Als een kwetsbaarheid in Windows, Office en andere Microsoft-producten voor de eerste keer wordt aangevallen, is het waarschijnlijk als zero-day. Het aantal exploits voor net gepatchte beveiligingslekken neemt juist af, zo stelde Microsofts Matt Miller tijdens zijn presentatie voor de BlueHat-conferentie.
Miller ging in op recente ontwikkelingen in het aanvalslandschap en maatregelen die Microsoft neemt om gebruikers te beschermen. Uit de cijfers die Miller publiceerde blijkt dat het aantal door Microsoft gepatchte kwetsbaarheden toeneemt, maar dat het aantal beveiligingslekken dat binnen 30 dagen na het verschijnen van een beveiligingsupdate wordt aangevallen juist afneemt (pdf).
"Als een kwetsbaarheid wordt aangevallen, is het waarschijnlijk als zero-day", aldus Miller, die een security-engineer is voor het Microsoft Security Response Center. In dit geval gaat het om een aanval op een beveiligingslek waarvoor nog geen beveiligingsupdate beschikbaar is. "Het is nu ongebruikelijk om binnen 30 dagen na het uitkomen van een patch een niet-zero-day-exploit te zien", merkte Miller verder op.
De zero-days die door Microsoft werden gezien waren voornamelijk bij gerichte aanvallen ingezet. Verder is verouderde software vaak het doelwit van exploits. Miller gaat echter ook in op de zero-days die niet door Microsoft of securitybedrijven worden gezien. Het is echter lastig om het aantal onbekende zero-day-exploits te bepalen. Hoe vaker een zero-day wordt gebruikt, des te groter de kans op ontdekking.
Verder liet Miller weten dat de beveiligingsmaatregelen die Microsoft heeft getroffen het lastiger maken om kwetsbaarheden uit te buiten. Daar komt bij dat Windows 10 "altijd up-to-date" is, waardoor het aanvallen van gepatchte beveiligingslekken minder oplevert. Het verkrijgen van exploits is daardoor kostbaarder dan de opbrengsten. Volgens Miller richten cybercriminelen zich daarom vaker op social engineering, waarbij de hulp van het slachtoffer is vereist om een systeem met malware te infecteren of gegevens te stelen. Het gaat dan bijvoorbeeld om phishingaanvallen of het gebruik van documenten met kwaadaardige macro's die moeten worden ingeschakeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.