Op ZDNet lezen we dat er een ernstige bug in Microsofts implementatie van Virtual Private Networking is gevonden. Veel bedrijven gebruiken VPN - dat standaard wordt meegeleverd met Windows 2000 en XP - om hun werknemers via een versleutelde internetverbinding in te laten loggen op het interne netwerk. Het lek zou aanvallers in staat stellen om het netwerk binnen te dringen, waardoor de zware beveiliging aan de buitenkant van het netwerk omzeild kan worden, en de meestal veel lichtere beveiliging binnen het netwerk dus het enige obstakel is tussen een indringer en de (gevoelige) informatie.
De ontdekker van het beveiligingslek - het Duitse bedrijf Phion Information Technologies, gespecialisteerd in beveiliging - zegt Microsoft hiervan op de hoogte hebben gesteld voordat het de fout afgelopen donderdag openbaar maakte. De softwaregigant zegt nergens van gehoord te hebben. Een onderzoek, dat onmiddellijk werd ingesteld door Microsoft, heeft volgens het bedrijf aangetoond dat het lek aanvallers niet in staat stelt om code uit te voeren op een geïnfecteerd systeem, wat de risicofactor een stuk lager zou maken:
After about six hours of analysis by Microsoft security response center, Christopher Budd, security program manager for the company, said that the flaw could not be used to run code on a system. If so, that would greatly reduce the severity of the vulnerability: Companies would only have to fear a denial-of-service attack on their VPN systems, not a network intruder.
Budd stressed that Microsoft is continuing to work on the problem and will have more definitive answer soon.
"This is top priority," he said. "We are proceeding with all due speed."