Waarschuwingsdienst.nl signaleerde de laatste maanden van 2006 een trend dat nieuwe kwetsbaarheden vooral ná de maandelijkse patch-update van Microsoft opduiken. Kaspersky Lab bevestigt dat.
"Vlak na Microsofts patchdag (elke tweede dinsdag van de maand – red.) zien we vaak compleet nieuwe exploits verschijnen", zegt Roel Schouwenberg, senior antivirusonderzoeker bij Kaspersky Lab Benelux. "Soms zelfs al op de dag ervoor, omdat de fixes toch niet meer aangepast kunnen worden. Verder signaleren we ook vaker exploits op basis van de gepatchte kwetsbaarheden."
Hans Bos, Security Advisor van Microsoft Nederland, heeft geen statistische onderbouwing voor deze trend. "Wat we wel weten en zien is dat de documentatie van kwetsbaarheden, onze security bulletins, gebruikt worden om mogelijke aanvalsvectoren te ontwikkelen. Daarom is het ook zo belangrijk dat bulletins zo snel mogelijk worden opgevolgd."
Reactiesnelheid
Wanneer melding wordt gemaakt van een ernstig lek duurt het soms weken voordat een officiële patch beschikbaar komt. Wacht Microsoft bewust op ‘Patch Tuesday'? "Dat hangt af van de impact op de gebruiker", stelt Bos. "Het publiceren van een ‘out of bounds' update buiten het geplande schema brengt het risico met zich mee dat de communicatie niet iedereen op tijd bereikt, dat systemen het implementeren van de update missen en daardoor potentieel open staan voor een dan inmiddels publiek bekende kwetsbaarheid."
Bos voegt daar aan toe dat de vaste maandelijkse updates tot stand zijn gekomen op basis van feedback van it'ers. "Een belangrijke reden voor het hebben van een voorspelbaar schema van security updates is dat onze klanten dan beter voorbereid zijn om de updates te implementeren." Verder wijst hij op de tijd die het kost om updates te ontwikkelen en te testen, mede omdat men rekening moet houden met alle verschillende versies en talen. "We zullen nooit overhaast iets beschikbaar stellen wat onvoldoende is getest en daardoor tot grotere problemen kan leiden."
Patches van derden
Toch duurt het uitbrengen van een patch voor kritieke lekken vaak erg lang (ruim twee weken in het geval van de WMF-bug). Het afgelopen jaar zijn daardoor steeds vaker patches van derden opgedoken (er is zelfs een speciale groep voor opgericht: ZERT). Hoewel Microsoft dat niet wenselijk acht, sluiten bedrijven het gebruik ervan niet uit.
"Wanneer het ict-team over voldoende expertise beschikt, kan mogelijk, al dan niet tijdelijk, een patch van een derde partij worden overwogen", zegt Paul Slot, Director ICTO bij Getronics PinkRoccade. "Dit hangt af van de risico's en de verwachte levertijd van de officiële patch." Hij voegt hieraan toe dat zonder de juiste expertise geen goede afweging kan worden gemaakt en de risico's dan te groot worden geacht.
Bij uitzondering
Schouwenberg van Kaspersky Lab raadt patches van derden alleen aan wanneer de dreiging zeer groot is en de patch van goede kwaliteit is. "Mogelijke compatibiliteitsproblemen zijn door een systeembeheerder wel te ontdekken, maar de code goed kunnen beoordelen is alleen voor gerespecteerde security onderzoekers weggelegd."
Microsoft stelt dat het gebruik van patches van derden consequenties kan hebben voor de ondersteuning. Bos: "De kans is groot dat we zullen vragen de patch ongedaan te maken alvorens we support kunnen bieden. En dat is niet altijd eenvoudig bij patches van derden."