Брешь находится в Центре справки и поддержки Windows – встроенной службе Microsoft, позволяющей получать техническую поддержку в Сети. Из-за наличия уязвимости у хакеров имеется возможность встраивать в веб-адреса специальные команды, позволяющие активировать функцию удаленного помощника, которая служит для управления компьютером через Интернет. Написанный исследователем эксплоит гарантированно работает в среде операционных систем Windows XP и Server 2003. Возможно также, что брешь имеется и в других версиях Windows.

В своем руководстве Орманди пишет, что после успешной эксплуатации бага находящийся на удалении хакер может выполнять в системе любые команды с привилегиями текущего пользователя. Атака работоспособна с любыми браузерами, включая Internet Explorer, при условии доступности Windows Media Player.

По словам эксперта, он предупредил компанию Microsoft о наличии бреши в прошлую пятницу. Имея все основания полагать, что хакерам известно об этой уязвимости, он не стал медлить с опубликованием сведений о проблеме и подготовкой образца эксплоита. Официальный представитель Microsoft Джерри Брайант заверил общественность, что специалисты корпорации уже изучают данный вопрос и после проведения расследования опубликуют дополнительную информацию о его итогах.

Обход наложенных программистами Microsoft строгих ограничений на использование служб удаленного доступа возможен путем обмана механизма проверки “белых списков” через использование неверных шестнадцатеричных последовательностей. Объединив эту брешь с возможностью осуществления межсайтового скриптинга на уязвимых веб-страницах Службы справки и поддержки, нападающие могут получить полный доступ к компьютеру посредством специальных команд, встроенных URL.

Помимо эксплоита для Windows XP и Server 2003, руководство от Трэвиса Орманди содержит несколько указаний по снижению риска атаки. Самая эффективная рекомендация – это полное отключение “удаленного помощника”.