Veel bedrijven werken nog altijd met een oudere versie van Adobe Reader, waardoor ze zeer gevoelig voor gerichte aanvallen zijn. Ook voor kleineren bedrijven vormen deze aanvallen een serieuze bedreiging, maar door alle zwaar wegende termen denken veel bestuurders dat de dreiging aan hun voorbij zal gaan. Dat zegt Roel Schouwenberg van anti-virusbedrijf Kaspersky Lab in een interview met Security.nl. "APT (advanced persistent threat), dat is een verschrikkelijke term die klinkt alsof die uit de X-Files komt. Wat betekent dat de gemiddelde directeur denkt dat het hem nooit overkomt. Ze denken omdat het zo spannend klinkt, hen niet overkomt."
Dat is een misvatting, aldus Schouwenberg. "In werkelijkheid hoeft een APT helemaal niet zo geavanceerd te zijn. De gemiddelde APT is zelfs helemaal niet zo geavanceerd." Natuurlijk zijn er uitzonderingen, waarbij er een zero-day beveiligingslek in Adobe Flash, Adobe Reader of Microsoft Windows of Office wordt gebruikt, maar de meeste aanvallen gebruiken bekende kwetsbaarheden, waar al vaak geruime tijd een update voor beschikbaar is.
Updates
De oplossing voor dit soort aanvallen is het installeren van updates, wat eenvoudiger gezegd dan gedaan is. "Gisteren zat ik in de trein en zag ik iemand zijn laptop openslaan. Hij gebruikte IE6 en Outlook 2000. Wat moet je dan. Als RSA Office 2010 had gedraaid waren ze niet gehackt geweest." Schouwenberg verwijst naar de hack van het beveiligingsbedrijf, die via een onbekend lek in Flash Player plaatsvond
Het is natuurlijk ook de vraag waarom veel werknemers Flash nodig hebben. Schouwenberg vraagt zich daarbij af waarom Excel en Word ingebedde Flash-bestanden kunnen afspelen. "In mijn browser kan ik plugins uitschakelen, ik wil niet dat PDF's automatisch geopend worden. Met Office producten is dat niet mogelijk." Met name binnen overheden en bedrijven zou het handig zijn om deze opties uit te schakelen. "De gemiddelde thuisgebruiker zal hier minder mee te maken hebben."
Adobe Reader
Inmiddels is Adobe met Reader X gekomen, die van een sandbox voorzien is. Er zijn nog geen exploits verschenen die uit deze zandbak weten te breken. Toch is dat volgens Schouwenberg ook niet nodig, aangezien alle recente zero-day lekken gerichte aanvallen waren, op bedrijven die vaak nog een oudere PDF versie gebruiken. "Adobe Reader X bestaat niet in het bedrijfsleven." De virusbestrijder denkt dat de nieuwe PDF-lezer vooral effect op massa-aanvallen zal hebben. "Zodra Adobe Reader X de norm is, dan zal het ook wel lukken om uit de sandbox te breken. De sandbox is namelijk niet perfect."
Adobe laat tegenover Security.nl weten dat het niet direct over cijfers over de adoptie van Adobe Reader X binnen ondernemingen beschikt. Het bedrijf merkt op dat er inderdaad nog bedrijven zijn die versie 8 of 9 gebruiken. "En daar zijn vaak per bedrijf wisselende redenen voor. Een reden is bijvoorbeeld dat we zien dat Adobe Reader pas naar een hogere versie wordt gebracht als ook het besturingssysteem naar een hogere versie gaat. Binnen met name grotere bedrijven en de overheid is dat maar eens in de paar jaar het geval. Verder zien we ook dat bedrijven die niet gebruik maken van specifieke workflows die het nodig maken om een hogere versie van Adobe Reader te hebben minder snel upgraden. Je moet hierbij denken collaboration workflows of formulieren workflows."
Flash
Recentelijk was het Adobe Flash dat de basis voor tal van gerichte aanvallen vormde. Schouwenberg ziet dit niet als een trend. "Flash is ontzettend eenvoudig te patchen als Adobe er zin in heeft. Ze kunnen Google bellen en vertellen dat YouTube alleen met de laatste versie zou moeten werken. Flash is niet goed voor langdurige aanvallen te gebruiken." De enige concurrentie op het gebied van exploits is Java. In totaal verwacht Schouwenberg dat voor Java de meeste exploits verschijnen. "Zeker als je kijkt wat voor puinhoop het is." Java wordt echter niet binnen ondernemingen en ook niet voor gerichte aanvallen gebruikt. "Voor gerichte aanvallen blijft Adobe de norm."
Deze posting is gelocked. Reageren is niet meer mogelijk.