Microsoft botnet haalt bugs uit Office 2010
Gepubliceerd: Zaterdag 29 mei 2010
Auteur: Tom Sanders
Microsoft heeft bij de ontwikkeling van Office 2010 sterk ingezet op het verbeteren van fuzzing technieken. De recordoogst: 1600 beveiligingsgaten.
Bij fuzzing maken onderzoekers kleine variaties op valide bestanden, die vervolgens geopend worden. De applicatie hoort daarbij hooguit een foutmelding te geven. Wanneer deze crasht, wijst dat op een potentieel beveiligingslek. Bij fuzzing tests worden miljoenen en soms zelfs miljarden misvormde bestanden op een applicatie afgevuurd. Hiervoor maakt Microsoft gebruik van honderden pc's, een soort intern botnet.
Bij Office 2010 leverde fuzzing 1600 potentiële gaten op, vertelde senior security program manager Brad Albrecht op een bijeenkomst met journalisten op het hoofdkantoor van Microsoft. Bij Windows Vista en Windows 7 bracht fuzzing voor elk besturingssysteem nog zo'n 300 bugs aan het licht.
Office xml 2007
Volgens Albrecht is deze monsteroogst het gevolg van 'slimmere fuzzing technieken'. De nieuwe generatie testtools kijkt vooraf al naar de manier waarop een bestand is geformuleerd in plaats van dat het willekeurige wijzigingen aanbrengt. Het Office 2007 xml bestandsformaat bijvoorbeeld bevat een zip-component. Als de compressie kapot wordt gemaakt, haalt fuzzing elders binnen het bestand niet meer uit.
Fuzzing zelf is niet nieuw. Maar voor Office 2010 heeft Microsoft zijn bestaande interne en externe tools aan een stevige analyse onderworpen en zijn de procedures verder uitgebouwd. Daarbij zijn vooral ervaringen van eerdere ontwikkeltrajecten meegenomen. Dat heeft geleid tot nieuwe tools waar de firma verder nog niets over wil zeggen, maar ook tot betere inzichten in de beste manier om lekken op te sporen, bijvoorbeeld over het aantal testen dat moet worden uitgevoerd.
Analyse
Volgens Lars Opstad, principal security group manager voor Trustworthy Computing bij Microsoft, groeit het belang van dergelijke analyses. "Naarmate je meer historische data hebt, leveren analyses meer op," vertelt Opstad. "Je hebt weinig analyse als je een tool eenmaal inzet. Maar als je een tool hebt waarvan je weet dat die werkt, kan je kijken naar manieren om die 2, 3 of 4 keer beter te maken." Microsoft deelt zijn bevindingen door tools gratis beschikbaar te stellen en door middel van zijn Trustworthy Computing initiatief.
Protected View
Naast het fuzzen, beschermt Office 2010 de eindgebruiker ook beter door slimmer naar bestanden te kijken. Zo bevat de applicatie Protected View, waarbij verdachte bestanden in een afgeschermde omgeving worden geopend. Dat geldt bijvoorbeeld voor documenten die niet door de bestandsvalidatie heen komen, bestanden in verdachte mappen zoals de temp folder, Outlook bijlagen en bestanden uit de internet zone.
Deze sandbox doet enigszins denken aan de beveiligde compartimenten die Microsoft ooit had ontworpen voor Vista als onderdeel van Next Generation Secure Computing Base (NGSCB), maar die voor de onthulling als feature zijn geschrapt. Daarbij zouden belangrijke onderdelen van de software in gescheiden omgevingen draaien, zodat een virus niet zou kunnen overspringen van bijvoorbeeld Outlook naar het besturingssyssteem.
Windows 8
De sandbox in Office is geen wedergeboorte van NGSCB, maar is door het Office team zelf ontwikkeld. Microsoft kan niet zeggen of de technologie ook in andere toepassingen, zoals bijvoorbeeld Windows 8, zal worden toegepast, maar sluit het ook niet uit. "We hebben de technologie teruggegeven aan de mensen waarvan we dachten dat zij het voor ons hadden moeten bouwen," aldus Albrecht geheimzinnig. "We moedigen hen aan om die voor iedereen binnen Microsoft verder te ontwikkelen."
