Microsoft patcht stiekem beveiligingslekken
Net als Adobe patcht ook Microsoft stiekem beveiligingslekken in Windows en Office, zo laat de softwaregigant vandaag aan Security.nl weten. "Bij intern gevonden lekken doen we een assessment. Wat we over de jaren heen geleerd hebben, is dat als er hier een lek zit, er waarschijnlijk in de buurt nog veel meer lekken zitten", zegt Damian Hasse, Principal Security Development Manager bij Microsoft.
De softwaregigant geeft CVE-nummers aan lekken in Security Bulletins waar een patch voor is en die een bepaalde ernst, aanvalsvectoren en workarounds hebben. Lekken die bijvoorbeeld in dezelfde code zitten en dezelfde ernst hebben, worden dan niet gemeld, iets wat Microsoft ook toegeeft.
Documenteren
"We documenteren niet elk gepatcht lek, behalve als het impact voor de klant heeft. Een CVE kan dus meerdere lekken dichten", vult Mike Reavey aan. Reavey is de Group Manager van het Microsoft Security Response Center (MSRC). "We documenteren niet alle lekken, omdat ons doel is om zoveel mogelijk lekken te vinden." Onlangs kwam al aan het licht dat Microsoft tijdens een patch voor Visio meerdere lekken patchte, terwijl dit niet in het Security Bulletin stond. Volgens Reavey was de aanvalsvector hetzelfde en zijn de lekken daarom niet uniek vernoemd.
Statistieken
Daardoor is het de vraag wat de waarde is van de rapporten die het aantal gevonden beveiligingslekken in besturingssystemen vergelijken. Iets waar Microsoft vaak mee schermt. Volgens Reavey is de beveiliging van een besturingssysteem niet aan het aantal lekken af te meten. "Wat is de juiste maatregel om de veiligheid van een product te bepalen? Het tellen van lekken kan in sommige gevallen zinvol zijn, maar er zijn tal van manieren. Het tellen van lekken is één manier en het is niet perfect."
Zelfs de manier van lekken tellen kan een vertekend beeld geven, waardoor cijfers over kwetsbaarheden negatief kunnen uitpakken. Daarnaast kan het in sommige gevallen wel waardevol zijn om de gemelde lekken tussen vendors te vergelijken, zo merkt Reavey op. Toch zal Microsoft niet met het publiceren van de rapporten en statistieken stoppen. Sterker nog, als het gaat om het vergelijken van Windows systemen heeft Reavey hier wel vertrouwen in. Daarnaast is het tellen van lekken een eenvoudige manier om te meten.
Stiekem
De meeste beveiligingslekken in Windows en Office worden door Microsoft zelf ontdekt, maar de softwaregigant maakt in veel gevallen geen melding van deze kwetsbaarheden. "Het gaat om het beschermen van de klant", aldus Reavey. Daarnaast is het in sommige gevallen lastig te bepalen of het om unieke lekken gaat, of dat een variant van een lek onder het oorspronkelijk gevonden lek valt. "Hoe meer tijd we kwijt zijn met het tellen van lekken, des te minder tijd hebben we om onze klanten te beschermen."
Op het adres security@microsoft.com ontvangt het jaarlijks duizend bugmeldingen, waarvan er uiteindelijk 150 tot 200 een beveiligingslek blijken te zijn. Deze lekken worden wel aan de buitenwacht gemeld.
Markt
Microsoft vraagt onderzoekers om lekken op verantwoorde wijze te melden. In tegenstelling tot verschillende beloningprogramma's betaalt het onderzoekers niet voor het melden van lekken. Het ziet "responsible disclosure" als een moment voor onderzoekers of bedrijven om in de spotlight te komen. In het geval van talenten of bedrijven die regelmatig bijdragen, kan het zijn dat Microsoft deze partijen later inhuurt voor beveiligingswerk zoals pentests en audits van software. In sommige gevallen is het trouwens Microsoft dat lekken in de software van andere bedrijven en ontwikkelaars vindt en hen hier dan van op de hoogte brengt.
Exploits
Uit cijfers van het MSRC blijkt dat dertig procent van de gepatchte lekken wordt misbruikt via Metasploit, malware en andere hacktools. Aan de hand daarvan kwam de softwaregigant met een exploit rating, zodat bedrijven weten welke lekken ze als eerste moeten patchen en met welke ze kunnen wachten. Microsoft lijkt daarmee goed in te schatten hoe ernstig lekken zijn, want het zat er volgens Reavey één keer naast. Reavey en Hasse deden hun uitspraken tijdens de Microsoft Trustworty Computing Tour in Redmond.
Update 8:00 - Video
Onderstaand interview met Mike Reavey werd mede gehouden door Tom Sanders, hoofdredacteur van Webwereld.nl.
Bovendien is het een kul argument dat aanvallers niet zouden weten wat er gepatched is: middels een simpele binary diff tussen de originele dll/exe/ocx bestanden en de gepatche versies en aanvullend gebruik van disassemblers maakt het mogelijk dat aanvallers binnen enkele uren na het uitkomen van een patch weten welke kwetsbaarheden zijn verholpen.
Reavey baseert zich op marketing- en niet op security argumenten, en roept feitelijk: patch patch patch, wij weten het beste wat goed voor u is.
Die klanten zijn al (product-levens-lang) afhankelijk gemaakt van de grillen van Microsoft.
Ik vraag me tevens af, door al dat stiekume Microsoft patch gedrag, hoeveel undocumented features in Windows en Office ongepatched blijven. De (interne) mogelijkheden waarvan Microsoft alleen zelf van het bestaan af weet...
http://www.experiblog.co.cc/2010/01/undocumented-windows-apis-and-hacking.html
http://www.stratigery.com/nt.sekrits.html
http://undocumented.ntinternals.net/
Waarschijnlijk totdat ze (weer) gehackt zijn door een derde partij :-P
Tijd voor weer lekker strandweer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
