image

Microsoft patcht stiekem beveiligingslekken

donderdag 27 mei 2010, 00:40 door Redactie, 4 reacties

Net als Adobe patcht ook Microsoft stiekem beveiligingslekken in Windows en Office, zo laat de softwaregigant vandaag aan Security.nl weten. "Bij intern gevonden lekken doen we een assessment. Wat we over de jaren heen geleerd hebben, is dat als er hier een lek zit, er waarschijnlijk in de buurt nog veel meer lekken zitten", zegt Damian Hasse, Principal Security Development Manager bij Microsoft.

De softwaregigant geeft CVE-nummers aan lekken in Security Bulletins waar een patch voor is en die een bepaalde ernst, aanvalsvectoren en workarounds hebben. Lekken die bijvoorbeeld in dezelfde code zitten en dezelfde ernst hebben, worden dan niet gemeld, iets wat Microsoft ook toegeeft.

Documenteren
"We documenteren niet elk gepatcht lek, behalve als het impact voor de klant heeft. Een CVE kan dus meerdere lekken dichten", vult Mike Reavey aan. Reavey is de Group Manager van het Microsoft Security Response Center (MSRC). "We documenteren niet alle lekken, omdat ons doel is om zoveel mogelijk lekken te vinden." Onlangs kwam al aan het licht dat Microsoft tijdens een patch voor Visio meerdere lekken patchte, terwijl dit niet in het Security Bulletin stond. Volgens Reavey was de aanvalsvector hetzelfde en zijn de lekken daarom niet uniek vernoemd.

Statistieken
Daardoor is het de vraag wat de waarde is van de rapporten die het aantal gevonden beveiligingslekken in besturingssystemen vergelijken. Iets waar Microsoft vaak mee schermt. Volgens Reavey is de beveiliging van een besturingssysteem niet aan het aantal lekken af te meten. "Wat is de juiste maatregel om de veiligheid van een product te bepalen? Het tellen van lekken kan in sommige gevallen zinvol zijn, maar er zijn tal van manieren. Het tellen van lekken is één manier en het is niet perfect."

Zelfs de manier van lekken tellen kan een vertekend beeld geven, waardoor cijfers over kwetsbaarheden negatief kunnen uitpakken. Daarnaast kan het in sommige gevallen wel waardevol zijn om de gemelde lekken tussen vendors te vergelijken, zo merkt Reavey op. Toch zal Microsoft niet met het publiceren van de rapporten en statistieken stoppen. Sterker nog, als het gaat om het vergelijken van Windows systemen heeft Reavey hier wel vertrouwen in. Daarnaast is het tellen van lekken een eenvoudige manier om te meten.

Stiekem
De meeste beveiligingslekken in Windows en Office worden door Microsoft zelf ontdekt, maar de softwaregigant maakt in veel gevallen geen melding van deze kwetsbaarheden. "Het gaat om het beschermen van de klant", aldus Reavey. Daarnaast is het in sommige gevallen lastig te bepalen of het om unieke lekken gaat, of dat een variant van een lek onder het oorspronkelijk gevonden lek valt. "Hoe meer tijd we kwijt zijn met het tellen van lekken, des te minder tijd hebben we om onze klanten te beschermen."

Op het adres security@microsoft.com ontvangt het jaarlijks duizend bugmeldingen, waarvan er uiteindelijk 150 tot 200 een beveiligingslek blijken te zijn. Deze lekken worden wel aan de buitenwacht gemeld.

Markt
Microsoft vraagt onderzoekers om lekken op verantwoorde wijze te melden. In tegenstelling tot verschillende beloningprogramma's betaalt het onderzoekers niet voor het melden van lekken. Het ziet "responsible disclosure" als een moment voor onderzoekers of bedrijven om in de spotlight te komen. In het geval van talenten of bedrijven die regelmatig bijdragen, kan het zijn dat Microsoft deze partijen later inhuurt voor beveiligingswerk zoals pentests en audits van software. In sommige gevallen is het trouwens Microsoft dat lekken in de software van andere bedrijven en ontwikkelaars vindt en hen hier dan van op de hoogte brengt.

Exploits
Uit cijfers van het MSRC blijkt dat dertig procent van de gepatchte lekken wordt misbruikt via Metasploit, malware en andere hacktools. Aan de hand daarvan kwam de softwaregigant met een exploit rating, zodat bedrijven weten welke lekken ze als eerste moeten patchen en met welke ze kunnen wachten. Microsoft lijkt daarmee goed in te schatten hoe ernstig lekken zijn, want het zat er volgens Reavey één keer naast. Reavey en Hasse deden hun uitspraken tijdens de Microsoft Trustworty Computing Tour in Redmond.

Update 8:00 - Video
Onderstaand interview met Mike Reavey werd mede gehouden door Tom Sanders, hoofdredacteur van Webwereld.nl.

Reacties (4)
27-05-2010, 09:16 door Bitwiper
"Het gaat om het beschermen van de klant": in elk geval niet van die klanten die assessments uitvoeren om vast te stellen of een bepaalde security patch wel of niet moet worden uitgevoerd; zij kunnen er bij Microsoft dus niet op vertrouwen dat ze alle gegevens hebbben om de juiste beslissing te nemen. Dergelijke assessments zijn dus zinloos.

Bovendien is het een kul argument dat aanvallers niet zouden weten wat er gepatched is: middels een simpele binary diff tussen de originele dll/exe/ocx bestanden en de gepatche versies en aanvullend gebruik van disassemblers maakt het mogelijk dat aanvallers binnen enkele uren na het uitkomen van een patch weten welke kwetsbaarheden zijn verholpen.

Reavey baseert zich op marketing- en niet op security argumenten, en roept feitelijk: patch patch patch, wij weten het beste wat goed voor u is.
27-05-2010, 10:01 door Dev_Null
"We documenteren niet elk gepatcht lek, behalve als het impact voor de klant heeft. Een CVE kan dus meerdere lekken dichten", vult Mike Reavey aan.
Daar zou een hele Microsoft afdeling een dagtaak aan kunnen hebben :-)

Volgens Reavey is de beveiliging van een besturingssysteem niet aan het aantal lekken af te meten.
Waar dan wel aan? De hoeveelheid patches en servicepacks die (al dan niet stiekum) na release worden uitgebracht?

maar de softwaregigant maakt in veel gevallen geen melding van deze kwetsbaarheden. "Het gaat om het beschermen van de klant", aldus Reavey.
BS! Het gaat puur en alleen om de bescherming van hun eigen reputatie en marketing verhaal, imago..
Die klanten zijn al (product-levens-lang) afhankelijk gemaakt van de grillen van Microsoft.

Ik vraag me tevens af, door al dat stiekume Microsoft patch gedrag, hoeveel undocumented features in Windows en Office ongepatched blijven. De (interne) mogelijkheden waarvan Microsoft alleen zelf van het bestaan af weet...
http://www.experiblog.co.cc/2010/01/undocumented-windows-apis-and-hacking.html
http://www.stratigery.com/nt.sekrits.html
http://undocumented.ntinternals.net/

Waarschijnlijk totdat ze (weer) gehackt zijn door een derde partij :-P
27-05-2010, 10:10 door Above
Waar een mens zich allemaal druk om kan maken zeg.
Tijd voor weer lekker strandweer.
27-05-2010, 10:21 door Anoniem
Wel grappig dat dit bericht komt enkele dagen nadat Microsoft beweert dat het veeeeel veiliger is dan alle andere softwareboeren omdat ze zo weinig CVE's hebben nu ze hun SDL hebben draaien...

Beetje ongeloofwaardig...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.