Deze week publiceerde een beveiligingsbedrijf aanvalscode voor een lek in Internet Explorer waarvoor nog altijd geen beveiligingsupdate beschikbaar is, dit zou de situatie echter niet erger maken, aldus Rapid7. Het bedrijf ontwikkelt en beheert Metasploit en publiceerde de exploit.

Metasploit is een framework waarmee penetratietesters, systeembeheerders en security professionals de veiligheid van systemen en netwerken kunnen testen. Op maandag publiceerde een Metasploit-ontwikkelaar een exploit voor een lek in Internet Explorer. Dit lek in Microsofts browser wordt al sinds 23 augustus gebruikt om bij organisaties in te breken.

Microsoft waarschuwde gebruikers op 17 september en bood verschillende tijdelijke oplossingen, in afwachting van een update. Die zal dinsdag 8 oktober verschijnen. Door de publicatie van de exploit zou de kans op misbruik toenemen, omdat nu iedereen het lek kan aanvallen, aldus critici. Volgens Metasploit-ontwikkelaar Tod Beardsley is dat niet het geval. Criminelen zouden de exploit namelijk al in handen hebben.

Positief effect

Daarnaast zou de publicatie van de aanvalscode juist een positief effect kunnen hebben doordat er meer aandacht voor het lek in kwestie komt. Dit kan weer druk op de leveranciers uitoefenen die daardoor sneller met een patch komen. Beardsley wijst naar een situatie op 11 januari van dit jaar, waarbij Rapid7 een exploit voor een nieuw Java-lek publiceerde. Twee dagen later kwam Oracle met een Java-update om het lek te dichten.

Volgens Beardsley is het zeer waarschijnlijk dat Oracle op de exploit van Metasploit reageerde. Verder heeft Microsoft verschillende oplossingen geboden om misbruik van de kwetsbaarheid tegen te gaan. "Tenminste nu weten we dat het niet alleen de aanvallers zijn die de beveiligingsmaatregelen van je eindgebruikers kunnen testen", zo merkt hij op.

Redelijk

De Metasploit-ontwikkelaar wijst ook naar de houding van organisaties als het om security gaat. "Als je verdediging afhankelijk is van een gebrek aan openbare zero-day-exploits, dan doe je het verkeerd. 'Defense in Depth' is een security-mantra voor een reden."

In het tijdperk van een vijandig internet is het volgens Beardsley niet redelijk om op perfecte software te vertrouwen, of op de beperkte beschikbaarheid van exploits waarbij alleen criminelen en schimmige overheidsorganisaties toegang tot de aanvalstools hebben. "Daarom denk ik dat Metasploit behoorlijk redelijk is als we exploits publiceren."