaardige snelkoppeling bevindt. De kwetsbaarheid kan op deze manier worden gebruikt voor het verspreiden van een virus op bijvoorbeeld een CD-ROM of USB-Stick, die je met de Windows Verkenner hebt geopend."

Het gebruik van websites en documenten door aanvallers wordt achterwege gelaten, terwijl documenten wel in de Factsheet als aanvalsvector staan vermeld. Security.nl vroeg Govcert om een reactie, maar er was niemand aanwezig die de pers te woord kon staan.

Update 16:20
Govcert laat in een reactie weten dat het gebruikers nu via Waarschuwingsdienst.nl heeft gewaarschuwd, omdat het meer malware ziet die van het lek misbruik maakt. Volgens de overheidsinstantie richt ze zich op twee groepen. Deelnemers, zoals ministeries, en thuisgebruikers. Al op 15 juli werden de deelnemers voor een potentieel nieuw Windows-lek gewaarschuwd. Een waarschuwing die via het informatiepunt cybercrime ook onder bedrijven met een SCADA-omgeving werd verspreid.

Aangezien de eerste aanvallen op SCADA-systemen waren gericht, vond Govcert het niet noodzakelijk om thuisgebruikers te waarschuwen, mede omdat de oplossing van Microsoft niet gebruiksvriendelijk is. Die zorgt ervoor dat alle icoontjes wit worden. Op 18 juli verscheen er op de Waarschuwingsdienst.nl wel een artikel over de mogelijk nieuwe exploit. Er ontbreekt echter een datum in het artikel, waardoor niet duidelijk is wanneer het werd gepubliceerd.

Risicoprofiel
Het risicoprofiel voor thuisgebruikers veranderde doordat er sinds deze week meer malware werd gesignaleerd die het lek misbruikte. Malware die volgens Govcert ook een risico voor het Nederlandse IP-gebied vormt. Ondanks de vervelende bijwerking van Microsoft's Fix-it oplossing, besloot het nu wel via e-mail een waarschuwing uit te geven.

Wat betreft het ontbreken van alle aanvalsvectoren in de advisory op Waarschuwingsdienst.nl, laat Govcert weten dat men het voor de thuisgebruiker niet ingewikkelder wil maken dan noodzakelijk. De overheidsinstantie erkent dat het een te simpele weergave van de feiten is, maar benadrukt dat het om de actie gaat die mensen moeten ondernemen.