Microsoft lapper i hemmelighet

Microsoft lapper i hemmelighet

Fortalte ikke kundene om to kritiske sikkerhetshull i Exchange og ett i Visio.

Forrige måned lappet Microsoft i all stillhet tre sårbarheter i en sikkerhetspakke, hvorav to angikk forretningskritiske Exchange-servere, ifølge selskapet Core Security Technologies (CST).

Det første ”tause hullet” fant CST i MS10-028, som angår Microsoft-programmet Visio.

De to øvrige ble pakket inn i oppdateringen MS10-024 for Exchange og Windows SMTP Service, en sikkerhetspakke Microsoft flagget som ”viktig” – den nest høyeste trusselrangeringen.

Men Microsoft dokumenterte altså ikke disse tre sikkerhetshullene i sine faste bulletiner.

- Feiltypene i de to skjulte MS10-024-oppdateringene var viktigere enn de to feiltypene Microsoft faktisk annonserte. Det betyr at systemadministratorer kan ende opp med å ta feil avgjørelser vedrørende oppdateringen. De trenger informasjonen for å vurdere risikoen, sier Ivan Arce, teknologisjef i CST.

Gravearbeid

Det er Nicolas Economou i Core Labs, som er en del av CST, som fant hullene. Han fant dem mens han gravde seg ned i oppdateringene, som er en del av jobben hans. CST er nemlig kjent for sitt Core Impact penetrasjonstesting-rammeverk, og Economou ville skrive programsnutter som utnyttet de annonserte hullene til penetrasjonstestingverktøyet.

- En angriper kan bruke de to ikke-offentliggjorte feilene som ble fikset i MS10-024 til å forfalske svar til enhver DNS-forespørsel sendt av Windows’ SMTP-tjeneste, sier han.

Han peker på at DNS-forfalskningen gir helt andre farer enn de to som stod oppført i bulletinen for MS10-024-fiksen.

CST oppfordrer systemadministratorer til å revurdere praksisen med pakkeutrullinger, ettersom Microsoft ikke forteltalte alt som var å vite om oppdateringene.

Forsvarer hemmelighold

Microsoft innrømmer at de fikser feil uten å si fra, men forsvarer praksisen.

- Når en sikkerhetsrisiko er oppdaget, gjennomfører Microsoft en grundig etterforskning av sårbarheten og fikser også andre hull som er funnet i koden i løpet av etterforskningen. Vi gjennomfører også en grundig kvalitetstest av sikkerhetsoppdateringen. Dette hjelper å redusere antallet oppdateringer kundene må rulle ut, ettersom oppdateringer kan være forstyrrende i kundenes miljø, sier Jerry Bryant, i Microsofts sikkerhetsteam, til Computerworlds internasjonale nyhetstjeneste.

Ifølge Andrew Storms i Ncircle Security er det slettes ikke uvanlig med en slik praksis i programvarekretser.

- Leverandørene finner ofte hull selv i koden som de distribuerer i en pakke med andre fikser. Ofte har det ingen fordeler for noen at hullene offentliggjøres.

Men han ser også Arces bekymring om at denne praksisen kan slå feil ut.

- Om for eksempel et hull i Internet Explorer 8, klassifisert som moderat, også inneholder et hemmelig hull funnet internt med status kritisk, kan man tenke seg at kundene kan undervurdere oppgraderingens viktighet. De kan jo ikke vite at oppdateringen også inneholder en oppdatering som er av kritisk viktighet, sier Storms.

Les om: