image

Aanbieder onbevestigd Windows-lek verlaagt vraagprijs

vrijdag 10 juni 2016, 10:41 door Redactie, 2 reacties

De persoon die op een forum voor cybercriminelen een onbevestigd beveiligingslek in Windows aanbiedt heeft zijn vraagprijs weer verlaagd, wat mogelijk aangeeft dat hij problemen heeft een koper te vinden en de kwetsbaarheid nog steeds te koop is. Dat meldt beveiligingsbedrijf Trustwave.

Via de kwetsbaarheid kan een aanvaller die al toegang tot een Windowscomputer heeft, bijvoorbeeld via malware of een ander beveiligingslek, zijn rechten op het systeem verhogen. Het beveiligingslek zou in alle ondersteunde versies van Windows aanwezig zijn. In eerste instantie vroeg de aanbieder 95.000 dollar, wat na 12 dagen met 5.000 dollar werd verlaagd. Het lijkt erop dat er nog steeds geen koper is gevonden, want er is wederom 5.000 dollar van de vraagprijs afgegaan die nu 85.000 dollar bedraagt.

De verkoop van onbekende beveiligingslekken vindt al geruime tijd plaats. Meestal gebeurt dit op besloten fora voor cybercriminelen. In dit geval gaat het echter om een openbaar toegankelijk forum, wat opmerkelijk is. Volgens Trustwave is de impact van een kwetsbaarheid om rechten op een al gehackt of besmet systeem te verhogen veel kleiner dan een beveiligingslek waardoor een aanvaller een systeem in eerste instantie kan infecteren. Toch zouden dergelijke kwetsbaarheden nog steeds noodzakelijk voor een aanvaller zijn en daardoor ook geliefd.

Hoewel details over de kwetsbaarheid onbekend zijn, kunnen gebruikers en organisaties wel enkele algemene adviezen opvolgen, aldus Trustwave. Als eerste wordt aangeraden alle software up-to-date te houden. Windowscomputerse mogen dan kwetsbaar voor het rechtenlek zijn, een aanvaller moet nog steeds toegang tot een computer hebben om zijn aanval uit te voeren. Hiervoor zijn mogelijk al wel patches verschenen. Verder stelt het beveiligingsbedrijf dat veel aanvallen afhankelijk van de eindgebruiker zijn, zoals openen van een link of bijlage. Het niet openen van verdachte links of het openen van ongevraagde bijlagen kan een aanval dan ook voorkomen.

Reacties (2)
10-06-2016, 12:09 door Erik van Straten - Bijgewerkt: 10-06-2016, 12:12
Relatief weinig aandacht voor PrivEsc lekken
De aandacht voor privilege escalation kwestbaarheden (zowel bij leveranciers bij goed aardige- als bij lwaadaardige onderzoekers) neemt pas de laatste jaren wat toe, maar wordt nog steeds ondergesneeuwd door "remote" kwetsbaarheden. Zoals enerzijds lekken in Adobe Flash, Microsoft Silverlight, PDF readers, Oracle Java, webbrowsers, Office pakketten en anderzijds PEBKAC's [1] met vaak uiterst "zichtbare" schade als gevolg.

Untargeted versus targeted attacks
Bij langer (tot eindeloos) onzichtbaar blijvende digitale inbraken (zowel op systemen van particulieren als op systemen van organisaties, van MKB tot "gigant"), die vaak het gevolg zijn van targeted attacks, vermoed ik dat privilege escalation kwetsbaarheden een veel grotere rol spelen dan bij untargeted attacks. Daarbij vermoed ik dat het aantal tot nu toe gevonden privilege escalation lekken door te vertrouwen onderzoekers, nog slechts het topje van de ijsberg vormt. En dat, voor een nog veel kleiner ijsbergtopje, inmiddels updates zijn gepubliceerd. Waarmee het installeren van dergelijke patches/updates vergelijkbaar is met dweilen met de kraan open.

Advies #1: doe het beter dan "de buren"
Consequentie: als je al die patches trouw en snel installeert, zullen targeted attackers hooguit "aan meer deuren moeten rammelen" om er één te vinden die nog niet op slot zit. Je kunt alleen maar hopen dat ze dan stoppen bij jou en verder gaan rammelen bij "de buurman" (liefst een concurrent natuurlijk), in de hoop dat die ietsje minder insecurity aware is.

Advies #2: hou rekening met system compromise na targeted attack en toegang tot low privileged account
Ik raak er steeds meer van overtuigd dat, als een gerichte aanvaller toegang krijgt tot een account met beperkte privileges (user rights) op een PC (of ander device met een microprocessor), je ervan uit moet gaan dat die aanvaller slim genoeg is om SYSTEM (Windows) of root (Linux) privileges te krijgen. M.a.w. als je een low-privileged gebruikt dat gecompromitteerd raakt, is het wel zaak om met grote zorgvuldigheid vast proberen te stellen dat de aanvaller geen verhoogde privileges heeft weten te bemachtigen. Want dat betekent dat niet alleen alles wat opgeslagen is "onder jouw account", maar jouw hele systeem als gecompromitteerd moet worden beschouwd.

Advies #3: onderzoek andere systemen aan jouw netwerk na een succesvolle targeted attack
Feitelijk moet je ervan uitgaan dat als een targeted attacker toegang tot een systeem aan jouw netwerk heeft gekregen, alle systemen die zijn gekoppeld aan dat netwerk, wel eens gecompromitteerd kunnen zijn.

Advies #4: gebruik toch zoveel mogelijk low privileged accounts
Hoewel ransomware helemaal geen hogere privileges nodig heeft dan jouw account heeft, is het echter nog steeds zinvol om, voor alle andere werkzaamheden dan beheertaken, een low-privileged account te gebruiken. Want de meeste gebruikers hebben niet zoveel te vrezen van targeted attacks (anders kan dat zijn als aanvallers weten dat jij een bijzonder functie bekleedt en/of een flink saldo op jouw bank/spaarrrekeningen hebt c.q. grote bedragen kan en mag overschrijven).

[1] https://en.wikipedia.org/wiki/User_error
10-06-2016, 17:03 door karma4 - Bijgewerkt: 10-06-2016, 17:03
Advies 5 Doe aan detectie na de preventie.
SIEM is de eerste stap. Preventie maatregelen hebben maar een beperkte waarde. Als je weet wat er mis is en waar het mis gaat kun je dat gericht isoleren en mitigeren.
Een uitspraak als: "er is iets mis maar we weten niet wat, dus is alles mogelijk verkeerd" is fud. Het is voor een kleine omgeving nog acceptabel met een valide getest DR-plan en goede Backup. Voor een grotere omgeving is het niet acceptabel. Denk na of de kosten/baten te verantwoorden zijn.

Advies 6 zorg voor een goede backup in combinatie met een DR plan. Gaat er iets niet goed wat is dan mooier dan gewoon een frisse desktop binnen notie en alle goede data te hebben. Indien je organisatie te klein is voor deze meer advanced persistent continuity (BCM) methodes denk dan aan outsourcing naar partijen die dat onderbouwd gecontroleerd aanbieden. (ja de cloud benadering)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.