Zero-day fouten ontdekt in software Kapersky en FireEye

Onderzoekers hebben het bestaan van zero-day kwetsbaarheden onthult in de software van IT-security bedrijven Kapersky en FireEye. Klanten van beider bedrijven kwamen zo in het vizier van hackers. Kapersky heeft de fout in zijn programmering ondertussen al gedicht. De term zero-day slaat op het feit dat de ontwikkelaars geen weet hebben van het gat in hun software voor dat deze bekend wordt gemaakt.

Bugs als beloning

Onderzoeker Tavis Ormandy luidde de klok voor de Russische veiligheidsfirma. Ormandy was hierbij niet aan zijn proefstuk toe, hij ontdekte en onthulde eerder al kwestbaarheden in de antivirus producten van Sophos en ESET. Over de fout bij Kapersky tweette hij dat deze “about as bad as it gets” was.

@ryanaraine It's a remote, zero interaction SYSTEM exploit, in default config. So, about as bad as it gets.

— Tavis Ormandy (@taviso) September 5, 2015

Nadat hij de kwetsbaarheid wereldkundig maakte, kwam Kapersky 24 uur later met een globale oplossing. Als een soort beloning stuurde Ormandy het bedrijf daarna nog enkele exploiteerbare kwetsbaarheden die hij had opgespoord.

Fout al 18 maanden gekend

Gelijktijdig met Ormandy bracht een andere onderzoeker, Erik Hermansen, een zero-day bij het Amerikaanse FireEye aan het licht. Hermansen publiceerde zijn bevindingen over de kwetsbaarheid publiekelijk, zelfs met de bijhorende code die de fout bewees.

De onderzoeker stelt dat hij al 18 maanden op de hoogte was van de fout, en deze nu wereldkundig maakte omdat FireEye er blijkbaar niets aan deed. Hij klaagt hiermee ook aan dat de firma geen externe feedbackprogramma inzet. FireEye verklaart dat het zo snel mogelijk de kwetsbaarheid zal onderzoeken en indien nodig aanpakken.