image

Google: twintig zerodaylekken in 2019, maar detectie schiet tekort

donderdag 30 juli 2020, 11:39 door Redactie, 5 reacties

Google registreerde vorig jaar twintig zerodaylekken, maar het werkelijke aantal ligt waarschijnlijk hoger, zo laat het techbedrijf weten. Voor dit jaar staat de teller inmiddels op elf. Een zeroday is een kwetsbaarheid die nog niet bij de fabrikant bekend is en actief door aanvallers wordt misbruikt. Doordat de kwetsbaarheid onbekend is, is er ook geen beveiligingsupdate beschikbaar en lopen alle gebruikers die van de betreffende software gebruikmaken risico.

Sinds 2014 houdt Google het aantal openbaar geworden zerodaylekken bij in een spreadsheet. Vorig jaar werden er in totaal twintig zerodays geregistreerd. Eén in Android, één in WhatsApp, één in TrendMicro OfficeScan, twee in Mozilla Firefox, twee in Apple iOS, twee in Google Chrome, drie in Internet Explorer en acht in Windows.

Van de elf zerodaykwetsbaarheden waar Microsoft mee te maken kreeg waren er vier gericht tegen de laatste versie van Windows 10. En van die vier kwetsbaarheden bevonden zich er drie in Internet Explorer, wat niet de standaardbrowser van het besturingssysteem is. "Dit houdt in dat tien van de elf Microsoft-lekken waren gericht tegen legacy software", aldus Maddie Stone van Google.

Daarnaast stelt ze dat de cijfers een vertekend beeld geven. Microsoft was al een doelwit voordat sommige van de andere platformen bestonden. Daardoor bestaan er ook al langer oplossingen om zerodayaanvallen op Windowssystemen te detecteren. Microsoft staat ook derde partijen op het platform toe. "Hoe meer mensen van verschillende detectiemanieren gebruikmaken suggereert dat er meer zerodays zullen worden gevonden", merkt Stone op.

En dat is meteen het grote onderliggende probleem, namelijk het aantal zeroday-aanvallen dat niet wordt opgemerkt. Als voorbeeld noemt Stone het zerodaylek in Trend Micro's OfficeScan. Als aanvallers het al de moeite waard vinden om zich daar op te richten zijn er nog veel meer veelvoorkomende producten om uit te kiezen. Dat een platform geen bekende zerodaylekken heeft wil niet zeggen dat het niet met zerodayaanvallen te maken heeft. De analyse van het afgelopen jaar leidt volgens Stone dan ook tot maar één conclusie: Er is een grote kloof tussen de detectie van zeroday-exploits en het aantal waargenomen zerodaylekken.

Image

Reacties (5)
30-07-2020, 11:59 door souplost - Bijgewerkt: 30-07-2020, 12:01
Daarom ook weg met die antivirus software. Als er stront is detecteren ze het niet maar werkt wel met Admin rechten op je systeem. Een gesloten software(bedrijf). dat alles met je systeem kan uithalen, vertrouwen op de blauwe ogen kan niet. Dat is meer iets voor apps op user level.
Antivirus blijkt de laatste tijd trouwens meer in de weg te zitten na een windows update dan dat ze virussen vangen.
30-07-2020, 16:39 door Anoniem
niet verassend wat mij betreft, maar de implicaties voor Microsoft, Apple, Google, Linux pakketten die betreffende kwetsbare software delen zijn denk ik mindblowing.

Niet in de laatste plaats voor wensen van directies die meer van hun bedrijf willen vervangen door data-opslag en data-beheer.
In meest brede zin lijkt me dit bericht van Google (andermaal) een enorme alarm bel.
Zoveel als slechts het topje van de ijsberg wordt steeds pas blootgelegd.
Het is onder white en black hats al lang bekend dat de verhouding topje en de rest van de ijsberg echt super groot en ongunstig is.
In die zin is dit bericht van Google een herbevestiging voor insiders, maar hopelijk een belangrijke aanzet tot trekken van lessen voor organisaties die zwaarder op IT willen (gaan) leunen.

Ook is "maar detectie schiet tekort" denk ik een zeer belangrijke vingerwijzing voor zeer waarschijnlijk te grote stelligheden in rapporten en data-lek meldingen over "gelimiteerde"/"beperkte omvang" van data-lekken.
De lekken zullen namelijk gegarandeerd uitgebreider zijn als je bedenkt dat de data verwerking snelheid en omvang van data vooral toeneemt.
En dan is niet alle data die extra wordt verwerkt direct al privacy gevoelig maar wel rechtstreeks een ingang om vanuit een breder spectrum oneigenlijk toegang te krijgen tot de wel gevoelig data.
En het impliceert ook dat alleen het aandeel eventueel wel door middel van ingeregelde monitoring en uitgevoerde evaluaties gevonden datalekken en er veel van de werkelijk "gelekte"/"gestolen" data buiten beeld blijft.

Het blijft met zero-days werken tegen bierkaaien.
Het blijft denk ik lastig om datalekken die buiten zicht van de beheer-logs om plaatsvinden te lokaliseren, zo lang ze niet op internet gremia specifiek gepost worden - hetgeen natuurlijk niet vanzelfsprekend zo maar kan of zal worden gedaan.
30-07-2020, 21:11 door Anoniem
Door souplost: Daarom ook weg met die antivirus software. Als er stront is detecteren ze het niet maar werkt wel met Admin rechten op je systeem. Een gesloten software(bedrijf). dat alles met je systeem kan uithalen, vertrouwen op de blauwe ogen kan niet. Dat is meer iets voor apps op user level.
Antivirus blijkt de laatste tijd trouwens meer in de weg te zitten na een windows update dan dat ze virussen vangen.
Als pentester ben ik wel benieuwd waarom je zo denkt. Ik ben van mening dat een AV opzenminst 50% van je malware problemen oplost. Ik zie het niet zitten om een SOC op te leiden om handmatig alle files van een systeem af te gaan en de "meuk/bekende malware" op te sporen. En ja een AV applicatie zit inderdaad laag op je systeem en ja ze kunnen veiligheidsfouten hebben etc etc ik heb de blackhat2017 papers ook gelezen. Maar ik denk dat er behoorlijk meer winst te behalen valt met dan zonder een AV.

Daarbij! Een single AV of honeypot tripup met een opvolgende reactie van je SOC kan je reverseshell/bindshell laten verdwijnen als sneeuw voor de zon. en zo nog veel meer.

Maar ik kat je niet af, ik ben oprecht benieuwd wat jou denkwijzen is. Anders zaten we niet samen op deze fora ;)
30-07-2020, 21:15 door Anoniem
Door Anoniem: niet verassend wat mij betreft, maar de implicaties voor Microsoft, Apple, Google, Linux pakketten die betreffende kwetsbare software delen zijn denk ik mindblowing.

Niet in de laatste plaats voor wensen van directies die meer van hun bedrijf willen vervangen door data-opslag en data-beheer.
In meest brede zin lijkt me dit bericht van Google (andermaal) een enorme alarm bel.
Zoveel als slechts het topje van de ijsberg wordt steeds pas blootgelegd.
Het is onder white en black hats al lang bekend dat de verhouding topje en de rest van de ijsberg echt super groot en ongunstig is.
In die zin is dit bericht van Google een herbevestiging voor insiders, maar hopelijk een belangrijke aanzet tot trekken van lessen voor organisaties die zwaarder op IT willen (gaan) leunen.

Ook is "maar detectie schiet tekort" denk ik een zeer belangrijke vingerwijzing voor zeer waarschijnlijk te grote stelligheden in rapporten en data-lek meldingen over "gelimiteerde"/"beperkte omvang" van data-lekken.
De lekken zullen namelijk gegarandeerd uitgebreider zijn als je bedenkt dat de data verwerking snelheid en omvang van data vooral toeneemt.
En dan is niet alle data die extra wordt verwerkt direct al privacy gevoelig maar wel rechtstreeks een ingang om vanuit een breder spectrum oneigenlijk toegang te krijgen tot de wel gevoelig data.
En het impliceert ook dat alleen het aandeel eventueel wel door middel van ingeregelde monitoring en uitgevoerde evaluaties gevonden datalekken en er veel van de werkelijk "gelekte"/"gestolen" data buiten beeld blijft.

Het blijft met zero-days werken tegen bierkaaien.
Het blijft denk ik lastig om datalekken die buiten zicht van de beheer-logs om plaatsvinden te lokaliseren, zo lang ze niet op internet gremia specifiek gepost worden - hetgeen natuurlijk niet vanzelfsprekend zo maar kan of zal worden gedaan.
Ik denk dat het gemak dat IT brengt het idee geeft dat het (IT) makkelijk en snel in huis te nemen is.
31-07-2020, 00:09 door Anoniem
Door Anoniem:
Door Anoniem: niet verassend wat mij betreft, maar de implicaties voor Microsoft, Apple, Google, Linux pakketten die betreffende kwetsbare software delen zijn denk ik mindblowing.

Niet in de laatste plaats voor wensen van directies die meer van hun bedrijf willen vervangen door data-opslag en data-beheer.
In meest brede zin lijkt me dit bericht van Google (andermaal) een enorme alarm bel.
Zoveel als slechts het topje van de ijsberg wordt steeds pas blootgelegd.
Het is onder white en black hats al lang bekend dat de verhouding topje en de rest van de ijsberg echt super groot en ongunstig is.
In die zin is dit bericht van Google een herbevestiging voor insiders, maar hopelijk een belangrijke aanzet tot trekken van lessen voor organisaties die zwaarder op IT willen (gaan) leunen.

Ook is "maar detectie schiet tekort" denk ik een zeer belangrijke vingerwijzing voor zeer waarschijnlijk te grote stelligheden in rapporten en data-lek meldingen over "gelimiteerde"/"beperkte omvang" van data-lekken.
De lekken zullen namelijk gegarandeerd uitgebreider zijn als je bedenkt dat de data verwerking snelheid en omvang van data vooral toeneemt.
En dan is niet alle data die extra wordt verwerkt direct al privacy gevoelig maar wel rechtstreeks een ingang om vanuit een breder spectrum oneigenlijk toegang te krijgen tot de wel gevoelig data.
En het impliceert ook dat alleen het aandeel eventueel wel door middel van ingeregelde monitoring en uitgevoerde evaluaties gevonden datalekken en er veel van de werkelijk "gelekte"/"gestolen" data buiten beeld blijft.

Het blijft met zero-days werken tegen bierkaaien.
Het blijft denk ik lastig om datalekken die buiten zicht van de beheer-logs om plaatsvinden te lokaliseren, zo lang ze niet op internet gremia specifiek gepost worden - hetgeen natuurlijk niet vanzelfsprekend zo maar kan of zal worden gedaan.
Ik denk dat het gemak dat IT brengt het idee geeft dat het (IT) makkelijk en snel in huis te nemen is.

En "gemak" is bijna altijd inherent een glijdende schaal van toegevoegde waarde.
De tijd capsules in Dr Who dienden ook gemak, maar ondertussen ging er regelmatig van alles mee mis.
Geeft ook heel veel gedoe / tijd verdrijf of tijd-verspilling zo je wilt.

Oftewel, zou gemak in brede zin misschien wel minder inwisselbaar zijn dan het aanvankelijk misschien lijkt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.