Onbekende beveiligingslekken in Java, Flash Player en Adobe Reader werden de afgelopen week breed uitgemeten in de media, maar veruit de meeste aanvallen vinden plaats via lekken waar al geruime tijd updates voor beschikbaar zijn. Zero-days, zijn kwetsbaarheden waarvoor nog geeen beveiligingsupdate beschikbaar is. Vorig jaar werden er bij elkaar zo'n tien in IE, Flash Player en Java ontdekt.
"Maar één iemand hoeft een geïnfecteerd bestand te openen", zegt beveiligingsonderzoeker Brandon Dixon. Hij reageert op een tweet van Adriel Desautels dat meer dan 90% van alle succesvolle hacks het gevolg zijn van aanvallen op bekende beveiligingslekken. Iets wat Dixon uit zijn eigen ervaring bevestigt.
Keuze
"Voorbij de marketing en speciale gevallen, zijn zero-days nieuwe glimmende objecten waar onderzoekers zich over verheugen en waar bedrijven zich tegen moeten 'verdedigen'", aldus Dixon. Onlangs ontdekte hij nog een Word-document dat misbruik van CVE-2012-0158 maakte. Een beveiligingslek dat Microsoft in april 2012 patchte, maar volgens Dixon nog steeds zeer succesvol in de 'cyberspionagewereld' is.
De malware in het document werd door 12 van de 40 virusscanners op VirusTotal ontdekt. De aanvaller maakte echter verschillende varianten van het document wat resulteerde in slechts 2 virusscanners die de kwaadaardige code detecteerde. Tot grote zorgen van Dixon.
"Als je afvraagt waar je je op moet richten, maak je dan niet druk om de onbekenden die je niet kunt controleren, maar installeer de patches die je nog hebt liggen."
Sexy
Volgens Matthew Wollenweber is het detecteren van zero-day-aanvallen lastig en is het aantal ongedetecteerde aanvallen onbekend. "Onderzoekers en bedrijven richten zich op zero-days, omdat het sexyer is en het probleem bijna onmogelijk te kwantificeren valt. Als je geld uitgeeft en faalt wordt het verwacht", laat hij weten.
"Als je geld uitgeeft om bekende lekken te detecteren en faalt, denken mensen dat je een idioot bent, ook al is dat een vrij lastig probleem." Beide problemen zouden dan ook onderzocht moeten worden, maar het oplossen van bekende kwetsbaarheden is op het moment verstandiger, stelt Wollenweber.
Deze posting is gelocked. Reageren is niet meer mogelijk.