De exploit voor een zeer ernstig Windows-lek die gisteren online verscheen, is gelekt door een beveiligingspartner van Microsoft. De softwaregigant biedt partijen via het Microsoft Active Protections Program (MAPP) informatie over nieuw ontdekte lekken aan. Beveiligingsbedrijven kunnen die informatie in hun eigen producten verwerken, zodat klanten tegen exploits en malware beschermd zijn. Inmiddels zijn ruim 80 beveiligingsbedrijven bij MAPP aangesloten, waaronder verschillende Chinese bedrijven.

Gisteren verscheen op een Chinese website een exploit voor een zeer ernstige lek in de Windows Remote Desktop-functie. De kwetsbaarheid werd afgelopen dinsdag door Microsoft gepatcht. Via het lek kan een aanvaller op afstand Windows-computers waar Remote Desktop is ingeschakeld overnemen, zonder dat hiervoor enige authenticatie of interactie van de gebruiker is vereist. Experts vrezen dan ook een nieuwe Windows-worm.

Exploit
De Italiaanse beveiligingsonderzoeker Luigi Auriemma rapporteerde de ernstige kwetsbaarheid vorig jaar augustus aan het Zero Day Initiative (ZDI), dat vervolgens Microsoft inlichtte.

Tot grote verbazing van Auriemma, was de code op de Chinese website identiek aan de code die hij naar ZDI stuurde. Dat zou betekenen dat de informatie door iemand gelekt is, zo liet de onderzoeker op Twitter weten.

Onderzoek
Daarbij ging de verdenking meteen uit naar één van de MAPP-leden, wat nu door Microsoft wordt bevestigd. "De details van de proof-of-concept code lijken overeen te komen met de informatie die met Microsoft Active Protections Program (MAPP) partners is gedeeld. Microsoft onderzoekt de openbaarmaking van deze details en zal de noodzakelijke maatregelen nemen om klanten te beschermen en ervoor te zorgen dat vertrouwelijke informatie die wij delen beschermd wordt overeenkomstig onze contracten en programma vereisten", zegt Yunsun Wee, directeur Trustworthy Computing.

Aangezien de exploit nu openbaar is, besloot ook Auriemma zijn originele advisory te openbaren.