2008 is een jaar geweest waarin aanvallers webapplicaties op de korrel zijn gaan nemen. Verder hebben we een significante stijging kunnen zien van het aantal kwetsbaarheden in het algemeen, en een nog sterkere toename van het aantal zwakke plekken in webapplicaties in het bijzonder.
Ga maar na: vorig jaar zijn er 15 procent meer kwetsbaarheden ontdekt; 60 procent daarvan werd aangetroffen in webapplicaties. De grootste toename in die laatste categorie kwam voor rekening van SQL Injection, die in een jaar tijd in aantal verdubbelden. Verder bestaat 11 procent van de Web vulnerabilities uit mogelijkheden voor cross-site scripting. Alle andere web-gerelateerde kwetsbaarheden waren goed voor 26 procent van het totaal. Desktop en client software staat nog steeds zwaar onder vuur, en dat terwijl Microsoft Office Excel het grootste aantal kritieke kwetsbaarheden vertoont binnen de Office productivity suite.
Een van de belangrijkste trends van vorig jaar was de toename van het aantal lekken in belangrijke systemen, die zonder tussenkomst van de gebruiker te misbruiken zijn. Zwakke punten in het DNS-protocol bijvoorbeeld maken DNS cache poisoning aanvallen mogelijk, zoals beschreven in CVE 2008-1447 (Common Vulnerabilities and Exposures, de lijst van openbaar gemaakte kwetsbaarheden). Bij dit type aanval kunnen gemanipuleerde DNS servers gebruikers en verkeersstromen ongemerkt omleiden naar systemen die de aanvaller onder controle heeft. Een ander voorbeeld is de Microsoft Server Service Vulnerability (CVE 2008-4250). Deze kwetsbaarheid stelt aanvallers in staat om systeemrechten te bemachtigen om vervolgens remote code op kwetsbare systemen uit te laten voeren. Het nieuwe jaar is begonnen met het verhelpen van een denial-of-service en code execution kwetsbaarheid in Microsoft's eerste patch bulletin van het jaar, MS09-001. Die kwetsbaarheid trof alle ondersteunde versies van Windows.
Wat betekenen deze trends voor het komende jaar? Naar alle waarschijnlijkheid veel meer van hetzelfde: er zullen ongetwijfeld weer meer kwetsbaarheden worden ontdekt, beveiligingsonderzoekers zullen nog meer aandacht geven aan client applicaties, met name aan kwetsbaarheden in de net vrijgegeven bètaversie van Windows 7. Op de patchdinsdag van januari hebben onderzoekers zes proof-of-concept exploits op Milw0rm.com geplaatst die op Microsoft Word, PowerPoint en Office viewers waren gericht.
Verder zullen ten gevolge van het succes van software-as-a-service en Rich Internet Applications aanvallen veel meer dan in de voorbije jaren gericht zijn op webapplicaties. Ga maar na hoe krachtig nieuwe platformen, zoals Microsoft Silverlight en Adobe Flash, zich hebben ontwikkeld. Flash, bijvoorbeeld, is in feite veel meer een krachtige objectgeoriënteerde taal dan alleen een scripttaal.
Deze toenemende power gaat gepaard met groeiende complexiteit. Aanvallers zullen meer manieren vinden om Flash-toepassingen te exploiteren. Vorig jaar is op grote schaal een exploit verspreid die was gericht op Adobe Flash Player en die meer dan 20.000 webpagina's besmette. De hackers gebruikten deze exploit om een Trojaans paard te injecteren voor het stelen van wachtwoorden. Je kunt erop wedden dat er meer van dit soort aanvallen zullen opduiken die op Rich Internet content zijn gericht.
Hoewel niemand zeker weet wat dit jaar brengen zal, is het nu al duidelijk dat kwetsbaarheden van webapplicaties deel moeten uitmaken van het risk management beleid, met bijzondere aandacht voor alle Web facing toepassingen en services.
Door Amol Sarwate, Manager Qualys Vulnerabilities Research Lab
Qualys, Inc. is de toonaangevende leverancier van als een service geboden oplossingen voor on-demand IT security risk en compliance management.
Deze posting is gelocked. Reageren is niet meer mogelijk.