Beveiligingsupdate voor Internet Explorer was onvolledig
In mei van dit jaar kwam Microsoft met een beveiligingsupdate voor een zeroday-lek in Internet Explorer, maar de patch was onvolledig waardoor gebruikers nog steeds konden worden aangevallen, zo stelt securitybedrijf Qihoo 360 dat de aangevallen kwetsbaarheid ontdekte.
Het securitybedrijf waarschuwde in april voor de aanval die een op dat moment onbekende kwetsbaarheid in Internet Explorer gebruikte. Aanvallers verstuurden Microsoft Office-documenten die een embedded webpagina bevatten. Het openen van een kwaadaardig Office-document was voldoende om aanvallers volledige controle over het systeem te geven. Het beveiligingslek was niet alleen in de meest recente IE-versie aanwezig. Ook applicaties die van de IE-kernel gebruikmaken liepen risico.
Op dinsdag 8 mei verscheen de beveiligingsupdate van Microsoft om de kwetsbaarheid te verhelpen. Een dag na het verschijnen van de patch kwam Qihoo 360 met een analyse van de kwetsbaarheid. Nadat onderzoekers van het securitybedrijf Microsofts update hadden bekeken kwamen ze tot de conclusie dat die onvolledig was. Er bleken nog steeds soortgelijke problemen aanwezig te zijn waardoor het mogelijk was om op afstand willekeurige code in de VBScript-engine van Internet Explorer uit te voeren.
Volgens de onderzoekers was Microsofts oplossing om de kwetsbaarheid te verhelpen eenvoudig en zorgde die ervoor dat de originele proof-of-concept exploit niet meer werkte. De hoofdoorzaak van het probleem was echter niet weggenomen, waardoor het nog steeds mogelijk was om gebruikers via twee soortgelijke kwetsbaarheden aan te vallen. Na te zijn ingelicht over deze twee kwetsbaarheden kwam Microsoft op 10 juli met een nieuwe beveiligingsupdate voor Internet Explorer.
"Wat ik heb geleerd van dit geval is dat het belangrijk voor een bughunter is om beveiligingsupdates te analyseren. Ik heb veel gevallen gezien waarbij een beveiligingsupdate niet alle mogelijke paden van een kwetsbaarheid verhielp en het nog steeds mogelijk was om na de patch de kwetsbaarheid aan te vallen", aldus onderzoeker Yuki Chen van Qihoo 360 in een nieuwe analyse. Onlangs kwam het securitybedrijf met een andere analyse waaruit bleek dat ook een beveiligingsupdate voor Google Chrome onvolledig was.
Zou het open source geweest zijn, dan hadden er veel mensen aan een oplossing kunnen werken, nu is het maar de vraag wat en hoe e.e.a. is opgelost.
Zou het open source geweest zijn, dan hadden er veel mensen aan een oplossing kunnen werken, nu is het maar de vraag wat en hoe e.e.a. is opgelost.
Kans is dat de fout dan ook al eerder gevonden was, maar niet gemeld was. Immers fouten kan je misbruiken en leveren geld op.
Je kunt beter inzetten om aan te geven hoe zo'n fout in het vervolg minder vaak zal worden gemaakt, dus inzetten op coderen met veiligheid als prioriteit en niet als iets, dat ook nog moet. Dan gaan grey and black hats er niet op zitten inzetten en hoeven white hats niet zo veel moeite te doen het achteraf omhoog te krijgen. Je moet dan wel even doorgraven.
Van te voren dus bijvoorbeeld rekening houden met
Ik weet dat er vaak de tijd niet voor is, grondig testen en debuggen, maar het kan ook vaak door een doorgezette bepaalde vaste veiligheidshouding bereikt worden. Beveiligings update code vraagt toch wel om terdege doortesten. Neem desnoods wat autistische coders in dienst, die blijven doorgaan met een echte pitbull mentaliteit, waar anderen al afhaken en het combinatoir denken kan tot slimme niet verwachte resultaten voeren - uniciteit, want ze gebruiken geen eigen tools.
Trouwens wat vandaag nog voor veilig wordt gehouden, kan morgen al onveilig(er) zijn. Alles is hier relatief.
luntrus
Zou het open source geweest zijn, dan hadden er veel mensen aan een oplossing kunnen werken, nu is het maar de vraag wat en hoe e.e.a. is opgelost.
Kans is dat de fout dan ook al eerder gevonden was, maar niet gemeld was. Immers fouten kan je misbruiken en leveren geld op.
En de praktijk wijst uit dat die 'vele ogen' in de praktijk aan van alles werken, maar niet of nauwelijks aan verbeteren van de beveiliging en al helemaal niet aan het vinden van kwetsbaarheden *om ze op te lossen*.
Zie oa:
https://opensource.com/article/17/10/many-eyes
https://www.zdnet.com/article/six-open-source-security-myths-debunked-and-eight-real-challenges-to-consider/
En de praktijk wijst uit dat die 'vele ogen' in de praktijk aan van alles werken, maar niet of nauwelijks aan verbeteren van de beveiliging en al helemaal niet aan het vinden van kwetsbaarheden *om ze op te lossen*.
Zie oa:
"The mantra assumes three things. First, that an unlimited number of eyeballs, i.e independent experts, is available to scrutinise the growing pool of open source projects. Second, that these experts have an interest or incentive to spend some of their (valuable) time on this. And third, that every open source project is equally likely to attract the attention of a sufficient number of experts.
All three assumptions are unfounded.
The number of experts is severely limited. These experts may often be inclined to start their own open source project rather than contributing to someone else’s project
….
Without sun, transparency is the perfect cover, hiding in plain sight what everyone fails to see.[/quote]
Dan zal je daar dus niet op moeten inzetten. Je zal programmeurs moeten vinden, dus de vereiste bagage zich al veel eerder hebben moeten verschaffen, Het zal moeten gebeuren via het onderwijs en speciale training.
Dit alles, zodat niet de beveiligingsdeskundige(n) achteraf, maar de coders zelf hier al oog voor hebben. Maar dan zal je ze er wel goed voor moeten opleiden. Dan kom je er niet met een verhaaltje: "Er bestaan white, grey & black hats" en toetsjes XSS-DOM kwetsbaarheden en algemene netwerkbeveiligingsleer. Neen, laarzen aan en in de javascript loopgraven zelf gaan staan. Maak maar modderige voeten, maar je leert enorm veel en zeker ook dingen waar je dan op gaat letten. Je leert het code-gras groeien a.h.w.
In een gesprekje met een Duitse security docent bij een hogere IT opleiding heb ik het hier uitvoerig over gehad. Er zijn genoeg bereidwilligen, echter vaak "too little & too late".
Ik kan ook wel bedenken welke partijen hier niet voor te vinden zullen zijn, namelijk diegenen die goed garen spinnen bij een voortgezette onveilige situatie voor de meesten onder ons en een veilige(r) omgeving voor de kleine kring (alleen de natuurvan de voortgaande proliferatie maakt dat een streven dat onmogelijk is op den duur). Eens onveilig betekent steeds onveilig. Helaas.
Daarnaast moet onveilg geworden code steeds aangepast en/of vervangen worden. Ook staan veiligheidsmaatregelen niet op zich goed ingesteld, zowel op de server- als aan de client zijde. Hier stak ik heel veel op van Bitwipers uiteenzettingen hier.
Dank, beste Bitwiper.
Voorbeeld scan hier eens op een willekeurige website https://retire.insecurity.today/ en analyseer de kwetsbare code vervolgens eens op errors (met behulp van een linter en of een unpacker).
Test de willekeurige website na via https://sonarwhal.com/
Beide scanners, die van de Noor Erlend Oftedal en de scanner van Sonarwahl, die werkt met Snyk detectie, komen niet altijd tot het zelfde aantal kwetsbare bibliotheken. Maar het is raadzaam voor iedere website beheerder/eigenaar/tester.
Ja allemaal JQuery developers, die deze af te voeren bibliotheken hebben ontworpen. Wat je eens hebt verworven, zal je ook te zijner tijd op een zeker moment moeten afvoeren. Een wet van de IT-Meden en Perzen, zeg ik dan maar.
Ik word een beetje moe van dit steeds weer te moeten herhalen en nog luisteren er weinigen of hebben er ogen voor en oren naar. Maar, jij, karma4 weet dit inmiddels even goed als ik. Daarom geven we niet op met "preaching to the choir".
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.