Al op 23 oktober heeft Microsoft een fix uitgebracht voor het lek waar Conficker gebruik van maakt. Maar ruim 80 dagen nadien is ongeveer 30 procent van de Windows-machines nog steeds kwetsbaar. Tot die conclusie is het beveiligingsbedrijf Qualys gekomen nadat ze een scan hebben uitgevoerd op een paar honderdduizend pc’s van hun klanten.

Patch cycles van drie maanden

Toen de patch net uit was, ging het snel met de downloads. Maar later vlakte die curve af. “Het aantal ongepatchte machines ging flink onderuit rond de dertigste dag”, zegt Wolfgang Kandek, de chief technology officer van Qualys, “toen was iets minder dan 50 procent van de machines gepatcht. Daarna ging het wat langzamer. Woensdag was nog 30 procent niet voorzien van de patch."Een derde van alle Windows-systemen is nog steeds kwetsbaar, geen wonder dat Conficker zo’n succes heeft. “Die langzame patch cycles zijn gewoon niet acceptabel”, zei Kandek. “Ze leiden direct tot grote epidemieën.”

Deze week heeft Conficker flink huisgehouden. Volgens het Finse F-Secure heeft het al toegeslagen op 3,5 miljoen pc’s. Microsoft legt een deel van de schuld bij de gebruikers. “Of ze hebben Security Update MS08-067 nog niet geïnstalleerd, of ze hebben het nog niet geïnstalleerd op alle computers”, zeiden Cristian Craioveanu en Ziv Mador van Microsoft dinsdag in een blog. Kandek is het helemaal met hen eens. “De patch cycles van drie maanden die door bedrijven wordt gehanteerd is onacceptabel”, zei hij nog maar eens.

Open-source

Overigens heeft de auteur van Conficker bij het schrijven van zijn worm gebruik gemaakt van het open-source project Metasploit, een penetration testing framework. Dat beweert een onderzoeker van McAfee. "Door de exploit van de Metasploit module als basis te gebruiken voor zijn code, hoeft een worm-programmeur alleen maar functies te implementeren voor het automatisch downloaden en verspreiden”, zegt Xiao Chen in een blog van McAfee. “We geloven dat hij daarvoor niet meer dan een gemiddelde programmeur hoeft te zijn die de basistechnieken kent van de exploit.”

Het Metasploit project heeft trouwens een BSD-licentie, dus de worm-programmeur is niet verplicht om de broncode van zijn worm vrij te geven. Wel staat er duidelijk te lezen op de site van Metasploit: “The tools and information on this site are provided for legal security research and testing purposes only.” Daar heeft de programmeur van Conficker zich duidelijk niets van aangetrokken. Bron: Techworld