Thuisgebruikers en bedrijven die de Windows-updates van september nog niet hebben geïnstalleerd krijgen het dringende advies dit zo spoedig mogelijk te doen, aangezien twee exploits die misbruik van de beveiligingslekken maken online gepubliceerd zijn.

Tijdens de patchronde van september verhielp Microsoft 47 beveiligingslekken in onder andere Internet Explorer, Windows en Office. Aanvalscode voor twee van deze lekken is aan Metasploit toegevoegd. Dit is een framework waarmee penetratietesters, security professionals en systeembeheerders de veiligheid van systemen en netwerken kunnen testen.

De toegevoegde exploits zijn voor een kwetsbaarheid in Internet Explorer en een lek in Windows. Het bezoeken van een gehackte of kwaadaardige website met een ongepatchte IE-versie kan een aanvaller volledige controle over het systeem geven.

Windows Themes

De tweede kwetsbaarheid betreft een probleem met Windows Themes. Hierbij is het mogelijk voor een aanvaller om willekeurige code uit te voeren als de gebruiker een kwaadaardig Windows thema installeert waarbij een verwijzing naar een scr-bestand is opgenomen. Veel gebruikers denken bij SCR-bestanden aan screensavers, maar het zijn gewoon uitvoerbare Windowsbestanden.

De kwetsbaarheid in Windows Themes maakte het mogelijk om een screensaver in te stellen die vanaf een remote locatie werd aangeboden. De nu verschenen exploit kan op twee manieren misbruik van dit lek maken. De eerste methode is dat een gebruiker na de installatie van het Windows thema de Screensaver-tab bezoekt. Dit zorgt ervoor dat de code van de aanvaller wordt uitgevoerd.

Screensaver

Als de gebruiker dit niet doet is er nog een tweede mogelijkheid, namelijk als hij zijn computer een bepaalde tijd niet gebruikt. De screensaver wordt dan geactiveerd en daarmee kan de aanvaller zijn code alsnog op het systeem uitvoeren, aldus Juan Vazquez van Rapid7, het bedrijf dat Metasploit aanbiedt. Zoals gezegd lopen Windowsgebruikers die de updates van september hebben geïnstalleerd geen risico.