Nieuws

Microsoft onthult zero-day detectie virusscanners

vrijdag 9 december 2011, 11:12 door Redactie, 8 reacties

Microsoft gaat voortaan inzichtelijk maken hoe snel virusscanners misbruik van zero-day kwetsbaarheden in Microsoft software kunnen detecteren. De softwaregigant biedt partijen via het Microsoft Active Protections Program (MAPP) informatie over nieuw ontdekte lekken aan. Beveiligingsbedrijven kunnen die informatie in hun eigen producten verwerken, zodat klanten tegen exploits en malware beschermd zijn.

Op een speciale pagina houdt Microsoft nu bij welke partijen binnen 96 uur na het verschijnen van een Security Advisory bescherming aan hun software hebben toegevoegd. Daarbij wordt onderscheid gemaakt tussen partijen die binnen 48 uur bescherming bieden en partijen die hiervoor tussen 48 uur en 96 uur nodig hebben.

Duqu
De eerste en enige advisory op de pagina is die van het Duqu-virus. De malware gebruikte een onbekend lek in de Windows-kernel om systemen te infecteren. De kwetsbaarheid wordt aanstaande dinsdag gepatcht. Microsoft bracht op 14 november een advisory uit. Details over het lek werden naar de 82 MAPP-partners gestuurd.

Daarvan hadden er 22 binnen 48 uur bescherming aan hun software toegevoegd. Acht andere bedrijven hadden hier tussen de 48 en 96 uur voor nodig. Het gaat niet alleen om anti-virusbedrijven, maar ook om bedrijven die IDS/IPS oplossingen aanbieden. AVG, ESET, G Data, Norman en Trend Micro zijn wel partner, maar wisten niet binnen 96 uur bescherming te bieden.

"Eindelijk veilig elektronisch patiëntendossier"

Download.com zegt sorry, blijft malware verspreiden

Reacties (8)

09-12-2011, 11:25 door Bitwiper

Goede actie van Microsoft! Beter nog zou het zijn als van elk van die leveranciers exact wordt aangegeven na hoeveel uur ze bescherming bieden (en een sortering in die volgorde). Hebben we een goede manier om de kaf van het koren te scheiden.

Overigens staan ook F-Secure en Sophos in het lijstje met bedrijven die meer dan 48 uur nodig hadden. Da's geen beste beurt!

09-12-2011, 11:37 door Anoniem

"Microsoft gaat voortaan inzichtelijk maken hoe snel virusscanners misbruik van zero-day kwetsbaarheden in Microsoft software kunnen detecteren."

Indien het gaat om 0day's gebruikt in een targetted attack, dan is toevoeging eigenlijk altijd te laat. Overigens meet Microsoft niet vanaf het moment dat de 0day voor het eerst gebruikt wordt (dit is meestal onbekend), maar vanaf het moment dat de 0day in een security advisory verschijnt. Dikwijls zitten hier dagen, weken of maanden tussen.

09-12-2011, 12:16 door faridje

Mmmuuahhh.... Vind dit al prima genoeg hoor. Ik denk namelijk dat het per bedreiging anders zou liggen. Ik persoonlijk lig er niet wakker van dat Sophos en F-Secure er iets langer over hebben gedaan (komt ook omdat ik ze niet gebruik haha), ik ga er vanuit dat zij bij een vorige danwel volgende bedreiging wel binnen die 48 uur vallen. Maar kan me goed voorstellen dat er mensen zijn die het wel belangrijk vinden hoor! Dus inderdaad een goede actie van Microsoft!

09-12-2011, 12:34 door svenvandewege

Ik mis ook Symantec in het lijstje met binnen 48 uur of zelfs het tweede lijstje. Waarom worden eset, g data, avg en trend micro in het artikel hierboven genoemd? Had Symantec er dan ook niet bij gemoeten als marktleider?

09-12-2011, 13:42 door sjonniev

Door svenvandewege: Ik mis ook Symantec in het lijstje met binnen 48 uur of zelfs het tweede lijstje. Waarom worden eset, g data, avg en trend micro in het artikel hierboven genoemd? Had Symantec er dan ook niet bij gemoeten als marktleider?

Ik denk dat die net iets meer dan 96 uur nodig hebben gehad.

09-12-2011, 15:33 door svenvandewege

`@sjonniev: Precies, en dan is het niet leuk dat die andere speciaal in het artikel worden genoemd en Symantec (als marktleider) niet. Juist hun zou ik er dan bij gezet hebben aangezien het opvallend was. Nouja, lekker boeiend eigenlijk haha.

10-12-2011, 22:26 door Anoniem

MAPP is er alleen om Microsoft's doelen te dienen. Ze willen juist gratis informatie van de anti-virus bedrijven.

11-12-2011, 11:01 door Dev_Null

De malware gebruikte een onbekend lek in de Windows-kernel om systemen te infecteren

Blijkbaar is het WEL bekend bij de makers van deze malware :-P

Word het niet eens tijd dat Microsoft stopt met het verspreiden van deze bs-stories en haar tijd gaat steken in
- het opsporen van de nog aanwezige lekken in hun software
- het structureel fixen van de nog aanwezige ontwerpfouten

Of is beter - voor de perceptie van iedere computergebruiker - om voortaan "Windows(tm)" zelf te gaan zien als malware daar het - by default/design - de voortplanting van digitale virussen toestaat, mogelijk maakt?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer