Atak umożliwia przejęcie kontroli nad systemem Windows i może być wykorzystany do infekcji komputera przez złośliwe oprogramowanie. Od powiadomienia Microsoftu do opublikowania informacji o luce i przykładowego kodu eksploita upłynęło zaledwie pięć dni. Tak krótki czas może świadczyć o tym, że wojna między gigantami branży komputerowej zaczyna być coraz ostrzejsza. Niedawno firma Google zdecydowała o rezygnacji z wykorzystywania systemów Microsoft Windows, tłumacząc to problemami z bezpieczeństwem tej platformy.

Tavis Ormandy, inżynier zajmujący się bezpieczeństwem informatycznym, który pracuje dla Google w Szwajcarii informuje, że atak wykorzystuje lukę w bezpieczeństwie usługi pomocy technicznej Windows (Windows Help and Support Center). Narzędzie to umożliwia pobranie plików pomocy z serwerów webowych Microsoftu i może być także użyte do zdalnego uruchomienia narzędzi pomocy na komputerze lokalnym przez techników serwisu. Opublikowane informacje świadczą o tym, że napastnik, wykorzystując ten błąd, może uruchomić dowolne komendy i dowolny kod na poziomie uprawnień bieżącego zalogowanego użytkownika. Typowym celem ataków jest użytkownik domowy, który w domyślnej instalacji Windows XP pracuje na uprawnieniach administratora.

Scenariusz ataku umożliwia przejęcie kontroli nad komputerem niezależnie od wykorzystywanej przeglądarki, wliczając w to najnowszego Internet Explorera 8. Błąd można jeszcze prościej wykorzystać, jeśli komputer posiada zainstalowany i gotowy do użycia odtwarzacz Windows Media Player, który jest instalowany domyślnie.

Atak jest dość skomplikowany, wymaga kilku etapów oraz obejścia niektórych zabezpieczeń (na przykład białej listy dokumentów), wykorzystania błędu cross-site scripting, a następnie wykonania odpowiedniego skryptu i ukrycia komunikatu dla użytkownika.

Dostarczony kod został sprawdzony w środowisku Windows XP SP2 i SP3 przy przeglądarce Internet Explorer 7 oraz 8. Ze względu na samą naturę błędu w środowisku centrum pomocy Windows, zmiana przeglądarki na inną, na przykład Firefoksa lub Chrome, nie rozwiązuje problemu, gdyż atakowane obszary wykorzystują biblioteki Internet Explorera oraz zupełnie inne zasoby.