Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Angst en ophef omringen gaten

13 januari 2006 - 23:004 minuten leestijdAchtergrondSecurity & Awareness
Jasper Bakker
Jasper Bakker

Het recente, volgens experts ernstige, gat in Windows heeft geleid tot veel angst en ophef. Exploits doken vrijwel direct op, een patch bleef uit en tussendoor verscheen een officieuze fix. Ondertussen liep de verwachte nieuwe Sober-aanval met een sisser af.

Het nieuwe jaar is voor Microsoft en Windows-gebruikers niet bepaald rustig begonnen. Net na Kerst werd een nieuw gat ontdekt in de afhandeling van metadata in grafische bestanden. Dit gat, eigenlijk een verouderde functieaanroep, schuilt in Windows Meta File (WMF) en viel niet af te dekken met reguliere workarounds zoals het blokkeren van firewall-poorten. Inmiddels is Microsoft met zijn patch op de proppen gekomen, zelfs eerder dan gepland vanwege de heersende onrust.

Microsoft achtte de kwestie aanvankelijk niet zo gevaarlijk; gebruikers moesten immers zelf handelingen uitvoeren om besmet te worden. Ook antivirusleverancier McAfee schatte het gevaar laag in, voor zowel thuis- als bedrijfsgebruikers. Het tempo waarin nieuwe versies en vormen van de exploit verschenen gooide echter olie op het vuur. Bovendien kwam de Belgische ontwikkelaar Ilfak Guilfanov, maker van analysetool IDA Pro, vrij snel met een zelfgemaakte fix die de gevaarlijke aanroep blokkeert.

Het Internet Storm Center van het Amerikaanse beveiligingsorgaan SANS (Sysadmin, Audit, Network, Security) Institute kwam met het dringende advies deze fix te installeren. Softwareleverancier F-Secure schaarde zich achter dit advies. Systeembeheerders zagen zich voor een problematische keuze gesteld: een beveiligingsgat waarvoor (nog) geen patch is zelf afdekken of wachten op de leverancier.

Altijd eerst testen

“Wij raden het installeren van de fix in principe ook aan. Maar je moet ‘t natuurlijk wel eerst testen in je eigen it-omgeving”, zegt research engineer Roel Schouwenberg van antivirusleverancier Kaspersky. Hij denkt dat dit soort adviezen in de toekomst vaker worden gegeven, maar benadrukt dat testen nodig blijft. “In dit geval nu is het immers een officieuze patch. Ook al is het van een expert, de maker van IDA Pro, afkomstig.”

Het dilemma is kort daarna weggenomen; de officiële patch is toch versneld uitgebracht. “Ik hoop dat Microsoft nu wel de tijd heeft genomen om het hele dll-bestand door te nemen”, aldus de antivirusexpert. Microsoft hield tot eind vorige week vol dat de patch gewoon zou meegaan met de maandelijkse beveiligingsupdate-ronde, die afgelopen dinsdag was. Dat plan werd doorkruist, niet alleen door de rondgaande exploit-code en het aantal besmettingen maar ook door het uitlekken van Microsofts patch midden vorige week. Die pre-release patch leek zijn werk goed te doen, maar Microsoft-woordvoerders drukten beheerders en gebruikers op het hart deze software niet te gebruiken.

Schouwenberg ziet het dilemma van gaten en patches dit jaar vaker voorkomen. “De professionals bij de bad guys zijn hiermee bezig.” Aan de andere kant erkent hij dat er ook sprake is van hypes rondom beveiliging. Een recent, treffend voorbeeld was de Sotob-worm die hard aankwam bij enkele mediabedrijven, waaronder CNN, die vervolgens uitgebreid verslag deden van de in hun perceptie grote dreiging. Dit zorgde voor veel ophef. “Wij hebben toen ook gezegd dat het overtrokken was.”

Ook de Sober-worm, die extreem-rechtse spam verstuurde, werd gehyped. De worm zou vorige week een nieuwe aanvalsgolf hebben, maar dat viel alleszins mee. “Sober had al twee keer eerder een update gehad”, vertelt de Kaspersky-engineer. De worm was dus al herkenbaar voor beveiligingssoftware. Bovendien was de voornaamste wijziging de spam-boodschap en dat is gewoon een kwestie voor spamfilters, legt hij uit.

Onder het maaiveld

Voor dit jaar is Schouwenberg genuanceerd: “Een virus- of wormschrijver probeert vaak onder het maaiveld te blijven. Zo was er recent een MSN-virus dat weinig besmettingen kende, maar wel de potentie had binnen korte tijd veel te besmetten. Dat vereist slechts een kleine aanpassing van de code, wat zó is gebeurd.” De toenemende opsporingsaandacht, zowel technisch als juridisch, zou de makers hiervan weerhouden.

Wat de hype-vorming betreft, kijkt Schouwenberg naar de beleidskeuzes van bedrijven. “Wij gaan voor waarschuwing plús informatie en liefst ook meteen oplossingen. Wij willen geen nieuws maken, maar het rapporteren.” Sommige leveranciers willen echter juist snel zijn. “Daar zie je ook het verschil tussen een persbericht en een beveiligingsblog; het eerste is vollediger, het tweede vooral snel.”

Links

blogs.securiteam. com/index.php/archives/176

www.microsoft.com/technet/ security/bulletin/MS06-001.mspx

Meer over

ExploitsPatches

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    OpinieCloud & Infrastructuur

    Introductie van sase in het netwerk: eenvoudiger beheer en lagere kosten

    ActueelSecurity & Awareness

    Hoe Olivia en wachtwoord ‘123456’ McDonald’s in verlegenheid brachten

    ActueelInnovatie & Transformatie

    Kort: Conscia neemt Open Line over, 6,1 miljoen voor 3d-oplossing tandenknarsen (en meer)

    ActueelCarrière

    Veroordeelde ASML-spion overtrad sancties en pleegde computervredebreuk

    OpinieSecurity & Awareness

    Over post-quantum security (en waarom je nú moet handelen)

    OpinieSecurity & Awareness

    Inzicht in kwetsbaarheden aanvalsoppervlak gaat voor budget

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialData & AI

    Private AI helpt gemeenten met vertrou...

    In een tijd waarin gemeenten geconfronteerd worden met groeiende verwachtingen van burgers, toenemende wet- en regelgeving en druk op budgetten,...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs