Microsoft struint actief het internet af op zoek naar kwaadaardig gebruik van bekende en onbekende lekken in zijn software om zo in een vroeg stadium actie te kunnen ondernemen.
Microsoft heeft in een technisch rapport meer inzicht gegeven in zijn Honeymonkey-project, dat al sinds mei dit jaar loopt. Het project is erop gericht om met computers en virtuele pc’s actief het internet af te struinen op zoek naar misbruik van kwetsbaarheden in zijn software.
In de eerste maand zijn er 752 webadressen gelokaliseerd die verwijzen naar 287 websites die automatisch niet of nauwelijks gepatchte computers kunnen infecteren. De gebruikte machines in het project hebben allemaal een verschillend patch-niveau. Geschokt waren de onderzoekers toen zij erachter kwamen dat zelfs een volledig bijgewerkte Windows-machine werd aangevallen via een nog onbekend lek.
Open deur
Formeel gaat het project van Yi-Min Wang, Doug Beck, Xuxian Jiang en Roussi Roussev onder de naam Strider Honeymonkey Exploit Detection System. Het onderzoekt vooral lekken en misbruik met minimale tussenkomst van gebruikers. ‘Nieuw’ aan het project is dat de computers en virtuele pc’s in het project niet afwachten totdat ze worden aangevallen (zogenaamde ‘honeypots’), maar actief op zoek gaan naar websites met venijnige code. Op dit moment staan er zes machines in het project, maar dit moet worden uitgebreid naar 36. “Deze techniek is bruikbaar voor zo ongeveer ieder bedrijf dat wil weten of hun software op een kwaadaardige manier wordt misbruikt door websites op internet”, zegt onderzoeker Yio-Min Wang tegen nieuwsdienst SecurityFocus. In het rapport wordt trappen de initiatiefnemers de open deur in dat vooral computers waarop niet alle Windows-patches zijn geïnstalleerd kwetsbaar zijn voor aanvallen vanaf internet. Microsoft laat weten het project voorlopig nog niet om te willen zetten in producten of diensten.
