Het SSL-lek in Windows dat gisteren door Microsoft werd gepatcht zal zeer waarschijnlijk binnen een week worden aangevallen, zo voorspelt het Internet Storm Center (ISC). De kwetsbaarheid bevindt zich in Microsoft Secure Channel (Schannel), de standaard SSL-bibliotheek die Windows voor de implementatie van SSL gebruikt. De meeste Windowssoftware die verbindingen en informatie via SSL beveiligt, maakt gebruik van Schannel.

Het lek werd intern bij Microsoft tijdens een "proactieve security assessment" gevonden. Dat is opmerkelijk, aangezien de softwaregigant kwetsbaarheden die het zelf ontdekt eigenlijk nooit in de Security Bulletins vermeldt. Via het lek kan een aanvaller willekeurige code op een systeem uitvoeren. Volgens Microsoft is het probleem in alle ondersteunde versies van Windows aanwezig. Servers en werkstations die Schannel gebruiken lopen dan ook het grootste risico. In de FAQ over het lek schetst Microsoft slechts één aanvalsscenario, waarbij een aanvaller het lek kan misbruiken door een speciaal geprepareerd pakket naar een Windowsserver te sturen.

Volgens het ISC zijn dan ook met name SSL-diensten die vanaf het internet bereikbaar zijn, zoals web- en mailservers, het voornaamste doelwit. Daarnaast zouden echter ook interne servers en bijvoorbeeld reislaptops met VPNs die naar inkomende SSL-verbindingen luisteren risico lopen. Beheerders krijgen dan ook het advies deze systemen zo snel als mogelijk te patchten en te controleren.

Doordat de patch nu beschikbaar is kunnen kwaadwillenden die analyseren en vervolgens een exploit ontwikkelen om het lek aan te vallen, wat inhoudt dat systeembeheerders moeten opschieten. "Ik schat dat je waarschijnlijk een week de tijd hebt, misschien minder, om je systemen te patchen voordat er een exploit verschijnt", aldus Johannes Ullrich, CTO van het ISC. Hij sluit niet uit dat het lek kan worden misbruikt door een worm, zoals "slapper". Dit was een worm die in 2002 Apache-servers met een kwetsbare versie van OpenSSL infecteerde.