Het lek waar Microsoft eind mei voor waarschuwde is nog niet gedicht, of er is alweer een nieuw lek gevonden in DirectShow. Dat meldt het Deense CSIS, helaas alleen in het Deens. Microsoft geeft uitleg in een nieuwe security advisory. "We zijn ons bewust van aanvallen die deze kwetsbaarheid proberen te misbruiken."

Het gaat om een lek in de msVidCtl-component van DirectShow, dat dus actief wordt misbruikt door middel van drive-by attacks. Daarvoor zouden duizenden gecompromitteerde websites worden gebruikt, die nu net pas zijn geïnfecteerd.

Scholen en lokale clubs

Volgens McAfee gaat het daarbij niet om heel erg verdachte websites, maar om domeinen van scholen en sites van lokale clubs. De exploit toolkit gaat eerst na of de oorsprong van de hyperlinks niet komt van '.gov.cn' of '.edu.cn' domeinen. Die worden namelijk gebruikt door Chinese overheids- en onderwijssites. Zijn de bezoekers niet daar vandaan doorverwezen, dan worden ze opgezadeld met een cocktail van exploits, die vervolgens de downloader trojan installeren. Die trojan installeert daarna nog meer malware op de computer.

Exploitcode openbaar

De code van de exploit staat al op een aantal Chinese websites, dus elke hacker heeft er toegang toe. Daardoor kunnen we in de nabije toekomst dus nog meer aanvallen als deze verwachten.

Gebruikers met Windows XP, Windows 2000 en Server 2003 in combinatie met Internet Explorer 6.x en 7.x zijn kwetsbaar. Die kunnen als als workaround een kill bit op de kwetsbare DLL loslaten, zoals beschreven op isc.sans.org.

Bron: Techworld.nl.