Duizenden beveiligingsexperts en -onderzoekers liepen risico doordat ze een plug-in voor het programma OllyDBG gebruiken die al jaren niet meer wordt ondersteund, zo claimt beveiligingsbedrijf Forcepoint. OllyDBG is een populaire tool voor het reverse engineeren van software, zoals malware.

Onderzoekers kunnen zo achterhalen hoe malware precies werkt. OllyDBG wordt echter jaren al niet meer ondersteund. Een kenmerk van OllyDBG is dat het allerlei plug-ins ondersteunt. Ondanks het stoppen van de ondersteuning van OllyDBG verschenen er nog steeds plug-ins voor het programma. Eén van deze plug-ins is StrongOD. De plug-in omzeilt de maatregelen die malware en kopieerbeveiligingen nemen om analyse door onderzoekers tegen te gaan.

Sinds 2012 zijn er geen nieuwe updates voor de plug-in uitgekomen. Bij het opstarten van OllyDBG maakt het programma echter verbinding met het domein cracklife.com om te controleren of er geen updates voor de plug-in beschikbaar zijn. Onderzoekers ontdekten verschillende kwetsbaarheden in dit proces (pdf). Zo bleken er beveiligingslekken in het updateproces te zitten die een aanvaller via een man-in-the-middle aanval of het domein cracklife.com zou kunnen uitvoeren. Daarnaast bleek dit domein verlopen te zijn.

De onderzoekers konden het daardoor registreren, maar waarschuwen dat als een aanvaller dit had gedaan die kwaadaardige updates naar gebruikers had kunnen sturen. Doordat de onderzoekers het domein in handen kregen konden ze kijken hoeveel gebruikers de plug-in heeft. Dit kwam neer op meer dan 75.000 unieke ip-adressen. "Deze cijfers kwamen als een verrassing. We hadden niet verwacht om meer dan 75.000 unieke ip-adressen en meer dan een half miljoen verzoeken te zien voor een niet meer ondersteunde plug-in van een debuggingtool die al 6 jaar niet meer wordt ondersteund", zo laten ze weten.

De onderzoekers erkennen dat de impact van hun aanval niet moet worden overdreven. In het geval een aanvaller een kwaadaardige update had verstuurd had het programma hier melding van gemaakt. "Een gebruiker zou het normaal verdacht moeten vinden dat een plug-in die sinds 2012 geen updates heeft ontvangen opeens meldt dat er een update is", zo stellen ze. Daarnaast gebruiken de meeste onderzoekers een virtual machine voor het analyseren van malware. Een eventuele infectie zou dan bij het herstellen of opnieuw starten van de virtual machine zijn verdwenen.

Volgens de onderzoekers laat hun onderzoek het risico van het gebruik van niet meer ondersteunde software zien. Daarnaast laten ze weten dat alleen digitaal gesigneerde updates via beveiligde kanalen moeten worden geïnstalleerd en software die niet meer in gebruik is moet worden verwijderd. Ook waarschuwen ze voor het risico van verlopen domeinen waar computers, vaak zonder dat gebruikers dit doorhebben, verbinding mee maken.