Microsoft: Sicherheitsbemühungen haben sich ausgezahlt

Nach Meinung von George Stathakopoulos, General Manager von Microsofts Trustworthy Computing Group, haben sich die Bemühungen des vergangenen Jahres für mehr Sicherheit bei Produkten von Microsoft ausgezahlt. Insbesondere die Programme für eine bessere Zusammenarbeit zwischen verschiedenen Herstellern habe Früchte getragen. Beispielsweise arbeiteten im Microsoft Active Protections Program (MAPP) nun 47 Partner, die sich Informationen über Bedrohungen und Virensignaturen teilen. Die Entwickler des IDS Sourcefire (Snort) sollen damit etwa statt acht Stunden zum Bau einer Signatur zur Erkennung eines Exploits nur noch zwei Stunden benötigen. Im Rahmen des MAPP stellt Microsoft Informationen und Anleitungen bereit, wie sich Probleme reproduzieren und die Lücken ausnutzen lassen.

Der mit dem MAPP eingeführte Ausnutzbarkeitsindex von Schwachstellen (Exploitability Index), mit denen IT-Verantwortliche besser einschätzen können sollen, wie dringlich ein Patch ist, habe sich zu 99 Prozent als richtig erwiesen. Nur einmal musste Microsoft die Vorhersage korrigieren und die Möglichkeit eines Angriffs herabstufen. Damit IT-Verantwortliche künftig noch besser mit Updates aus Redmond umgehen können, hat Microsoft den The Microsoft Security Update Guide veröffentlicht. Passend dazu ist der erste Bericht des von Microsoft gesponsorten Quant-Projekts erschienen, das Erfahrungen der Community aus Patch-Prozessen und Patch-Management zusammenfasst.

Auch das Microsoft Vulnerability Research Program (MSVR) soll bei der Verbesserung der Sicherheit von Anwendungen anderer Hersteller geholfen haben, indem man gefundene Lücken weitergemeldet habe – konkrete Zahlen oder Beispiele nennt Stathakopoulos in seinem Gast-Blogeintrag auf ZDnet jedoch nicht. Mit dem MSVR wollen die Redmonder auf die zunehmenden Angriffe auf Anwendungen reagieren, die mittlerweile das Betriebssystem Windows als Hauptziel abgelöst haben sollen. Aktuell steht etwa wieder einmal Adobe mit seinem Flash Player und dem Reader im Fokus, in denen sich eine Schwachstelle ausnutzen lässt, um das ganze System zu kapern.

Adobe hat aber die Zeichen der Zeit erkannt und setzt nun auf einen eigenen Secure Product Lifecycle (SPLC), um seine Produkte sicherer zu machen und schneller auf Bedrohungen reagieren zu können – Stathakopoulos sieht dabei durchaus Parallelen zu dem vor rund fünf Jahren etablierten Security Development Lifecycle (SDL) und der Gründung des Microsoft Security Response Center (MSRC).

Die wichtigste Maßnahme, um Anwender zu schützen, ist laut Stathakopoulos die Zusammenarbeit aller Hersteller und Sicherheitspezialisten. Das habe auch die Gründung der Conficker Working Group zur Bekämpfung des Windows-Wurms gezeigt.

Allerdings hat die Gruppe allein, an den Verbreitungszahlen vom mehreren Millionen infizierter PCs gemessen, eigentlich wenig an Erfolgen vorzuweisen. Zwar mag sich durch die Zusammenarbeit mit Sicherheitsspezialisten die Lage aus Sicht von Microsoft verbessert haben. Betrachtet man aber zum Beispiel die letzten Zero-Day-Exploits für DirectShow, so hat sich aus Sicht der Anwender die Lage eigentlich nicht wirklich verbessert – möglicherweise wäre sie ohne Microsofts Anstrengungen aber zum heutigen Zeitpunkt auch völlig außer Kontrolle geraten.

Siehe dazu auch:

• Zero-Day-Lücke in Adobe Flash Player, Reader und Acrobat
• Forscher bremsen Conficker-Wurm aus
• Adobe plant eigenen Patchday
• Microsoft: Für Partner gibt es detaillierte Informationen zu Lecks schon vor dem Patch-Day
• Microsoft hilft anderen Herstellern beim Suchen und Schließen von Lücken
• Microsoft veröffentlicht hauseigenen Leitfaden für sichere Softwareentwicklung

(dab)