Windows geeft hackers het nakijken
Het is voor beveiligingsonderzoekers bijna niet meer te doen om exploits te ontwikkelen die lekken in Windows misbruiken, zegt Dave Aitel van beveiligingsbedrijf Immunity. Immunity ontwikkelde een exploit voor een nog altijd ongepatchte SMB2-kwetsbaarheid in Vista, waarmee aanvallers op afstand en zonder enige interactie van de gebruiker het systeem volledig kunnen overnemen. In totaal waren vier onderzoekers van het bedrijf er ruim een week mee bezig en dat is snel. Gemiddeld kost het drie personen een volle maand om een exploit te ontwikkelen. 'Dat is veel tijd, of in andere woorden, veel geld", aldus Aitel.
Toch vindt hij het ontwikkelen van exploits nog steeds de moeite waard. "Zonder exploits weet je niet wat belangrijk is, of realistischer, wat niet belangrijk is." In het geval van het SMB2-lek blijkt dat 64-bit computers immuun zijn. "Aangezien alle bedrijven Vista hebben overgeslagen en 64-bit voor hun Windows 2008 servers gebruiken, is SMB2 niet zo erg als je zou verwachten." Het is dan ook helemaal geen voordeel dat het ontwikkelen van exploits zo'n kostbare aangelegenheid is geworden.
Exploit
Volgens beveiligingsexpert Dan Geer is een ander nadeel dat steeds meer grote beveiligingslekken niet gemeld zullen worden, aangezien de kans dat onderzoekers iets weggeven omgekeerd evenredig is aan de kosten die er nodig waren om het te verkrijgen. Aitel vraagt zich echter af wat een "publieke" exploit is. Het CANVAS framework waarin de werkende SMB2 exploit in zit, kost minder dan 4000 dollar.
"Als een werkende exploit in de handen van tienduizenden mensen is die er om geven, moet dat dan niet als publiek worden beschouwd?" Hij noemt het vreemd dat alle nieuwsartikelen erover gaan of de exploit via het internet te downloaden is, terwijl alle mensen die er iets mee kunnen hem al hebben.
Nou, vooralsnog komt er anders nog aardig wat malware uit. En conficker gaf windows ook niet 'het nakijken'. Dat de SMB2 vulnerability wat minder erg is dan verwacht klopt, maar dat doet weinig af aan het feit dat windows nog steeds dagelijks onder vuur ligt van nieuwe malware.
Als de stelling "steeds meer grote beveiligingslekken niet gemeld zullen worden, aangezien de kans dat onderzoekers iets weggeven omgekeerd evenredig is aan de kosten die er nodig waren om het te verkrijgen." waar is, zou dat impliceren dat gevonden lekken meer verkocht worden aan organisaties die hier financieel belang bij hebben. Dit betekent dat deze kennis niet bij de scriptkiddies, maar bij de maffia terechtkomt. Toch een iets minder veilig gevoel dan de titel suggereert...
http://img194.imageshack.us/img194/7493/smb2.jpg
het verdienen aan 'crap' PPI's of aan andere black-hat activiteiten
http://img194.imageshack.us/img194/7493/smb2.jpg
Waar is die source te vinden?
Nou, vooralsnog komt er anders nog aardig wat malware uit. En conficker gaf windows ook niet 'het nakijken'. Dat de SMB2 vulnerability wat minder erg is dan verwacht klopt, maar dat doet weinig af aan het feit dat windows nog steeds dagelijks onder vuur ligt van nieuwe malware.
Meeste malware dat uitkomt maakt gebruik van bekende, oudere lekken waar al patches voor zijn. Ik denk dat het er omk gaat dat het steeds moeilijker wordt nieuwe lekken uit te buiten op windows systemen omdat het maken van een exploit langer duurt dan het reparen van het probleem.
Nou, vooralsnog komt er anders nog aardig wat malware uit. En conficker gaf windows ook niet 'het nakijken'. Dat de SMB2 vulnerability wat minder erg is dan verwacht klopt, maar dat doet weinig af aan het feit dat windows nog steeds dagelijks onder vuur ligt van nieuwe malware.
http://img194.imageshack.us/img194/7493/smb2.jpg
Waar is die source te vinden?
Vooral geen SMB2 exploit.
Het zou dus een goed systeem zijn indien firma's zoals MS zouden betalen voor het aandragen van exploits door beveiligingsbedrijven (die erkend zijn).
Het orakel
Op deze manier gaan monetair georienteerdeondezoekers van beveiligings lekken hun gevonden blinkers niet meer bekend maken aan de software ontwikkelaars maar aan de betalende spam / zombie / sploit maffia. Het wordt dus zaak voor de commerciele software ontwikkelaars met beveiliging hoog in het vaandel om op te bieden tegen de spam / zombie / sploit maffia en zo enigzins de schede te beperken door de pathes aan te kunnen bieden voordat de IDS systemen ze moeten afvangen...
Greatz,
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!