Een gevaarlijke worm doet de ronde op ongepatchte Windows-systemen. De kwalijke software valt op omdat hij de deur achter zich sluit zodra hij is binnengeglipt.

Win32/Conficker.A maakt de afgelopen dagen met stijgende frequentie misbruik van een kritiek lek dat Microsoft in oktober dichtte tijdens een van zijn Patch Tuesdays. De malware treft vooral bedrijven die de benodigde veiligheidsupdate nog niet in huis hebben, maar heeft ook enkele honderden thuiscomputers over de hele wereld getroffen. Het programma laat Oekraïense machines vreemd genoeg met rust.

De worm doet zich voor als een webserver en kiest een willekeurige poort om zichzelf via het Windows-lek te verspreiden over een computernetwerk. Hij transformeert in een jpeg-bestand tijdens het kopiëren naar de harde schijf van het slachtoffer en slaat zichzelf op als een willekeurig dll-bestand, zegt de softwaremaker.

Microsoft meldt op zijn Malware Protection Center Blog dat de worm niet van concurrentie is gediend. “Het is ook interessant om op te merken dat de worm de kwetsbare API in het geheugen patcht zodat de machine niet meer kwetsbaar is”, zegt het bedrijf. “Het is niet dat de auteurs van de malware veel geven om de computers, maar ze willen wel zeker weten dat andere malware hen niet kan overnemen.”

De worm houdt zich verborgen tot hij commando’s krijgt van een extern IRC-kanaal. Een aanvaller is zo in staat om tekst van het Windows-klembord te kopiëren, waardoor een gebruiker mogelijk gevoelige gegevens kwijtraakt.

Adobe heeft op 4 november een kritieke beveiligingsupdate van Adobe Reader en Acrobat 8 vrijgegeven, ter reparatie van acht lekken in versie 8.1.2 en ouder. De kwetsbaarheden kunnen de computer laten crashen of een aanvaller de kans geven om het systeem op afstand over te nemen.

Een van de lekken kan worden misbruikt door het slachtoffer over te halen een pdf-bestand met kwaadaardig Javascript te openen. Zodra het bestand is geopend, manipuleert de code het geheugenverbruik van het programma en ontstaat een opening voor de aanvaller om willekeurige code op de machine uit te voeren.

Versie 9 niet kwetsbaar
Adobe Reader 8 is al in juni dit jaar vervangen door Adobe Reader 9; een versie die niet kwetsbaar is. Toch worden de oudere versies nog veel gebruikt. Adobe raadt gebruikers aan om te upgraden naar de dinsdag uitgebrachte versie 8.1.3. Als dit niet direct mogelijk is, dan wordt aangeraden om de Javascript-functionaliteit uit te schakelen.

Microsoft brengt op donderdag 23 oktober 2008 een dringende patch voor Windows uit. Dat is bijzonder ongewoon, want traditiegetrouw worden security-updates op de tweede dinsdag van de maand uitgestuurd.

Dat er buiten deze cyclus een patch verschijnt, wijst op een zekere urgentie. Wellicht gaat het om een heel ernstig lek dat malafide hackers al op grote schaal misbruiken. Microsoft vindt het in dat geval waarschijnlijk belangrijker om pc’s te beveiligen.

Veel details verklapt de vooraankondiging van Microsoft niet. Wel vermeldt het softwarebedrijf welke besturingssystemen kwetsbaar zijn. Een kritiek probleem is er voor Windows 2000, XP en Windows Server 2003, terwijl de kwetsbaarheid bij Windows Vista en Windows Server 2008 het etiket ‘belangrijk’ opgekleefd krijgt.

De patch zal zoals gebruikelijk via de Windows Update-functie verspreid worden. Wie manueel update kan best zo snel mogelijk op de update knop klikken.