Microsoft udsendte den 16. juli en kritisk opdatering til Windows 2000 og Windows XP, som fjerner en sårbarhed i operativsystemets RPC-interface (Remote Procedure Call). Fejlen - en klassisk buffer overflow - kan gøre det muligt at afvikle vilkårlig kode på systemet.
Nu er den første kode som udnytter sikkerhedshullet dukket op på nettet - og det kan give problemer for alle de virksomheder og private brugere, som endnu ikke har hentet opdateringen. Koden findes allerede i flere versioner og giver mulighed for at overtage kontrollen med et sårbart system.
Det danske sikkerhedsfirma EuroTrust Virus 112 advarer om, at dette kan blive udnyttet af ondsindede brugere til at kompromittere systemer, som tillader kommunikation over TCP port 135 og 445 og som ikke er blevet opdateret.
»Vi forudser at der vil blive programmeret orme, som udnytter denne sårbarhed til at sprede sig over internettet og i særlige tilfælde til interne netværk. Det kan blandt andet ske, hvis en kompromitteret maskine forbinder sig til et remote netværk via VPN,« fortæller sikkerheds-analytiker Peter Kruse.
Han forudser endvidere, at koden vil blive implementeret i en internetbaseret orm, som automatisk afvikler kode og anvender den kompromitterede maskine til at søge efter andre sårbare systemer, som det er set med CodeRed og SQL-Slammer.
»Det er vores vurdering, på baggrund af den meget detaljerede exploitkode, som er til rådighed, at vi vil opleve en orm som udnytter denne svaghed inden for en meget kort tidshorisont - ja, måske endda i løbet af den kommende uge,« siger han.
EuroTrust vurderer at en internet-orm, som målrettet udnytter denne svaghed, vil få en meget stor udbredelse.
Det anbefales at anvende en firewall og blokere for adgang til TCP-port 135 og 445. Desuden bør man hente Microsofts opdatering - hvis man ikke allerede har gjort det.