Skal du vente på Microsofts patch?

Analyse: Microsoft har endnu ikke frigivet en opdatering, der kan lukke sikkerhedshullet i Windows, som i disse dage udnyttes af virusprogrammører. Men er en uofficiel patch løsningen?

Nyhedsanalyse: En overset funktion i Windows bliver udnyttet af kriminelle på internettet til at installere bagdørsprogrammer på pc'er.

Der findes en uofficiel patch til sikkerhedshullet, men er det værd at installere den?

Den seneste uges tid har et sikkerhedshul i Windows' håndtering af WMF-filer fået stor opmærksomhed, fordi sikkerhedshullet bliver udnyttet, og fordi Microsoft endnu ikke har lukket hullet.

Delt i to lejre

Det har delt sikkerhedseksperterne i to lejre, hvor den ene lejr har taget et usædvanligt skridt og anbefaler at installere en patch, der ikke er udviklet og testet af producenten.

Producenten er i dette tilfælde Microsoft, som lover at rette sikkerhedshullet. Microsoft har dog ikke sat nogen dato på frigivelsen af en patch.

Sikkerhedshullet er dog så akut, at Microsoft formentligt vil lukke det allerede i næste uge, når selskabet udsender sine månedlige opdateringer.

Sårbar overfor hullet

I mellemtiden er størstedelen af alle Windows-installationer imidlertid sårbar over for sikkerhedshullet.

Sikkerhedsorganisationen SANS anbefaler på organisationens Internet Storm Center at installere en uofficiel patch, udviklet af den uafhængige programmør Ilfak Guilfanov.

Den anbefaling bakkes op af Mikko Hypponen fra antivirusfirmaet F-Secure, selvom det bryder med almindelig god sikkerhedspraksis.

- Normalt ville vi ikke skrive om en sikkerhedsopdatering, som ikke kommer fra leverandøren. Men Ilfak Guilfanov er ikke Hr. Hvem-som-helst. Han er ubestridt en af de dygtigste Windows-eksperter i verden, skriver Mikko Hypponen på selskabets weblog.

Også den halv-offentlige danske institution DK-CERT anbefaler installation af den uofficielle patch.

Der er tale om en simpel patch, som ifølge danske CSIS' analyse formentligt ikke er meget forskellig fra den løsning, Microsoft vil komme med.

CSIS vil dog ligesom de fleste andre sikkerhedsfirmaer ikke give den uofficielle patch en anbefaling.

Bagsiden er, at det vil være at bryde med et ellers klippefast sikkerhedsprincip om, aldrig at installere sikkerhedsopdateringer fra tredjepart.

Hvem står med ansvaret?

Hvem står eksempelvis med ansvaret, hvis det viser sig, at opdateringen giver problemer for andre systemer?

På den anden side, så udnyttes sikkerhedshullet allerede, og antivirus giver kun en begrænset beskyttelse.

Indtil videre udnyttes sikkerhedshullet dog på måder, som kræver en vis interaktion fra brugerens side.

Der er utallige eksempler på, at det ikke kræver et sikkerhedshul at inficere en pc, når blot brugeren kan overbevises.

Mere alvorligt end andre huller?

Er det aktuelle sikkerhedshul derfor en mere alvorlig trussel, end så mange andre?

Det er spørgsmålet, enhver it-ansvarlig må stille sig selv, inden han begynder at installere uofficielle sikkerhedsopdateringer.

Hvis du læser denne artikel, så er du formentligt allerede i stand til at undgå at blive ramt af sårbarheden.

Er du systemadministrator vil det måske være værd at overveje nogle af de alternative løsninger for at forhindre brugerne i at komme galt af sted

Microsoft anbefaler kunderne at bruge antivirus-software som midlertidig beskyttelse. Antivirus har imidlertid en indbygget svaghed over for nye varianter af truslen.

Microsoft foreslår endvidere en række "workarounds", som indebærer ændringer i konfigurationen og alle har den bagside, at brugeren vil opleve at miste funktionalitet i Windows.

Den slags er aldrig populært hos slutbrugerne.

Det er vigtigt ikke at lade sig gribe af panik, men i stedet opveje fordele og ulemper over for vurdering af den konkrete risiko.

Ikke så slemt som Sasser

Der er tale om et sikkerhedshul, der primært kan udnyttes via e-mail og fra websteder.

Det er alvorligt nok, men ikke i samme kategori som de sikkerhedshuller, der forårsagede udbruddene af Slammer og Sasser.

Disse udbrud kom, fordi sårbarhederne kunne udnyttes direkte via netværket uden at indblande brugeren.

Var der tale om sådan en type sårbarhed, ville det være lettere at forsvare en uofficiel patch.

På den anden side er der ifølge blandt andre McAfee værktøjer i omløb på internettet, som kan bruges til at skabe WMF-filer med ondsindet indhold.

Det betyder, at vi formentligt vil se adskillige forsøg på at udnytte sikkerhedshullet.

Samtidig bør man bide mærke i, at virusprogrammørerne tilsyneladende foretrækker at udnytte sikkerhedshuller, der er forholdsvis let tilgængelige og vidt udbredte hos slutbrugerne.

Til gengæld behæver sikkerhedshullet ikke at være et såkaldt zero-day-exploit, hvor koden til at udnytte det kommer før patchen.

De mest aktive ondsindede programmer udnytter enten ældre sikkerhedshuller eller forlader sig udelukkende på at snøre brugeren.

Det skyldes, at virusprogrammørerne i dag går mere efter profit end berømmelse. Opmærksomhed fra medierne får folk til at anskaffe sig antivirus og installere sikkerhedsopdateringer.

Ved at holde lav profil kan virusprogrammørerne i stedet opretholde en fast bestand på flere tusinde inficerede pc'er, som misbruges til at udsende spam, nye virus eller være vært for phishing-hjemmesider.

Den udvikling i virusbagmændenes motiver har sikkerhedsbranchen dokumenteret over de sidste to år.

Opmærksomhed fra et nyt alvorligt sikkerhedshul i Windows er ikke i bagmændenes interesse, men det er ikke ensbetydende med, at de vil afholde sig fra at udnytte det, som det ses af den seneste aktivitet.

Det er næppe sidste gang, vi vil se et sikkerhedshul i Windows, som bliver udnyttet, før det er blevet lukket.

En mere langsigtet løsning kan derfor være at investere tid og penge i systemer, der gør det lettere at opdage inficerede systemer på netværket og sørge for, at de ikke kan kommunikere uhindret med hackede servere på internettet.

Alternativt kan man forstærke indsatsen for at gøre brugerne bedre i stand til at genkende virusmails og oplære brugerne i at håndtere dem, så de ikke inficerer systemet.

I sidste ende gælder det om at vurdere risikoen for at få inficeret en Windows-pc på netværket over for risikoen ved at installere en uofficiel patch.

http://www.microsoft.com/technet/security/advisory/912840.mspx

http://blogs.technet.com/msrc/default.aspx

http://isc.sans.org/diary.php?storyid=994

http://www.f-secure.com/weblog/archives/archive-122005.html#00000756

http://www.secunia.dk/advisories/18255/

https://www.cert.dk/nyheder/nyheder.shtml?06-01-02-10-03-33




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere