Computerworld News Service: Hackere udnytter nu den 0-dagssårbarhed i Windows, som blev offentliggjort af en ingeniør fra Google i sidste uge, fortæller Microsoft.
Microsoft har ikke afsløret detaljer om angrebet, men andre forskere kan udfylde hullerne.
Det er en kompromitteret hjemmeside, der styrer en exploit af sårbarheden, der findes i Windows' Help and Support Center, og bruger den til at kidnappe pc'er, der kører med Windows XP, siger Graham Cluely, som er senior teknologi-rådgiver ved antivirus-leverandøren Sophos.
Graham Cluely vil ikke afsløre, hvilken side der er tale om, men han siger dog, at det en hjemmeside dedikeret til open source software.
"Det er et klassisk drive-by angreb," siger Graham Cluely med en reference til et angreb, der inficerer pc'en, når brugeren besøger en ondsindet eller kompromitteret hjemmeside.
Taktikken var en af de to, som Microsoft i sidste uge udpegede som sandsynlige angrebs-veje. Den anden var at lokke brugerne til at åbne ondsindede e-mail-meddelelser.
Ifølge Microsoft er exploiten sidenhen blevet fjernet fra den hackede hjemmeside, men selskabet forventer, at flere vil dukke op. "Vi forventer flere exploits i fremtiden, nu hvor detaljerne i sagen er blevet offentliggjorte," siger Jerry Bryant, der er Microsofts group manager of response communications.
Sårbarheden blev afsløret sidste torsdag af Tavis Ormandy, der er sikkerheds-ingeniør ved Google. Tavis Ormandy, som desuden offentliggjorde proof-of-concept angrebs-kode, forsvarer sin beslutning om at afsløre fejlen bare fem dage efter at have fortalt Microsoft om den - en fremgangsmåde som både Microsoft og andre forskere har stillet spørgsmålstegn til.
I denne uge har Graham Cluely kaldt Tavis Ormandys metode "dybt uansvarlig," og i et blogindlæg spørger han, "Tavis Ormandy, er du så tilfreds med dig selv?"
Træt af hade-mails
Perioden på de fem dage mellem det tidspunkt, hvor Tavis Ormandy fortalte Microsoft om fejlen, og til han valgte at informere offentligheden, er i særlig grad faldet Graham Cluely for brystet.
"Fem dage er ikke tid nok til, at man kan forvente, at Microsoft kan nå at udvikle en løsning, som skal testes grundigt for at sikre, at den ikke giver flere problemer, end den løser," forklarer Graham Cluely.
I en besked på Twitter i sidste uge, fortalte Tavis Ormandy, at han valgte at offentliggøre fejlen, fordi Microsoft ikke ville love at finde en løsning inden for 60 dage.
"Jeg er ved at være rigtig træt af '5-dage'-hademails. De fem dage blev brugt på at forsøge at forhandle os frem til en løsning inden for 60 dage," skrev Tavis Ormandy i lørdags.
Microsoft bekræfter, at virksomhedens sikkerhedshold har diskuteret lappe-tidsplanen med Tavis Ormandy.
"Vi er stadig i undersøgelsens tidlige stadier, og vi fortalte ham den 6. juni, at vi ikke ville kunne udforme en tidsplan før i slutningen af ugen," siger Jerry Bryant. "Vi blev meget overraskede, da detaljerne blev offentliggjorte den niende."
Microsoft udsendte en sikkerhedsvejledning om sårbarheden sidste torsdag, hvor virksomheden anerkendte fejlens eksistens og tilbød en manuel workaround, som skulle kunne beskytte mod angreb.
Dagen efter udgav selskabet et 'Fix it'-værktøj, der automatisk af-registrerer HCP-protokollen, hvilket Microsoft mener "vil hjælpe med at blokere kendte angrebs-vektorer, indtil en sikkerhedsopdatering bliver tilgængelig."
Den kode, der bliver brugt til angrebene, minder i høj grad om det proof-of-concept, som Tavis Ormandy offentliggjorde i sidste uge, fortalte Graham Cluely.
Oversat af Marie Dyekjær Eriksen
