Auf der Black Hat Konferenz 2008 in Las Vegas hat Microsoft zwei Programme vorgestellt, um Partner frühzeitig über Sicherheitslücken zu informieren. Damit sollen Anwender besser vor Bedrohungen geschützt werden. Zusätzliche Informationen und Verhaltenshinweise sollen es zudem Kunden erleichtern, Risiken einzuschätzen und die Dringlichkeit der Installation von Microsoft Sicherheits-Updates zu erkennen.
Wenn Microsoft monatlich Security-Updates für die eigenen Produkte veröffentlicht, vergehen oft nur Stunden, bis Schadcode, der die auf diese Weise bekannt gewordenen Schwachstellen ausnutzt. In enger Zusammenarbeit mit Anbietern von Sicherheitssoftware möchte nun der Hersteller aus Redmond derartigen Virenschreibern die Arbeit erschweren. Im Rahmen des Microsoft Active Protection-Programms (MAPP) stellt das Unternehmen seinen Partnern zukünftig Informationen schon im Vorfeld der regelmäßigen Sicherheitsupdates für Endkunden zur Verfügung. Damit können Anbieter von Sicherheitssoftware schneller reagieren und entsprechende Schutzmaßnahmen einleiten, sprich, die passenden Updates für die eigene Security-Software veröffentlichen.
Außerdem wird Microsoft in Zukunft den so genannten Exploitability Index veröffentlichen. Dieser soll Anwendern erleichtern, die Gefahr durch einzelne Schwachstellen einzuschätzen. Der auf Anregung von Kunden entwickelte Index bewertet die Wahrscheinlichkeit für die Entwicklung eines Schadcodes, der eine bestimmte Sicherheitslücke ausnutzt. Dies erleichtert es Endkunden zu entscheiden, ob tatsächlich eine die Bedrohung für ihr System besteht. So wird die Abwägung, welche Updates besonders dringend installiert werden müssen, vereinfacht. Der Exploitability Index wird als Teil des monatlichen Security Bulletins von Microsoft veröffentlicht.
Microsoft bewertet die potenzielle Gefahr einer Ausnutzung von Schwachstellen anhand dreier Einschätzungen:
-
Konsistenter Exploit Code wahrscheinlich: In diesem Fall lässt sich leicht Schadcode entwickeln, durch den ein Angreifer die Schwachstelle zuverlässig ausnutzen könnte. Daher sollten Anwender die Schwachstelle mit hoher Priorität durch das Update schließen.
-
Inkonsistenter Exploit Code wahrscheinlich: Hier schätzt Microsoft, dass Schadcode erzeugt werden könnte, dieser jedoch unzuverlässig funktioniert. Kunden sollten das Update für die entsprechende Schwachstelle zwar als wichtig einschätzen, aber erst höher priorisierte Updates installieren.
-
Funktionierender Exploit Code unwahrscheinlich: Für die entsprechende Schwachstelle lässt sich kaum ein funktionierender Schadcode entwickeln. Da Angriffe wahrscheinlich nur zu abnormalem Verhalten von Anwendungen führen, besitzt das Update keine hohe Priorität.
"In einer Zeit, in der die Bedrohungen quantitativ und qualitativ zunehmen, müssen alle Beteiligten in der Software-Industrie enger zusammenarbeiten, um Sicherheit zu gewährleisten", meint Tom Köhler, Director Security Strategy and Communications bei Microsoft Deutschland. "Mit dem Microsoft Active Protections.Programm verringern wir die Zeit zwischen der Veröffentlichung des Schadcodes und dem Vorhandensein des passenden Schutzes. Durch die frühzeitige Bereitstellung der Informationen sind die Softwarehersteller den Virenschreibern zukünftig einen Schritt voraus." (rwI