Normalt betraktes Windows Update som et viktig middel til å bedre sikkerheten på PC-er drevet av Microsofts operativsystem. En gruppe forskere har imidlertid påvist at patchene også utgjør en sikkerhetsrisiko.
Poenget til forskerne fra Carnegie Mellon University, University of California Berkeley og University of Pittsburgh i rapporten Automatic Patch-Based Exploit Generation is Possible, er at selve oppdateringen inneholder tilstrekkelig med informasjon til å finne ut hvordan sikkerhetshullet kan angripes og utnyttes til å installere ondsinnet kode på brukernes maskiner.
Gruppen kaller dette for «APEG-problemet». De skriver at problemet hittil bare har vært betraktet som en teoretisk mulighet. Nå har de selv laget et program som automatisk genererer angrep mot sårbarhetene Windows Update var ment å fikse.
Inndata til dette programmet er patchene selv, og angrepene er klare i løpet av få minutter. I ett tilfelle tok det 30 sekunder å framstille spesifikk angrepskode for en sårbarhet, med utgangspunkt i Microsofts sikkerhetsfiks. Forsøkene viser at forskernes metode kan brukes på sikkerhetsfikser til fem ulike Microsoft-programmer til å generere virksom angrepskode.
Forskerne mener ondsinnede hackere har kompetanse tilsvarende deres egen, til å la programmer som gjør akkurat det samme. Selv om metoden ikke fører til virksom angrepskode for absolutt enhver sikkerhetsoppdatering spredd gjennom Windows Update, mener de at det er grunn til å rope et kraftig varsku.
De mener å ha påvist at utgivelsen av en patch øker risikonivået for brukere verden over. Straks for eksempel Microsoft publiserer en sikkerhetsfiks på Windows Update er det snakk om hva som når brukeren først: fiksen eller angrepet.
– Opplegg som Windows Update, der fordelingen av sikkerhetsfikser pågår over et lengre tidsrom, kan gi angripere som mottar fiksen tidlig å kompromittere en anselig andel av brukerne som ennå ikke er tilført oppdateringen, heter det i rapporten.
Forskerne siterer en studie av hvor rask Windows Update når fram til brukere. Her heter det at 24 timer etter at oppdateringsprosessen har startet, har bare 80 prosent av brukerne fått informasjon om at det foreligger en ny sikkerhetsfiks, og av disse har slett ikke alle rukket å installere den.
Oppdateringsprosessen har med andre ord uendelig mye lenger spredningstid enn historisk kjente ormer, for eksempel Slammer som spredte seg til sårbare brukere over hele verden i løpet av bare noen få minutter.
– Vårt arbeid viser at leverandørene må gjøre om på tidkrevende prosesser for distribusjon av sikkerhetsfikser, heter det i rapporten.
Forskerne foreslår at Microsoft bedrer Windows Update med en eller flere av tre mulig metoder.
Den viktigste metoden går ut på å gjøre det langt vanskeligere å finne ut nøyaktig hvilke kodelinjer som sikkerhetsfiksen endrer, siden dette var utgangspunktet for forskerne da de utviklet APEG-angrepet. Utfordringen er å finne fram til en systematikk som er effektiv mot hacking, samtidig som den ikke får sikkerhetsfiksen til å senke ytelsen i brukerens system.
En annen mulig løsning er å spre sikkerhetsfiksen i to trinn. I det første trinnet spres fiksen i kryptert form. Når man kan anta at fiksen er lagret på alle brukermaskinene, kringkastes et dekrypteringsnøkkel som umiddelbart fører til at fiksen installeres. Forskerne mener det kan reises innvendinger mot en slik løsning, og at den følgelig må prøves ut i praksis før den tas i bruk i stor skala.
En tredje løsning er å forkorte distribusjonstiden for nye sikkerhetsfikser, slik at alle har mottatt og helst også installert fiksen innen hackerne har greid å framstille angrepskode. En mulighet her er å anvende prinsippet kjent fra fildelingsnettverk: I stedet for at alle skal henvende seg til et fåtall sentrale servere, får man fiksen fra en bruker som allerede har den. Hvorvidt dette vil fungere raskt nok i praksis er forskerne likevel usikre på.