Microsoft bagatelliseert zero-day bugs

'Raak niet in paniek!', luidt het laatste advies van Microsoft wanneer een nieuwe zero-day kwetsbaarheid aan het licht komt. Een dergelijke kwetsbaarheid kan door een hacker misbruikt worden voordat de softwareontwikkelaars kans heeft gezien het lek te repareren.

"We zeggen niet dat je zorgen maken over zero-days onzin is, maar je moet ze wel in de juiste context plaatsen", zegt securitychef Jeff Jones van Microsoft Trustworthy Computing. "Voor wie dagelijks met security te maken heeft, zijn er belangrijkere zaken om rekening mee te houden."

'Reële dreiging zero-days marginaal'

Jones baseert zich daarbij op data van de securityteams van Microsoft en de Windows-software die het bedrijf produceert. Zero-days zijn in de cijfers niet het grootste risico en daarom ook niet het meest gevaarlijk voor klanten.

Volgens Microsoft's laatste Security Intelligence Report (SIR) dat op dinsdag verscheen, zijn zero-day kwetsbaarheden verantwoordelijk voor slechts 0,12% van alle exploit-activiteit in het eerste halfjaar van 2011. Die data staan niet in verhouding met de aandacht voor zero-days in de media, zegt Microsoft.

'Onevenredige aandacht goed te verklaren'

"Een zero-day kwetsbaarheid doet vooral alarmbellen rinkelen bij consumenten en IT-professionals omdat de angst voor het onbekende en het ontbreken van een fix samenkomen", schrijven de auteurs van het rapport. "Het is daarom geen verrassing dat zero-days kwetsbaarheden buitensporig veel aandacht krijgen in de pers."

Microsoft hoopt dat de neuzen dezelfde kant op komen te staan, zegt Jones. "Dit leidt anders onnodig tot paniek. Ik denk daarbij niet aan de IT-professional, maar aan de baas of bestuurder op C-niveau die gaat vragen: 'He, wat doen wij hieraan?'"

Microsoft's advies in deze? 'Blijf kalm.'

"Wat wij niet willen is dat de IT-pro in paniek raakt van de data en zijn prioriteiten gaat herzien", zegt Jones.

Volgens Andrew Storms van nCircle Security is de dreiging van een zero-day groter dan het reële gevaar. "Ik denk dat Microsoft gelijk heeft", zegt de securitydirecteur. "Ik heb altijd al geroepen dat zero-days niet het grote risico zijn."

Social engineering

Storms en Microsoft zijn het er wel over eens dat het werkelijke gevaar komt van gebruikers die gevaarlijke dingen doen - waarbij de term 'social engineering' vaak om de hoek komt kijken - zoals het downloaden van een gemanipuleerd bestand.

Door een complex systeem te gebruiken waarbij meerdere aanvalstrategieën in acht worden genomen en data vanaf andere bronnen in de cijfers worden betrokken - bijvoorbeeld data van Microsoft's gratis Malicious Software Removal Tool (MSRT) - blijkt dat 45 procent van alle malware verspreidt wordt via 'gebruikersinteractie'. "Exploits die zich bevinden op het vlak van social engineering en om gebruikersinteractie vragen, zijn de meest voorkomende en meest gevaarlijke bedreigingen", zegt Jones.

'Werk aan de winkel voor Microsoft'

Storms wijst erop dat Microsoft op basis van die data zelf iets kan doen aan de securityclassificaties van het bedrijf. Hij refereert daarbij naar het vierstrapssysteem dat Microsoft hanteert om beveiligingsupdates te labelen waarbij zero-days als belangrijkst worden aangemerkt, terwijl kwetsbaarheden waar gebruikers zelf een actie moeten uitvoeren in de op een na belangrijkste categorie vallen.

"Ze zeggen vaak dat een op afstand uitvoerbare exploit minder ernstig is omdat gebruikersinteractie vereist is", zegt Storms. "Maar dat conflicteert met de data die we nu zien."