Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Angst en ophef omringen gaten

13 januari 2006 - 23:004 minuten leestijdAchtergrondSecurity & Awareness
Jasper Bakker
Jasper Bakker

Het recente, volgens experts ernstige, gat in Windows heeft geleid tot veel angst en ophef. Exploits doken vrijwel direct op, een patch bleef uit en tussendoor verscheen een officieuze fix. Ondertussen liep de verwachte nieuwe Sober-aanval met een sisser af.

Het nieuwe jaar is voor Microsoft en Windows-gebruikers niet bepaald rustig begonnen. Net na Kerst werd een nieuw gat ontdekt in de afhandeling van metadata in grafische bestanden. Dit gat, eigenlijk een verouderde functieaanroep, schuilt in Windows Meta File (WMF) en viel niet af te dekken met reguliere workarounds zoals het blokkeren van firewall-poorten. Inmiddels is Microsoft met zijn patch op de proppen gekomen, zelfs eerder dan gepland vanwege de heersende onrust.

Microsoft achtte de kwestie aanvankelijk niet zo gevaarlijk; gebruikers moesten immers zelf handelingen uitvoeren om besmet te worden. Ook antivirusleverancier McAfee schatte het gevaar laag in, voor zowel thuis- als bedrijfsgebruikers. Het tempo waarin nieuwe versies en vormen van de exploit verschenen gooide echter olie op het vuur. Bovendien kwam de Belgische ontwikkelaar Ilfak Guilfanov, maker van analysetool IDA Pro, vrij snel met een zelfgemaakte fix die de gevaarlijke aanroep blokkeert.

Het Internet Storm Center van het Amerikaanse beveiligingsorgaan SANS (Sysadmin, Audit, Network, Security) Institute kwam met het dringende advies deze fix te installeren. Softwareleverancier F-Secure schaarde zich achter dit advies. Systeembeheerders zagen zich voor een problematische keuze gesteld: een beveiligingsgat waarvoor (nog) geen patch is zelf afdekken of wachten op de leverancier.

Altijd eerst testen

“Wij raden het installeren van de fix in principe ook aan. Maar je moet ‘t natuurlijk wel eerst testen in je eigen it-omgeving”, zegt research engineer Roel Schouwenberg van antivirusleverancier Kaspersky. Hij denkt dat dit soort adviezen in de toekomst vaker worden gegeven, maar benadrukt dat testen nodig blijft. “In dit geval nu is het immers een officieuze patch. Ook al is het van een expert, de maker van IDA Pro, afkomstig.”

Het dilemma is kort daarna weggenomen; de officiële patch is toch versneld uitgebracht. “Ik hoop dat Microsoft nu wel de tijd heeft genomen om het hele dll-bestand door te nemen”, aldus de antivirusexpert. Microsoft hield tot eind vorige week vol dat de patch gewoon zou meegaan met de maandelijkse beveiligingsupdate-ronde, die afgelopen dinsdag was. Dat plan werd doorkruist, niet alleen door de rondgaande exploit-code en het aantal besmettingen maar ook door het uitlekken van Microsofts patch midden vorige week. Die pre-release patch leek zijn werk goed te doen, maar Microsoft-woordvoerders drukten beheerders en gebruikers op het hart deze software niet te gebruiken.

Schouwenberg ziet het dilemma van gaten en patches dit jaar vaker voorkomen. “De professionals bij de bad guys zijn hiermee bezig.” Aan de andere kant erkent hij dat er ook sprake is van hypes rondom beveiliging. Een recent, treffend voorbeeld was de Sotob-worm die hard aankwam bij enkele mediabedrijven, waaronder CNN, die vervolgens uitgebreid verslag deden van de in hun perceptie grote dreiging. Dit zorgde voor veel ophef. “Wij hebben toen ook gezegd dat het overtrokken was.”

Ook de Sober-worm, die extreem-rechtse spam verstuurde, werd gehyped. De worm zou vorige week een nieuwe aanvalsgolf hebben, maar dat viel alleszins mee. “Sober had al twee keer eerder een update gehad”, vertelt de Kaspersky-engineer. De worm was dus al herkenbaar voor beveiligingssoftware. Bovendien was de voornaamste wijziging de spam-boodschap en dat is gewoon een kwestie voor spamfilters, legt hij uit.

Onder het maaiveld

Voor dit jaar is Schouwenberg genuanceerd: “Een virus- of wormschrijver probeert vaak onder het maaiveld te blijven. Zo was er recent een MSN-virus dat weinig besmettingen kende, maar wel de potentie had binnen korte tijd veel te besmetten. Dat vereist slechts een kleine aanpassing van de code, wat zó is gebeurd.” De toenemende opsporingsaandacht, zowel technisch als juridisch, zou de makers hiervan weerhouden.

Wat de hype-vorming betreft, kijkt Schouwenberg naar de beleidskeuzes van bedrijven. “Wij gaan voor waarschuwing plús informatie en liefst ook meteen oplossingen. Wij willen geen nieuws maken, maar het rapporteren.” Sommige leveranciers willen echter juist snel zijn. “Daar zie je ook het verschil tussen een persbericht en een beveiligingsblog; het eerste is vollediger, het tweede vooral snel.”

Links

blogs.securiteam. com/index.php/archives/176

www.microsoft.com/technet/ security/bulletin/MS06-001.mspx

Meer over

ExploitsPatches

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    ActueelInnovatie & Transformatie

    Kort: Innovatiezone in Almere, grote Defensiedeal Pro Warehouse (en meer)

    AchtergrondSecurity & Awareness

    Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

    compliance
    OpinieGovernance & Privacy

    Waarom Dora- en NIS2-compliance beginnen met assetmanagement

    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    ActueelSecurity & Awareness

    Vaarwel C++ en C: VS zetten in op memory safe-programmeertalen

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs