Worm richt voor het eerst gram op beveiligingssoftware

Dubieus firewall-debuut

Virussen verspreiden zich tot nu toe vooral via het besturingssysteem of mailsoftware. Daar lijkt verandering in te komen. Twee weken geleden is de eerste succesvolle netwerkaanval op een firewall-systeem uitgevoerd.

De Witty-worm, zoals het zichzelf verspreidende computervirus gedoopt is, heeft op 20 maart duizenden Blackice-firewalls en Realsecure softwaresystemen van Internet Security Systems aangevallen. Het virus arriveerde in de vorm van een udp-bericht (user datagram protocol), dat een kwetsbaarheid in de protocol analyse module van de Blackice-firewall van ISS misbruikte om zichzelf te verspreiden.
Nadat het een computersysteem had besmet, stuurde het zichzelf door naar twintigduizend willekeurige ip-adressen op zoek naar andere kwetsbare systemen. Vervolgens overschreef Witty 64K aan willekeurige gegevens op de harde schijf. Dit patroon herhaalde zich totdat de machine crashte. ISS noemde het succes van het virus relatief. Het heeft 12 duizend geïnfecteerde machines geteld, terwijl er volgens ISS 1,6 miljoen gebruikers van de Blackice-firewall zijn. Omdat Witty zichzelf erg snel verspreidde en de aangevallen machines onklaar maakte stierf de worm binnen een aantal dagen uit.

Dubbele primeur

ISS heeft een dubbele primeur. Niet alleen is haar firewallsysteem als eerste besmet geraakt, ook zat er de minste tijd tussen publicatie van de kwetsbaarheid en uitbuiting daarvan door een computervirus. Op 9 maart maakte de fabrikant het lek in de software bekend. Witty begon zijn destructieve tocht langs ISS-software op 20 maart. Tussen publicatie van een kwetsbaarheid in Microsoft-software en de Blaster-worm die daar misbruik van maakte zaten 26 dagen.
Er duiken regelmatig nieuwe kwetsbaarheden in kritieke beveiligingssoftware op. Zo meldde Symantec op 19 maart dat het antispam-onderdeel in zijn Norton beveiligingsproduct kwetsbaar is voor een bufferoverloop. Een opzettelijk lang verzoek gericht aan een Active X-component uit dit programmaonderdeel veroorzaakt deze overloop. Het gevolg is overschrijving van een systeem-stack waarna een aanvaller toegang heeft tot het systeem. De module wordt standaard meegeleverd met Norton Internet Security 2004 en de professionele versie daarvan. Er waart nog geen softwarecode op internet rond die dit lek misbruikt voor een aanval. Symantec heeft nog geen lapmiddel voor dit lek uitgebracht.< BR>