Artikel top billede

Microsoft mistænker samarbejdspartnere for læk

Angrebskode, der skulles deles med partnere i sikkerheds-samarbejde, er endt i hænderne på hackere.

Læs også:

Hackere vil udnytte Windows-hul inden 30 dage

Computerworld News Service: Microsoft bekræftede fredag, at oplysninger om en sårbarhed sandsynligvis er blevet lækket til hackere via et samarbejde med leverandører af sikkerhedssoftware.

"Detaljer fra denne proof-of-concept-kode svarer tilsyneladende til de sårbarhedsoplysninger, der er blevet delt med partnere i Microsoft Active Protection Program," oplyser Yunsun Wee, der er leder af Microsofts Trustworthy Computing-gruppe, i et indlæg på selskabets sikkerhedsblog.

"Microsoft efterforsker aktivt offentliggørelsen af disse detaljer og vil tage de nødvendige forholdsregler for at beskytte kunderne og sikre, at fortrolige oplysninger, vi deler, er beskyttet i henhold til vores kontrakter og krav i forbindelse med samarbejdet," tilføjer Wee.

Derfor deler Microsoft viden

Under Microsoft Active Protection Program (MAPP) stiller Microsoft tekniske oplysninger om fejl til rådighed for udvalgte leverandører af antivirussoftware, før selskabet udsender fejlrettelser.

Formålet med MAPP er at give tredjepartsleverandører af sikkerhedssoftware oplysninger på forhånd, så de har bedre tid til at opdatere deres virus-signaturer.

en side med ofte stillede spørgsmål om MAPP-samarbejdet oplyses det, at Microsoft blandt andet deler ting såsom proof-of-concept-kode og værktøjer til reproduktion, der kan kaste yderligere lys over et problem og hjælpe til at forbedre sikkerheden yderligere.

Microsofts bekræftelse fredag skete efter, at den italienske analytiker Luigi Auriemma, som rapporterede sårbarheden i Windows Remote Desktop-protokollen til Microsoft i maj 2011, tidligere på dagen havde skrevet om lækket på sin personlige blog.

Hvem har lækket koden?

Auriemma påstod, at kode fra en proof-of-concept-exploit fra et kinesisk website var identisk med kode, som han havde indleveret til HP TippingPoints Zero Day Initiative, der udlover dusører for demonstration af softwarefejl. Hans kode blev herefter brugt af ZDI til at skabe en fungerende angrebskode for at bekræfte sårbarheden.

Efterfølgende videregav ZDI oplysningerne til Microsoft om sårbarheden i Remote Desktop-protokollen heriblandt angrebskoden, der anvendte Auriemmas kode.

Den offentlige exploit indeholder ifølge Auriemma tekststrengen "MSRC11678," der er et sagsnummer fra Microsoft Security Response Center, hvilket indikerer, at lækket først er sket, efter koden har været Microsoft i hænde.

ZDI afviser da også at være kilde til lækket.

"Vi er 100 procent sikre på, at lækket ikke kommer fra os, og det stoler Microsoft på," udtaler Aaron Portnoy, der er leder af TippingPoints sikkerhedsanalyse-team og chef for ZDI, i et interview fredag.

Portnoy gennemgår i interviewet også hele rækkefølgen af, hvem der har haft ansvaret for Auriemmas kode - der er en særligt konstrueret datapakke, der udløser sårbarheden i Remote Desktop-protokollen - lige fra dens indsendelse til ZDI i maj 2011, til den blev inkluderet i den koncept-angrebskode, som ZDI leverede til Microsoft i august 2011 som del af en bredere analyse af sårbarheden.

Den proof-of-concept-angrebskode, der nu er i omløb blandt hackere, gør det ikke muligt af køre kode via fjernadgang - hvilket er nødvendigt for at kompromittere en pc eller server over internettet og derefter plante malware i systemet - men får i stedet en sårbar maskine til at gå ned, forklarer Portnoy. Resultatet er den klassiske såkaldte Blue Screen of Death i Windows.

Portnoy fremhæver også, hvad Wee fra Microsoft har påpeget om lighederne mellem den offentlige exploit og Auriemmas kode. "Vi kan bekræfte, at angrebskoden indeholder en pakke, der var del af, hvad Luigi gav os," siger Portnoy.

Microsofts partnere

Microsoft lancerede MAPP i 2008. Samarbejdet består af 79 partnere inden for sikkerhedsprodukter heriblandt AVG, Cisco, Kaspersky, McAfee, Trend Micro og Symantec samt adskillige kinesiske leverandører af antivirussoftware. Man kan finde en komplet oversigt over medlemmerne af MAPP på samarbejdets website.

Wee har ikke givet udtryk for, om Microsoft har en liste af mistænkte, men han bemærker, at alle informationer, der er videregivet til partnere i MAPP-samarbejdet er sket under "en streng fortrolighedserklæring."

Hvis lækket er foretaget af en MAPP-partner, så vil det være første gang, at noget sådant er sket i dette samarbejde.

Microsofts MS12-020-opdatering lukker sårbarheden i Remote Desktop-protokollen og kan downloades og installeres via Microsoft Update og Windows Update samt via Windows Server Update Services.

Oversat af Thomas Bøndergaard

Læs også:

Hackere vil udnytte Windows-hul inden 30 dage




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere