image

Microsoft teleurgesteld over publicatie exploit

dinsdag 27 juni 2006, 13:37 door Redactie, 6 reacties

Dit weekend waarschuwde Microsoft voor een exploit die misbruik maakt van het lek in de Windows Remote Access Connection Manager service. De exploit was in het Metasploit Framework verwerkt, een tool die door zowel security professionals als computercriminelen wordt gebruikt. De makers van Metasploit hadden contact met Microsoft over een ander lek dat men in de service had gevonden.

Toen verscheen echter de advisory van de softwregigant waarin het uithaalde naar de onderzoekers die algemeen geldende industrie afspraken zouden hebben geschonden. Deze afspraken bestaan helemaal niet, daarnaast heeft men de exploit negen dagen na het security bulletin gepubliceerd en last but not least heeft Microsoft het door Metasploit ontdekte lek nooit in haar advisory genoemd. Dit betekent dat geen enkel IDS de Metasploit module kon detecteren.

De onderzoekers van het Metasploit project zijn dan ook niet blij met Microsoft, dat aan de ene kant om informatie over lekken vraagt, maar aan de andere kant de mensen die deze informatie geven juist zwart maakt. Microsoft zou daarom wat aan haar communicatieve vaardigheden moeten doen en elk commentaar in de advisories moet met een grote korrel zout genomen worden, aldus onderzoeker HD Moore.

Reacties (6)
27-06-2006, 14:07 door inglorion
Tsja. Het oude openbaar maken / niet openbaar maken debat.
Het is duidelijk dat als je vulnerabilities (en met name
exploits) openbaar maakt, dat je daarmee crackers een kans
geeft om systemen binnen te dringen, en de reputatie van de
producent van de software schade aandoet. Aan de andere kant
geeft het openbaar maken gebruikers de kans zich te
beschermen, en zet het druk op de producenten om de gaten te
dichten. Wat is wijsheid?

Ik vind zelf dat het belang van de gebruikers het zwaarste
weegt, en dat de producent niet al te veel te willen heeft:
tenslotte is het hun fout dat het lek er zit. Maar wat is
voor de gebruiker het beste? Als het lek eenmaal bekend is
kun je er donder op zeggen dat malware die er gebruik van
maakt niet al te lang op zich zal laten wachten. Publiceren
lijkt dan geen goede strategie. Maar de kans bestaat
natuurlijk dat de black hats het lek al onafhankelijk hebben
gevonden: tenslotte, als white hats het kunnen, kunnen black
hats het ook. En als de black hats het weten is het maar
beter als iedereen het weet, met name als dat de komst van
een patch bespoedigt.

Uiteindelijk lijkt het mij een redelijke strategie als eerst
de producent wordt ingelicht, en vervolgens na enige tijd
het lek wordt gepubliceerd als de producent dit niet zelf
doet. Dit geeft de softwareontwikkelaars de gelegenheid
gaten te dichten voordat de hele wereld (inclusief de black
hats) er vanaf weet, maar zorgt er ook voor dat informatie
over lekken niet onder het tapijt gemoffeld wordt en
zodoende alle gebruikers onwetend en onnodig risico lopen.
Behalve dan in de periode voor de publicatie van een lek.
27-06-2006, 14:10 door Anoniem
Laten we ook vooral niet schrijven over defecte remmen of
kapotte airbags in automerk X. Kunnen we een hoop leed mee
voorkomen!

Kernpunt is dat het Microsoft helemaal niet gaat om
veiligheid of privacy van de gebruikers, maar om ordinaire
aandeelhouderspecunia. De drie geheime PGP-sleutels in
Windows XP spreken daarover boekdelen.
27-06-2006, 14:15 door SirDice
Toen verscheen echter de advisory van de softwregigant waarin het uithaalde naar de onderzoekers die algemeen geldende industrie afspraken zouden hebben geschonden.
Que? Ze bedoelen die eenzijdige "responsible disclosure" afspraak zeker?
Deze afspraken bestaan helemaal niet,
Inderdaad...
daarnaast heeft men de exploit negen dagen na het security bulletin gepubliceerd
Men moet blij zijn dat dit niet negen dagen ervoor gebeurde..
en last but not least heeft Microsoft het door Metasploit ontdekte lek nooit in haar advisory genoemd.
Oei.. Iets patchen en niet melden dat het gepatched is.. Fout..
27-06-2006, 15:37 door Anoniem
Waarom moeten al die exploits elke keer in metasploit gereleased
worden? Maak er gewoon 1 binary van zoals men dat vroeger deed, werkt
gewoon zwaar ongemakkelijk zo..
27-06-2006, 17:59 door Anoniem
Deze discussie gaat er altijd over dat je de hackers niet informatie moet
geven waarmee ze stoute dingen kunnen doen. Alsof er geen malware
bestaat VOORDAT er lekken bekend waren gemaakt.

Er zijn dus alleen maar voordelen aan.
+ het geeft beheerders en security mensen inzicht in:
#1 hoe het lek werkt, en dus hoe ze in hun EIGEN omgeving mitigerende
factoren kunnen aanbrengen om het risico te beperken of zelfs helemaal
weg te nemen. Dat kan niet wanneer er geen disclosure is. Dat is zelfs
ronduit laf en gevaarlijk van (in dit geval Microsoft) de leverancier.
#2 het geeft aan hoe een lek misbruikt kan worden, waarmee applicaties
die hetzelfde werken, dezelfde code sharen of zelfs applicaties van andere
fabrikanten welke misschien op dezelfde manier geschreven zijn.
28-06-2006, 09:15 door SirDice
Metasploit is juist erg modulair en daarom eenvoudig aan te
passen. Dat is iets wat met een binary file niet lukt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.