Net als Adobe patcht ook Microsoft stiekem beveiligingslekken in Windows en Office, zo laat de softwaregigant vandaag aan Security.nl weten. "Bij intern gevonden lekken doen we een assessment. Wat we over de jaren heen geleerd hebben, is dat als er hier een lek zit, er waarschijnlijk in de buurt nog veel meer lekken zitten", zegt Damian Hasse, Principal Security Development Manager bij Microsoft.

De softwaregigant geeft CVE-nummers aan lekken in Security Bulletins waar een patch voor is en die een bepaalde ernst, aanvalsvectoren en workarounds hebben. Lekken die bijvoorbeeld in dezelfde code zitten en dezelfde ernst hebben, worden dan niet gemeld, iets wat Microsoft ook toegeeft.

Documenteren
"We documenteren niet elk gepatcht lek, behalve als het impact voor de klant heeft. Een CVE kan dus meerdere lekken dichten", vult Mike Reavey aan. Reavey is de Group Manager van het Microsoft Security Response Center (MSRC). "We documenteren niet alle lekken, omdat ons doel is om zoveel mogelijk lekken te vinden." Onlangs kwam al aan het licht dat Microsoft tijdens een patch voor Visio meerdere lekken patchte, terwijl dit niet in het Security Bulletin stond. Volgens Reavey was de aanvalsvector hetzelfde en zijn de lekken daarom niet uniek vernoemd.

Statistieken
Daardoor is het de vraag wat de waarde is van de rapporten die het aantal gevonden beveiligingslekken in besturingssystemen vergelijken. Iets waar Microsoft vaak mee schermt. Volgens Reavey is de beveiliging van een besturingssysteem niet aan het aantal lekken af te meten. "Wat is de juiste maatregel om de veiligheid van een product te bepalen? Het tellen van lekken kan in sommige gevallen zinvol zijn, maar er zijn tal van manieren. Het tellen van lekken is één manier en het is niet perfect."

Zelfs de manier van lekken tellen kan een vertekend beeld geven, waardoor cijfers over kwetsbaarheden negatief kunnen uitpakken. Daarnaast kan het in sommige gevallen wel waardevol zijn om de gemelde lekken tussen vendors te vergelijken, zo merkt Reavey op. Toch zal Microsoft niet met het publiceren van de rapporten en statistieken stoppen. Sterker nog, als het gaat om het vergelijken van Windows systemen heeft Reavey hier wel vertrouwen in. Daarnaast is het tellen van lekken een eenvoudige manier om te meten.

Stiekem
De meeste beveiligingslekken in Windows en Office worden door Microsoft zelf ontdekt, maar de softwaregigant maakt in veel gevallen geen melding van deze kwetsbaarheden. "Het gaat om het beschermen van de klant", aldus Reavey. Daarnaast is het in sommige gevallen lastig te bepalen of het om unieke lekken gaat, of dat een variant van een lek onder het oorspronkelijk gevonden lek valt. "Hoe meer tijd we kwijt zijn met het tellen van lekken, des te minder tijd hebben we om onze klanten te beschermen."

Op het adres security@microsoft.com ontvangt het jaarlijks duizend bugmeldingen, waarvan er uiteindelijk 150 tot 200 een beveiligingslek blijken te zijn. Deze lekken worden wel aan de buitenwacht gemeld.

Markt
Microsoft vraagt onderzoekers om lekken op verantwoorde wijze te melden. In tegenstelling tot verschillende beloningprogramma's betaalt het onderzoekers niet voor het melden van lekken. Het ziet "responsible disclosure" als een moment voor onderzoekers of bedrijven om in de spotlight te komen. In het geval van talenten of bedrijven die regelmatig bijdragen, kan het zijn dat Microsoft deze partijen later inhuurt voor beveiligingswerk zoals pentests en audits van software. In sommige gevallen is het trouwens Microsoft dat lekken in de software van andere bedrijven en ontwikkelaars vindt en hen hier dan van op de hoogte brengt.

Exploits
Uit cijfers van het MSRC blijkt dat dertig procent van de gepatchte lekken wordt misbruikt via Metasploit, malware en andere hacktools. Aan de hand daarvan kwam de softwaregigant met een exploit rating, zodat bedrijven weten welke lekken ze als eerste moeten patchen en met welke ze kunnen wachten. Microsoft lijkt daarmee goed in te schatten hoe ernstig lekken zijn, want het zat er volgens Reavey één keer naast. Reavey en Hasse deden hun uitspraken tijdens de Microsoft Trustworty Computing Tour in Redmond.

Update 8:00 - Video
Onderstaand interview met Mike Reavey werd mede gehouden door Tom Sanders, hoofdredacteur van Webwereld.nl.