image

Microsoft test scanner voor zero-day-lekken

dinsdag 30 juli 2013, 13:18 door Redactie, 1 reacties

Microsoft heeft een scanner ontwikkeld waarmee het aanvallen op nog onbekende beveiligingslekken kan opsporen, de zogeheten zero-day-lekken. De MAPP-scanner is afkomstig van het team dat eerder verschillende andere security-tools ontwikkelde, zoals !exploitable, OffVis en EMET, en heeft als doel om te helpen bij het onderzoeken van beveiligingsincidenten.

Via de scanner is het mogelijk om Office-documenten, PDF-bestanden, Flash-filmpjes en verdachte URL's te controleren om te bepalen of ze mogelijk een beveiligingslek proberen te misbruiken. De MAPP-scanner voert zowel statische als actieve analyses uit om te zien of de bestanden een exploit bevatten.

Virtual Machines
Hiervoor start het programma Virtual Machines van alle ondersteunde Windows-versies en opent de inhoud in ondersteunde versies van de betreffende applicatie. De MAPP-scanner kan helpen bij het vinden van al bekende beveiligingslekken en geeft vervolgens het CVE-nummer van de kwetsbaarheid en op welke platformen het probleem speelt.

Daarnaast kan de scanner ook verdachte activiteit opmerken die nog niet met een bekend lek wordt geassocieerd. "Hierdoor is de MAPP-scanner extreem effectief in het identificeren van voorheen onbekende beveiligingslekken", aldus Senior Security Strategist Jerry Bryant.

Onderzoek
Die merkt op dat de scanner daarnaast de mogelijkheden en efficiëntie van responders die een incident onderzoeken drastisch verbetert. De MAPP-scanner wordt op dit moment via een gesloten 'pilotprogramma' getest, maar is bedoeld voor partners die het doelwit van gerichte aanvallen zijn en de bedrijven die met deze organisaties samenwerken om dit soort aanvallen te onderzoeken en voorkomen.

Reacties (1)
30-07-2013, 15:09 door Anoniem
Nou, dat werd eens tijd. Bijna 10 jaar nadat de Office exploits in zwang raakte.

Uiteraard is dit dan ook meteen het einde van makkelijk detecteerbare exploits. Dat gaat zo: scanner detecteert veel -> scanner populair -> scanner gebruikt door malware schrijvers -> scanner detecteert malware niet meer vanzelf.

Het is in feite makkelijk om exploits te detecteren door te kijken wat er gebeurt en of dat buiten de standaarden valt. Het gebeurt weinig, want dat levert veel false positives op, die eigenlijk op problemen (bugs) wijzen. Dan zet de gebruiker die scanner uit, want die werkt niet. Hij werkt dus wel. De software die dergelijke rommel maakt is de schuldige.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.