Microsoft-beveiligingsbulletin MS09-061 - Kritiek

Niet-schadelijke Microsoft .NET-toepassingen lopen geen risico door dit beveiligingslek te worden getroffen. Dit beveiligingslek kon alleen worden misbruikt door toepassingen die op een specifiek schadelijke wijze waren gemaakt.

In geval van webhosting moet een aanvaller de rechten hebben om willekeurige ASP.NET-pagina's te uploaden naar een website, en op die webserver moet ASP.NET zijn geïnstalleerd. In een standaardconfiguratie kan een anonieme gebruiker geen Microsoft .NET-code uploaden en uitvoeren op een Internet Information Server (IIS).

Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Deze modus vermindert het probleem van dit beveiligingslek alleen voor een aanval vanaf het web. Zie het gedeelte Veelgestelde vragen met betrekking tot dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Internet Explorer 8 schakelt het Microsoft .NET MIME-filter in de zone Internet uit. Deze functie van Internet Explorer 8 maakt misbruik van dit beveiligingslek moeilijker door een bekende techniek voor het omzeilen van ASLR- en DEP-bescherming te belemmeren. Het uitschakelen van het Microsoft .NET MIME-filter in de zone Internet maakt het niet onmogelijk om misbruik te maken van dit beveiligingslek in Internet Explorer 8, maar het wordt voor schadelijke websites wel moeilijker om er op betrouwbare wijze misbruik van te maken.

In het geval van een aanval vanaf het web zou de aanvaller kunnen beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een Instant Messenger-bericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker of ASP.NET-account. Gebruikers of accounts waarvoor minder bevoegdheden op het systeem zijn ingesteld, lopen minder risico dan gebruikers of accounts die met beheerdersbevoegdheden werken.

Gedeeltelijk vertrouwde Microsoft .NET-toepassingen uitschakelen

Om alle gedeeltelijk vertrouwde Microsoft .NET-toepassingen uit te schakelen, inclusief XAML-browsertoepassingen (XBAPs) en Microsoft .NET-toepassingen op het netwerk, voert u de volgende opdrachten uit vanaf een opdrachtprompt met verhoogde bevoegdheden:

caspol –pp off
caspol –m –resetlockdown
caspol –pp on

Opmerking U moet als beheerder zijn aangemeld of beheerdersrechten hebben om deze tijdelijke oplossing in te stellen.

Gevolgen van de tijdelijke oplossing: Sommige Microsoft .NET-toepassingen worden niet uitgevoerd.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Om de standaardinstellingen voor het beveiligingsbeleid voor Microsoft .NET te herstellen, voert u volgende opdrachten uit vanaf een opdrachtprompt met verhoogde bevoegdheden:

caspol –pp off
caspol –m –reset
caspol –pp on

Opmerking U moet als beheerder zijn aangemeld of beheerdersrechten hebben om deze tijdelijke oplossing ongedaan te maken.

XAML-browsertoepassingen uitschakelen in Internet Explorer

U kunt het systeem beter beschermen tegen de gevaren van dit beveiligingslek door bepaalde instellingen te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat XAML-browsertoepassingen (XBAPs) worden uitgevoerd of door XBAPs uit te schakelen in de beveiligingszones Internet en Lokaal intranet.

Gevolgen van de tijdelijke oplossing: Microsoft .NET-code wordt niet uitgevoerd in Internet Explorer of wordt niet uitgevoerd zonder een waarschuwing. Als u Microsoft .NET-toepassingen en -componenten uitschakelt in de beveiligingszones Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Scenario met webbrowsing
Een aanvaller kan beschikken over een speciaal vervaardigde website met daarop een speciaal vervaardigde XBAP (XAML-browsertoepassing) waarmee misbruik kan worden gemaakt van dit lek, en vervolgens de gebruiker ertoe overhalen deze website te bekijken. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat. Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.

Scenario met webhosting
Als gebruikers in een webhosting-omgeving aangepaste ASP.NET-toepassingen kunnen uploaden, kan een aanvaller een schadelijke ASP.NET-toepassing uploaden die zich via misbruik van dit beveiligingslek kan losmaken van de afgeschermde omgeving waarmee wordt voorkomen dat ASP.NET-code schadelijke handelingen kan verrichten op het serversysteem.

Scenario met Microsoft .NET Framework-toepassing
Een aanvaller kan een schadelijke Microsoft .NET Framework-toepassing op een gedeelde netwerklocatie plaatsen en gebruikers op dat netwerk ertoe overhalen om deze toepassing uit te voeren.

Scenario met webbrowsing
Voor een geslaagd misbruik van dit beveiligingslek moet een gebruiker zich hebben aangemeld en websites bezoeken met een webbrowser waarmee XBAP's kunnen worden gestart. Daarom is het risico het grootst voor computers waarop een webbrowser regelmatig wordt gebruikt, zoals werkstations en terminalservers. Servers lopen meer risico als beheerders gebruikers toestaan op de servers te bladeren en e-mail te lezen. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.

Scenario met webhosting
Hostingsites waarop gebruikers eigen ASP.NET-toepassingen kunen uploaden, lopen een groter risico.

Niet-schadelijke Microsoft .NET-toepassingen lopen geen risico door dit beveiligingslek te worden getroffen. Dit beveiligingslek kon alleen worden misbruikt door toepassingen die op een specifiek schadelijke wijze waren gemaakt.

In geval van webhosting moet een aanvaller de rechten hebben om willekeurige ASP.NET-pagina's te uploaden naar een website, en op die webserver moet ASP.NET zijn geïnstalleerd. In een standaardconfiguratie kan een anonieme gebruiker geen Microsoft .NET-code uploaden en uitvoeren op een Internet Information Server (IIS).

Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Deze modus vermindert het probleem van dit beveiligingslek alleen voor een aanval vanaf het web. Zie het gedeelte Veelgestelde vragen met betrekking tot dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Internet Explorer 8 schakelt het Microsoft .NET MIME-filter in de zone Internet uit. Deze functie van Internet Explorer 8 maakt misbruik van dit beveiligingslek moeilijker door een bekende techniek voor het omzeilen van ASLR- en DEP-bescherming te belemmeren. Het uitschakelen van het Microsoft .NET MIME-filter in de zone Internet maakt het niet onmogelijk om misbruik te maken van dit beveiligingslek in Internet Explorer 8, maar het wordt voor schadelijke websites wel moeilijker om er op betrouwbare wijze misbruik van te maken.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een Instant Messenger-bericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker of ASP.NET-account. Gebruikers of accounts waarvoor minder bevoegdheden op het systeem zijn ingesteld, lopen minder risico dan gebruikers of accounts die met beheerdersbevoegdheden werken.

Gedeeltelijk vertrouwde Microsoft .NET-toepassingen uitschakelen

Om alle gedeeltelijk vertrouwde Microsoft .NET-toepassingen uit te schakelen, inclusief XAML-browsertoepassingen (XBAPs) en Microsoft .NET-toepassingen op het netwerk, voert u de volgende opdrachten uit vanaf een opdrachtprompt met verhoogde bevoegdheden:

caspol –pp off
caspol –m –resetlockdown
caspol –pp on

Opmerking U moet als beheerder zijn aangemeld of beheerdersrechten hebben om deze tijdelijke oplossing in te stellen.

Gevolgen van de tijdelijke oplossing: Sommige Microsoft .NET-toepassingen worden niet uitgevoerd.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Om de standaardinstellingen voor het beveiligingsbeleid voor Microsoft .NET te herstellen, voert u volgende opdrachten uit vanaf een opdrachtprompt met verhoogde bevoegdheden:

caspol –pp off
caspol –m –reset
caspol –pp on

Opmerking U moet als beheerder zijn aangemeld of beheerdersrechten hebben om deze tijdelijke oplossing ongedaan te maken.

XAML-browsertoepassingen uitschakelen in Internet Explorer

U kunt het systeem beter beschermen tegen de gevaren van dit beveiligingslek door bepaalde instellingen te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat XAML-browsertoepassingen (XBAPs) worden uitgevoerd of door XBAPs uit te schakelen in de beveiligingszones Internet en Lokaal intranet.

Gevolgen van de tijdelijke oplossing: Microsoft .NET-code wordt niet uitgevoerd in Internet Explorer of wordt niet uitgevoerd zonder een waarschuwing. Als u Microsoft .NET-toepassingen en -componenten uitschakelt in de beveiligingszones Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Scenario met webbrowsing
Een aanvaller kan beschikken over een speciaal vervaardigde website met daarop een speciaal vervaardigde XBAP (XAML-browsertoepassing) waarmee misbruik kan worden gemaakt van dit lek, en vervolgens de gebruiker ertoe overhalen deze website te bekijken. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat. Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.

Scenario met webhosting
Als gebruikers in een webhosting-omgeving aangepaste ASP.NET-toepassingen kunnen uploaden, kan een aanvaller een schadelijke ASP.NET-toepassing uploaden die zich via misbruik van dit beveiligingslek kan losmaken van de afgeschermde omgeving waarmee wordt voorkomen dat ASP.NET-code schadelijke handelingen kan verrichten op het serversysteem.

Scenario met Microsoft .NET Framework-toepassing
Een aanvaller kan een schadelijke Microsoft .NET Framework-toepassing op een gedeelde netwerklocatie plaatsen en gebruikers op dat netwerk ertoe overhalen om deze toepassing uit te voeren.

Scenario met webbrowsing
Voor een geslaagd misbruik van dit beveiligingslek moet een gebruiker zich hebben aangemeld en websites bezoeken met een webbrowser waarmee XBAP's kunnen worden gestart. Daarom is het risico het grootst voor computers waarop een webbrowser regelmatig wordt gebruikt, zoals werkstations en terminalservers. Servers lopen meer risico als beheerders gebruikers toestaan op de servers te bladeren en e-mail te lezen. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.

Scenario met webhosting
Hostingsites waarop gebruikers eigen ASP.NET-toepassingen kunen uploaden, lopen een groter risico.

De huidige versie van Microsoft Silverlight, Silverlight 3, wordt door dit beveiligingslek niet getroffen. Standaard zal Silverlight regelmatig een Microsoft-website voor updates controleren om u van de nieuwste functies en verbeteringen te voorzien. Zodra er een nieuwere versie beschikbaar is, zal deze op uw computer worden gedownload en geïnstalleerd. Op de meeste systemen wordt al een versie van Silverlight 3 uitgevoerd. Zie Microsoft Silverlight Updater voor meer informatie.

Niet-schadelijke Microsoft .NET-toepassingen lopen geen risico door dit beveiligingslek te worden getroffen. Dit beveiligingslek kon alleen worden misbruikt door toepassingen die op een specifiek schadelijke wijze waren gemaakt.

In geval van webhosting moet een aanvaller de rechten hebben om willekeurige ASP.NET-pagina's te uploaden naar een website, en op die webserver moet ASP.NET zijn geïnstalleerd. In een standaardconfiguratie kan een anonieme gebruiker geen Microsoft .NET-code uploaden en uitvoeren op een Internet Information Server (IIS).

Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Deze modus vermindert het probleem van dit beveiligingslek alleen voor een aanval vanaf het web. Zie het gedeelte Veelgestelde vragen met betrekking tot dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Internet Explorer 8 schakelt het Microsoft .NET MIME-filter in de zone Internet uit. Deze functie van Internet Explorer 8 maakt misbruik van dit beveiligingslek in Internet Explorer 8 moeilijker door een bekende techniek voor het omzeilen van ASLR- en DEP-bescherming te belemmeren. Dit maakt het nog niet onmogelijk om dit beveiligingslek in Internet Explorer 8 te misbruiken, maar dit wordt voor schadelijke websites wel een stuk moeilijker.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een Instant Messenger-bericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker of ASP.NET-account. Gebruikers of accounts waarvoor minder bevoegdheden op het systeem zijn ingesteld, lopen minder risico dan gebruikers of accounts die met beheerdersbevoegdheden werken.

Gedeeltelijk vertrouwde Microsoft .NET-toepassingen uitschakelen

Om alle gedeeltelijk vertrouwde Microsoft .NET-toepassingen uit te schakelen, inclusief XBAPs en Microsoft .NET-toepassingen op het netwerk, voert u de volgende opdrachten uit vanaf een opdrachtprompt met verhoogde bevoegdheden:

caspol –pp off
caspol –m –resetlockdown
caspol –pp on

Opmerking U moet als beheerder zijn aangemeld of beheerdersrechten hebben om deze tijdelijke oplossing in te stellen.

Gevolgen van de tijdelijke oplossing: Sommige Microsoft .NET-toepassingen worden niet uitgevoerd.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Om de standaardinstellingen voor het beveiligingsbeleid voor Microsoft .NET te herstellen, voert u volgende opdrachten uit vanaf een opdrachtprompt met verhoogde bevoegdheden:

caspol –pp off
caspol –m –reset
caspol –pp on

Opmerking U moet als beheerder zijn aangemeld of beheerdersrechten hebben om deze tijdelijke oplossing ongedaan te maken.

XAML-browsertoepassingen uitschakelen in Internet Explorer

U kunt het systeem beter beschermen tegen de gevaren van dit beveiligingslek door bepaalde instellingen te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat XAML-browsertoepassingen worden uitgevoerd of door XAML-browsertoepassingen uit te schakelen in de beveiligingszones Internet en Lokaal intranet.

Gevolgen van de tijdelijke oplossing: Microsoft .NET-code wordt niet uitgevoerd in Internet Explorer of wordt niet uitgevoerd zonder een waarschuwing. Als u Microsoft .NET-toepassingen en -componenten uitschakelt in de beveiligingszones Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Tijdelijk voorkomen dat het ActiveX-besturingselement van Microsoft Silverlight wordt uitgevoerd in Internet Explorer op Windows XP Service Pack 2 of hoger

U kunt het systeem beter beschermen tegen de gevaren van deze beveiligingslekken door tijdelijk te voorkomen dat het ActiveX-besturingselement van Microsoft Silverlight in Internet Explorer wordt uitgevoerd. In Internet Explorer kunt u de met de functie Invoegtoepassingen beheren het ActiveX-besturingselement uitschakelen.

Opmerking Als u het ActiveX-besturingselement niet kunt vinden, kunt u via de vervolgkeuzelijst overschakelen van "Invoegtoepassingen die op dit moment in Internet Explorer zijn geladen" naar "Invoegtoepassingen die door Internet Explorer worden gebruikt" of van "Momenteel geladen invoegtoepassingen" naar "Alle invoegtoepassingen" en volg dan stap 2 en 3. Als het ActiveX-besturingselement niet in deze lijst staat, dan is het ActiveX-besturingselement niet eerder door u gebruikt of is het niet aanwezig op uw systeem.

Opmerking Deze tijdelijke oplossing is uitsluitend bedoeld voor systemen waarop Silverlight al is geïnstalleerd en kan niet proactief worden gebruikt op systemen waarop Silverlight nog niet is geïnstalleerd.

Zie Microsoft Knowledge Base-artikel 883256 voor meer informatie over de functie Invoegtoepassingen beheren in Internet Explorer op Windows XP Service Pack 2

Gevolgen van de tijdelijke oplossing: Toepassingen en websites waarvoor het ActiveX-besturingselement van Microsoft Silverlight een vereiste is, werken mogelijk niet langer correct. Als u deze tijdelijke oplossing implementeert, wordt het ActiveX-besturingselement van Silverlight beïnvloed dat u op uw systeem hebt geïnstalleerd.

Zo kunt u tijdelijke oplossingen ongedaan maken.

De uitvoering van het ActiveX-besturingselement van Microsoft Silverlight in Internet Explorer tijdelijk voorkomen

U kunt zorgen voor extra bescherming tegen misbruik van dit beveiligingslek door pogingen om het ActiveX-besturingselement voor Silverlight in Internet Explorer te starten, tijdelijk te verhinderen door de kill-bit voor het besturingselement in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

Het wordt aangeraden een back-up van het register te maken voor u het register gaat bewerken.

Gebruik de volgende tekst om een REG-bestand te maken waarmee u pogingen om het ActiveX-besturingselement van Silverlight in Internet Explorer te starten, tijdelijk belemmert. U kunt de volgende tekst in een teksteditor zoals Notepad plakken en het vervolgens in een bestand met de extensie .reg opslaan. Voer het REG-bestand uit op de client waarvoor dit probleem geldt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}]

Sluit en open Internet Explorer om de wijzigingen door te voeren.

Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg deze stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat het ActiveX-besturingselement van Silverlight in Internet Explorer wordt uitgevoerd.

Gevolgen van de tijdelijke oplossing: Toepassingen en websites waarvoor het ActiveX-besturingselement van Microsoft Silverlight een vereiste is, werken mogelijk niet langer correct. Als u deze tijdelijke oplossing implementeert, wordt het ActiveX-besturingselement van Silverlight beïnvloed dat u op uw systeem hebt geïnstalleerd.

Zo maakt u de tijdelijke oplossing ongedaan. Verwijder de registersleutels die u hebt toegevoegd om pogingen om het Silverlight ActiveX-besturingselement in Internet Explorer te starten, tijdelijk belemmeren.

Scenario met webbrowsing
Een aanvaller kan beschikken over een speciaal vervaardigde website met daarop een speciaal vervaardigde XBAP (XAML-browsertoepassing) of Silverlight-toepassing waarmee misbruik kan worden gemaakt van dit lek, en vervolgens de gebruiker ertoe overhalen deze website te bekijken. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat. Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.

Scenario met webhosting
Als gebruikers in een webhosting-omgeving aangepaste ASP.NET-toepassingen kunnen uploaden, kan een aanvaller een schadelijke ASP.NET-toepassing uploaden die zich via misbruik van dit beveiligingslek kan losmaken van de afgeschermde omgeving waarmee wordt voorkomen dat ASP.NET-code schadelijke handelingen kan verrichten op het serversysteem.

Scenario met Microsoft .NET Framework-toepassing
Een aanvaller kan een schadelijke Microsoft .NET Framework-toepassing op een gedeelde netwerklocatie plaatsen en gebruikers op dat netwerk ertoe overhalen om deze toepassing uit te voeren.

Scenario met webbrowsing
Om misbruik van dit beveiligingslek te kunnen maken moet een aangemelde gebruiker websites bezoeken met een webbrowser waarin XBAPs of Silverlight-toepassingen kunnen worden gestart. Daarom is het risico het grootst voor computers waarop een webbrowser regelmatig wordt gebruikt, zoals werkstations en terminalservers. Servers lopen meer risico als beheerders gebruikers toestaan op de servers te bladeren en e-mail te lezen. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.

Scenario met webhosting
Hostingsites waarop gebruikers eigen ASP.NET-toepassingen kunen uploaden, lopen een groter risico.