Microsoft: FĂĽr Partner gibt es detaillierte Informationen zu Lecks schon vor dem Patch-Day
Sicherheitsdienstleister sollen Infos zu Sicherheits-Updates vorab erhalten, um Kunden schneller und zuverlässiger schützen zu können. Geplant ist ein Exploitability Index zu jedem Patch-Day, der die Wahrscheinlichkeit für Angriffs-Tools angeben soll.
- Daniel Bachfeld
Microsoft hat auf der Sicherheitskonferenz Black Hat angekündigt, Sicherheitsdienstleister künftig mit detailierten Vorabinformationen zu kommenden Sicherheits-Updates zu versorgen, damit diese ihre Kunden schneller und zuverlässiger schützen können. Microsoft will damit unter anderem auf die immer schneller erscheinenden Exploits zum Ausnutzen der Lücken reagieren. Teilweise liegen erste Proof-of-Concept-Exploits durch Analyse der Patches bereits wenige Stunden nach der Veröffentlichung der Updates vor.
Zu den Informationen sollen auch Anleitungen gehören, wie sich Probleme reproduzieren und die Lücken ausnutzen lassen. Unter anderem sollen so Hersteller von Antivirensoftware und Intrusion-Prevention-Systemen vorab schon Signaturen entwickeln und bereitstellen können.
Im Rahmen der Microsoft Active Protections Program (MAPP) genannten Initiative wollen die Redmondern zu jedem Patch-Day einen Exploitability Index veröffentlichen, der angeben soll, wie wahrscheinlich das Auftauchen für einen Exploit zu einer Lücke ist. Kunden sollen damit besser das Risiko einschätzen können und gegebenenfalls die Verteilung von Updates im Unternehmen priorisieren.
Zwar gibt es seit längerem das Common Vulnerability Scoring System (CVSS), das ebenfalls eine Einschätzung des Risikos ermöglicht und das Firmen wie Cisco und Oracle auch bereits in Fehlerberichten benutzen, allerdings ist der Score relativ kompliziert zu ermitteln und für den Anwender unübersichtlich.
Das Programm soll ab Oktober starten. Bis dahin können sich interessierte Firmen um eine Aufnahme bewerben. Microsoft will aber genauestens prüfen, wer in das Programm kommt, um den Missbrauch zu verhindern. Schon im Mai hatten die Redmonder ihr Security Cooperation Program (SCP) auf Sicherheitsinstitutionen wie Computer Emergency Response Teams (CERTs) und Computer Security Incident Response Teams (CSIRTS) ausgedehnt, um diese vorab mit Informationen zu Schwachstellen und Sicherheitslücken in Produkten zu versorgen.
Siehe dazu auch:
- Microsoft Offers Customers and Partners an Edge in Online Security With New Information-Sharing Programs, Mitteilung von Microsoft
(dab)
