Microsoft heeft tijdens de Patch Tuesday een update uitgebracht voor het dichten van vier kritieke lekken. De oplossing voor drie usb-lekken rekent Microsoft niet tot deze kritieke lekken omdat de aanvaller fysieke toegang moet hebben tot de computer. Daardoor viel deze gisteren niet zo op, terwijl dit voor bedrijven een heel belangrijke update is. Via het lek kan eenvoudig toegang worden verkregen tot het systeem. Dit beveiligingsprobleem zit in alle Windowsversies.

De usb-lekken maken het voor kwaadwillenden mogelijk om een computer volledig over te nemen door een speciaal geprepareerde usb-stick in de machine te steken. Net als in de film dus. Via de lekken kan code op kernelniveau worden uitgevoerd, waardoor de hacker direct administrator-rechten verkrijgt, meldt Webwereld.

De aanvaller moet daarvoor wel fysieke toegang hebben tot de computer, maar voor de rest werkt de hack zonder enige gebruikersinteractie. Het maakt daarbij niet uit of de computer is vergrendeld. Ook hoeft de gebruiker niet te zijn ingelogd.

Vergelijkbaar met Stuxnet
De usb-lekken worden al vergeleken met Stuxnet, een zeer geavanceerde worm die zich via usb-apparaten wist te verspreiden. Deze vereiste echter iets meer interactie, omdat de usb-stick daarvoor wel moest worden geopend of bekeken.

Een patch is beschikbaar via Windows Update. Ook is deze apart te downloaden via Microsoft Security Bulletin MS13-027.