Nieuws
image

Microsoft onthult zero-day detectie virusscanners

vrijdag 9 december 2011, 11:12 door Redactie, 8 reacties

Microsoft gaat voortaan inzichtelijk maken hoe snel virusscanners misbruik van zero-day kwetsbaarheden in Microsoft software kunnen detecteren. De softwaregigant biedt partijen via het Microsoft Active Protections Program (MAPP) informatie over nieuw ontdekte lekken aan. Beveiligingsbedrijven kunnen die informatie in hun eigen producten verwerken, zodat klanten tegen exploits en malware beschermd zijn.

Op een speciale pagina houdt Microsoft nu bij welke partijen binnen 96 uur na het verschijnen van een Security Advisory bescherming aan hun software hebben toegevoegd. Daarbij wordt onderscheid gemaakt tussen partijen die binnen 48 uur bescherming bieden en partijen die hiervoor tussen 48 uur en 96 uur nodig hebben.

Duqu
De eerste en enige advisory op de pagina is die van het Duqu-virus. De malware gebruikte een onbekend lek in de Windows-kernel om systemen te infecteren. De kwetsbaarheid wordt aanstaande dinsdag gepatcht. Microsoft bracht op 14 november een advisory uit. Details over het lek werden naar de 82 MAPP-partners gestuurd.

Daarvan hadden er 22 binnen 48 uur bescherming aan hun software toegevoegd. Acht andere bedrijven hadden hier tussen de 48 en 96 uur voor nodig. Het gaat niet alleen om anti-virusbedrijven, maar ook om bedrijven die IDS/IPS oplossingen aanbieden. AVG, ESET, G Data, Norman en Trend Micro zijn wel partner, maar wisten niet binnen 96 uur bescherming te bieden.

Reacties (8)
09-12-2011, 11:25 door Bitwiper
Goede actie van Microsoft! Beter nog zou het zijn als van elk van die leveranciers exact wordt aangegeven na hoeveel uur ze bescherming bieden (en een sortering in die volgorde). Hebben we een goede manier om de kaf van het koren te scheiden.

Overigens staan ook F-Secure en Sophos in het lijstje met bedrijven die meer dan 48 uur nodig hadden. Da's geen beste beurt!
09-12-2011, 11:37 door Anoniem
"Microsoft gaat voortaan inzichtelijk maken hoe snel virusscanners misbruik van zero-day kwetsbaarheden in Microsoft software kunnen detecteren."

Indien het gaat om 0day's gebruikt in een targetted attack, dan is toevoeging eigenlijk altijd te laat. Overigens meet Microsoft niet vanaf het moment dat de 0day voor het eerst gebruikt wordt (dit is meestal onbekend), maar vanaf het moment dat de 0day in een security advisory verschijnt. Dikwijls zitten hier dagen, weken of maanden tussen.
09-12-2011, 12:16 door faridje
Mmmuuahhh.... Vind dit al prima genoeg hoor. Ik denk namelijk dat het per bedreiging anders zou liggen. Ik persoonlijk lig er niet wakker van dat Sophos en F-Secure er iets langer over hebben gedaan (komt ook omdat ik ze niet gebruik haha), ik ga er vanuit dat zij bij een vorige danwel volgende bedreiging wel binnen die 48 uur vallen. Maar kan me goed voorstellen dat er mensen zijn die het wel belangrijk vinden hoor! Dus inderdaad een goede actie van Microsoft!
09-12-2011, 12:34 door svenvandewege
Ik mis ook Symantec in het lijstje met binnen 48 uur of zelfs het tweede lijstje. Waarom worden eset, g data, avg en trend micro in het artikel hierboven genoemd? Had Symantec er dan ook niet bij gemoeten als marktleider?
09-12-2011, 13:42 door sjonniev
Door svenvandewege: Ik mis ook Symantec in het lijstje met binnen 48 uur of zelfs het tweede lijstje. Waarom worden eset, g data, avg en trend micro in het artikel hierboven genoemd? Had Symantec er dan ook niet bij gemoeten als marktleider?

Ik denk dat die net iets meer dan 96 uur nodig hebben gehad.
09-12-2011, 15:33 door svenvandewege
`@sjonniev: Precies, en dan is het niet leuk dat die andere speciaal in het artikel worden genoemd en Symantec (als marktleider) niet. Juist hun zou ik er dan bij gezet hebben aangezien het opvallend was. Nouja, lekker boeiend eigenlijk haha.
10-12-2011, 22:26 door Anoniem
MAPP is er alleen om Microsoft's doelen te dienen. Ze willen juist gratis informatie van de anti-virus bedrijven.
11-12-2011, 11:01 door Dev_Null
De malware gebruikte een onbekend lek in de Windows-kernel om systemen te infecteren
Blijkbaar is het WEL bekend bij de makers van deze malware :-P

Word het niet eens tijd dat Microsoft stopt met het verspreiden van deze bs-stories en haar tijd gaat steken in
- het opsporen van de nog aanwezige lekken in hun software
- het structureel fixen van de nog aanwezige ontwerpfouten

Of is beter - voor de perceptie van iedere computergebruiker - om voortaan "Windows(tm)" zelf te gaan zien als malware daar het - by default/design - de voortplanting van digitale virussen toestaat, mogelijk maakt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search