Het lek in Windows Server waarvoor Microsoft gisteren een noodpatch uitbracht werd actief aangevallen. Volgens de softwaregigant ging het om gerichte aanvallen, maar verdere details worden niet gegeven. De kwetsbaarheid bevindt zich in de Kerberos-implementatie van Windows en zorgde ervoor dat een aanvaller een domeingebruiker domeinbeheerdersrechten kon geven.

Een aanvaller kon via de kwetsbaarheid zich als elke gebruiker op het domein voordoen, waaronder beheerders, en zich bij elke groep aansluiten. Door de domeinbeheerder te imiteren kon een aanvaller programma's installeren, data bekijken of verwijderen en nieuwe accounts op elk domeinsysteem aanmaken, zo blijkt uit de omschrijving in Security Bulletin MS14-068.

De aanval die Microsoft in het "wild" ontdekte was gericht tegen kwetsbare code in domeincontrollers op Windows Server 2008 R2 en ouder. Domeincontrollers in Windows Server 2012 en nieuwer zijn volgens Microsoft kwetsbaar voor een gerelateerde aanval, maar zouden veel lastiger zijn aan te vallen. Overige Windowsversies zonder domeincontroller zijn niet kwetsbaar, maar hebben wel de update als extra beveiligingslaag ontvangen.

In het geval een organisatie via het lek is aangevallen en het domein is gecompromitteerd, is volgens Microsoft de enige manier om de aanval op te lossen het volledig herbouwen van het domein. "Een aanvaller met beheerdersrechten op een domeincontroller kan een ongekend aantal aanpassingen aan het systeem maken waardoor de aanvaller toegang kan behouden lang nadat de update is geïnstalleerd. Daarom is het zeer belangrijk om de update meteen te installeren", zegt Joe Bialek van Microsoft.