Microsoft geeft systeembeheerders meer werk nu het naast zijn maandelijks verschijnende updates en patches vaker met beveiligingsbulletins komt. Deze raadgevingen bevatten informatie over kwetsbaarheden en over veranderingen in Microsoft-producten die de beveiliging van klanten kunnen beïnvloeden.
De nieuwe bulletins verschijnen ‘wanneer nodig’, meldt Microsoft. Hierbij bevestigt het concern door externe experts ontdekte beveiligingsgaten en geeft het er informatie over. Microsoft doet ook melding van het verschijnen van kwaadaardige code die gebruik maakt van dergelijke gaten. Daarnaast biedt deze nieuwe Security Advisory-dienst informatie over grootschalige, nieuwe phishing-aanvallen op en vanaf websites.
Stephen Toulouse, manager van Microsofts beveiligingsinitiatief bij diens Security Response Center, zegt dat berichten verschijnen binnen een werkdag nadat Microsoft zich bewust is van een probleem of incident. Hij bevestigde eind vorige maand via zijn weblog een kritieke fout in Windows 2000 en gaf er workaround-tips voor. De fout, ontdekt en geopenbaard door het Israëlische beveiligingsbedrijf GreyMagic Software, werd aanvankelijk door Microsoft-woordvoerders afgedaan als geen groot risico. Er is inmiddels een patch voor.
Toulouse legt uit dat de nieuwe dienst is opgezet in reactie op terugkoppeling van gebruikers. “Klanten willen dat wij gezaghebbend advies geven over dergelijke kwesties. Het doel is ze tijdig te voorzien van nuttige informatie over een behoorlijk breed gebied aan beveiligingsincidenten.” De ontwikkelaar geeft aan dat de bulletins niet alleen over kritieke kwetsbaarheden gaan.
Informatie vóór patch
Opvallend is dat Microsoft hiermee informatie verstrekt over problemen waarvoor het dan nog geen oplossing (lees: patch) heeft. Het concern stelt tot op heden namelijk dat het merendeel van de kwaadaardige code die misbruik maakt van kwetsbaarheden is gebaseerd op informatie in beveiligingsbulletins en het uitvogelen (reverse engineering) van patches.
De softwareproducent uit dan ook felle kritiek op beveiligingsexperts en zogeheten ‘grey hat’ hackers die ontdekte gaten openbaren – vaak inclusief demonstratiecode – vóórdat Microsoft er patches voor uitbrengt. Dit was recent nog het geval met GreyMagic. Soms doet de softwaremoloch er echter weken of zelfs maanden over alvorens het een bekend gat dicht. Sommige beveiligingsbedrijven, waaronder eEye Digital Security (http://www.eeye.com), houden ook lijsten bij van bekende gaten die nog altijd niet zijn gedicht.
Buiten maandcyclus om
De nieuwe Security Advisory-dienst betreft een proefproject en staat los van de reguliere maandcyclus. De Windows-leverancier is in eind 2003 juist overgegaan op een maandelijkse frequentie om systeembeheerders regelmaat te bieden. Dit kwam in de plaats van onregelmatig – en dus onverwacht – verschijnende patches. De patches verschijnen elke tweede dinsdag van de kalendermaand. Dit schema heeft als nadeel dat een patch die gereed is net ná die datum pas de volgende maand wordt uitgebracht.
Deze maand kwam Microsoft met slechts één patch, terwijl het vorige maand nog acht patches uitbracht, waarvan vijf voor kritieke kwetsbaarheden. De nu uitgebrachte patch is voor Windows 98, ME en 2000 SP3 en 4 (Service Pack) en repareert het door GreyMagic ontdekte gat. Windows XP en Server 2003 zijn niet vatbaar voor de hiermee gerepareerde kwetsbaarheid. Die maakt het injecteren mogelijk van kwaadaardige scriptcode via het previewvenster (de zogeheten Web View) van de Windows Explorer.
Eerste twee
De nieuwe bulletindienst heeft begin deze maand al twee berichten doen uitgaan. De eerste waarschuwt voor een spoofing-aanval die gebruikmaakt van een standaardinstelling in het DRM-systeem (Digital Rights Management) van de Windows Media Player.
De tweede legt uit dat de ’tar pit’-functie van SP1 voor Windows Server 2003 bedoeld is ter bestrijding van spammers en niet aangeraden wordt als standaardfunctie voor alle gebruikers. De teerput legt inkomende SMTP-zendingen (Send Mail Transfer Protocol), naar niet-bestaande adressen, een instelbare vertraging op waardoor het vergaren van adressen en de toezending van spam veel meer tijd kost.
Zie ook:
Microsoft Security Response Center-blogs
http://blogs.technet.com/msrc/
Blog van Stephen Toulouse
http://www.stepto.com/default/default.aspx
