Microsoft detectiesoftware triggerde Conficker-spoedpatch

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Vrijdag 27 februari 2009
Auteur: Brenno de Winter

Een extra patch van Microsoft in 2008 kwam nadat het beveiligingsteam van het bedrijf een gat ontdekte. Niet het lek, maar het misbruik viel de marktleider op.

De detectie vond plaats, omdat Microsoft zelf software heeft ontwikkeld om incidenten te detecteren. Langs meerdere kanalen krijgt het bedrijf dagelijks meer dan 60.000 samples van malware. De softwarebouwer verwerkt deze input geautomatiseerd. Medewerkers gaan alleen aan de slag met onbekende en opvallende gebeurtenissen.

Onbekend lek

Op 6 oktober 2008 kwam zo'n uitzondering naar voren. "In dit geval was er duidelijk spake van een afwijking en al heel snel bleek dat dit een nieuw lek in Windows betrof dat we nog niet kenden", vertelt Jeff Williams, Principal Group Program Manager van het Microsoft Malware Protection Center tegenover Techworld.

Meteen werd een team in het leven geroepen om het lek te dichten. "Daarbij was extra haast geboden omdat we misbruik op kleine schaal vaststelden", betoogt Williams. Omdat het probleem een onbekend probleem betrof, moest eerst de omvang van het lek duidelijk worden en we moesten vaststellen waar nou precies een noodverband nodig was.

Out-of-band-patch

De spoed leidde tot de beslissing om een out-of-band-patch te maken, die beschikbaar zou komen zodra het kon. "Zoiets doen we niet graag", zegt Williams. Voor Microsoft is het uitwerken van een extra patch behoorlijk duur, terwijl klanten met het updaten ook veel beheerscapaciteit moeten inzetten.

Probleem bij het maken van een extra update is dat enerzijds de klok tikt, terwijl er aan de andere kant goed getest moet worden. "Doen we dat niet en het gaat mis, dan verspelen we vertrouwen en passen de mensen de updates niet toe."

Geen volledig succes

Uiteindelijk kwam er 23 oktober een update (MS-2008-067), die inderdaad niet door iedereen is geïnstalleerd. Daardoor roken criminelen toch kansen en ontstonden er meerdere families van zogenaamde Conficker-wormen. Het bedrijf schat dat er uiteindelijk drie tot vier miljoen machines geïnfecteerd zijn.

Toch beschouwt het bedrijf dit wel als een succesverhaal. "Bij Blaster kwamen wij 38 dagen na het verschijnen van de malware met een oplossing. Nu waren wij de malware 17 dagen voor", stelt Williams.

Volgens hem zal het in de toekomst belangrijker zijn zelf misbruik te detecteren, omdat er een economie achter malware zit. Door vooraf te bekijken wat voor vreemd verkeer er is, hoopt het bedrijf minder afhankelijk te zijn van waarschuwingen van derde partijen.

Bron: Techworld

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)