Het recente, volgens experts ernstige, gat in Windows heeft geleid tot veel angst en ophef. Exploits doken vrijwel direct op, een patch bleef uit en tussendoor verscheen een officieuze fix. Ondertussen liep de verwachte nieuwe Sober-aanval met een sisser af.
Het nieuwe jaar is voor Microsoft en Windows-gebruikers niet bepaald rustig begonnen. Net na Kerst werd een nieuw gat ontdekt in de afhandeling van metadata in grafische bestanden. Dit gat, eigenlijk een verouderde functieaanroep, schuilt in Windows Meta File (WMF) en viel niet af te dekken met reguliere workarounds zoals het blokkeren van firewall-poorten. Inmiddels is Microsoft met zijn patch op de proppen gekomen, zelfs eerder dan gepland vanwege de heersende onrust.
Microsoft achtte de kwestie aanvankelijk niet zo gevaarlijk; gebruikers moesten immers zelf handelingen uitvoeren om besmet te worden. Ook antivirusleverancier McAfee schatte het gevaar laag in, voor zowel thuis- als bedrijfsgebruikers. Het tempo waarin nieuwe versies en vormen van de exploit verschenen gooide echter olie op het vuur. Bovendien kwam de Belgische ontwikkelaar Ilfak Guilfanov, maker van analysetool IDA Pro, vrij snel met een zelfgemaakte fix die de gevaarlijke aanroep blokkeert.
Het Internet Storm Center van het Amerikaanse beveiligingsorgaan SANS (Sysadmin, Audit, Network, Security) Institute kwam met het dringende advies deze fix te installeren. Softwareleverancier F-Secure schaarde zich achter dit advies. Systeembeheerders zagen zich voor een problematische keuze gesteld: een beveiligingsgat waarvoor (nog) geen patch is zelf afdekken of wachten op de leverancier.
Altijd eerst testen
“Wij raden het installeren van de fix in principe ook aan. Maar je moet ‘t natuurlijk wel eerst testen in je eigen it-omgeving”, zegt research engineer Roel Schouwenberg van antivirusleverancier Kaspersky. Hij denkt dat dit soort adviezen in de toekomst vaker worden gegeven, maar benadrukt dat testen nodig blijft. “In dit geval nu is het immers een officieuze patch. Ook al is het van een expert, de maker van IDA Pro, afkomstig.”
Het dilemma is kort daarna weggenomen; de officiële patch is toch versneld uitgebracht. “Ik hoop dat Microsoft nu wel de tijd heeft genomen om het hele dll-bestand door te nemen”, aldus de antivirusexpert. Microsoft hield tot eind vorige week vol dat de patch gewoon zou meegaan met de maandelijkse beveiligingsupdate-ronde, die afgelopen dinsdag was. Dat plan werd doorkruist, niet alleen door de rondgaande exploit-code en het aantal besmettingen maar ook door het uitlekken van Microsofts patch midden vorige week. Die pre-release patch leek zijn werk goed te doen, maar Microsoft-woordvoerders drukten beheerders en gebruikers op het hart deze software niet te gebruiken.
Schouwenberg ziet het dilemma van gaten en patches dit jaar vaker voorkomen. “De professionals bij de bad guys zijn hiermee bezig.” Aan de andere kant erkent hij dat er ook sprake is van hypes rondom beveiliging. Een recent, treffend voorbeeld was de Sotob-worm die hard aankwam bij enkele mediabedrijven, waaronder CNN, die vervolgens uitgebreid verslag deden van de in hun perceptie grote dreiging. Dit zorgde voor veel ophef. “Wij hebben toen ook gezegd dat het overtrokken was.”
Ook de Sober-worm, die extreem-rechtse spam verstuurde, werd gehyped. De worm zou vorige week een nieuwe aanvalsgolf hebben, maar dat viel alleszins mee. “Sober had al twee keer eerder een update gehad”, vertelt de Kaspersky-engineer. De worm was dus al herkenbaar voor beveiligingssoftware. Bovendien was de voornaamste wijziging de spam-boodschap en dat is gewoon een kwestie voor spamfilters, legt hij uit.
Onder het maaiveld
Voor dit jaar is Schouwenberg genuanceerd: “Een virus- of wormschrijver probeert vaak onder het maaiveld te blijven. Zo was er recent een MSN-virus dat weinig besmettingen kende, maar wel de potentie had binnen korte tijd veel te besmetten. Dat vereist slechts een kleine aanpassing van de code, wat zó is gebeurd.” De toenemende opsporingsaandacht, zowel technisch als juridisch, zou de makers hiervan weerhouden.
Wat de hype-vorming betreft, kijkt Schouwenberg naar de beleidskeuzes van bedrijven. “Wij gaan voor waarschuwing plús informatie en liefst ook meteen oplossingen. Wij willen geen nieuws maken, maar het rapporteren.” Sommige leveranciers willen echter juist snel zijn. “Daar zie je ook het verschil tussen een persbericht en een beveiligingsblog; het eerste is vollediger, het tweede vooral snel.”
