image

Microsoft: kwetsbaarheden vooral aangevallen als zero-day

maandag 11 februari 2019, 12:29 door Redactie, 14 reacties

Als een kwetsbaarheid in Windows, Office en andere Microsoft-producten voor de eerste keer wordt aangevallen, is het waarschijnlijk als zero-day. Het aantal exploits voor net gepatchte beveiligingslekken neemt juist af, zo stelde Microsofts Matt Miller tijdens zijn presentatie voor de BlueHat-conferentie.

Miller ging in op recente ontwikkelingen in het aanvalslandschap en maatregelen die Microsoft neemt om gebruikers te beschermen. Uit de cijfers die Miller publiceerde blijkt dat het aantal door Microsoft gepatchte kwetsbaarheden toeneemt, maar dat het aantal beveiligingslekken dat binnen 30 dagen na het verschijnen van een beveiligingsupdate wordt aangevallen juist afneemt (pdf).

"Als een kwetsbaarheid wordt aangevallen, is het waarschijnlijk als zero-day", aldus Miller, die een security-engineer is voor het Microsoft Security Response Center. In dit geval gaat het om een aanval op een beveiligingslek waarvoor nog geen beveiligingsupdate beschikbaar is. "Het is nu ongebruikelijk om binnen 30 dagen na het uitkomen van een patch een niet-zero-day-exploit te zien", merkte Miller verder op.

De zero-days die door Microsoft werden gezien waren voornamelijk bij gerichte aanvallen ingezet. Verder is verouderde software vaak het doelwit van exploits. Miller gaat echter ook in op de zero-days die niet door Microsoft of securitybedrijven worden gezien. Het is echter lastig om het aantal onbekende zero-day-exploits te bepalen. Hoe vaker een zero-day wordt gebruikt, des te groter de kans op ontdekking.

Verder liet Miller weten dat de beveiligingsmaatregelen die Microsoft heeft getroffen het lastiger maken om kwetsbaarheden uit te buiten. Daar komt bij dat Windows 10 "altijd up-to-date" is, waardoor het aanvallen van gepatchte beveiligingslekken minder oplevert. Het verkrijgen van exploits is daardoor kostbaarder dan de opbrengsten. Volgens Miller richten cybercriminelen zich daarom vaker op social engineering, waarbij de hulp van het slachtoffer is vereist om een systeem met malware te infecteren of gegevens te stelen. Het gaat dan bijvoorbeeld om phishingaanvallen of het gebruik van documenten met kwaadaardige macro's die moeten worden ingeschakeld.

Image

Reacties (14)
11-02-2019, 13:39 door Anoniem
Hmmm hier regelmatig een W10 PC die plotseling stopt met windows update via Wsus. Scriptje met resetten van de zooi, daarna werkt het wel weer. Maar hoogst irritant.
11-02-2019, 13:45 door Anoniem
grootste kwetsbaarheden is Microsoft zelf met ''anoniem'' sturen van gegevens naar hun servers
11-02-2019, 14:29 door karma4
Door Anoniem: grootste kwetsbaarheden is Microsoft zelf met ''anoniem'' sturen van gegevens naar hun servers
Grootste kwetsbaarheid is de fud met "het zou kunnen zijn dat" zonder werkelijke onderbouwing of onderzoek.
11-02-2019, 14:51 door Anoniem
Door karma4:
Door Anoniem: grootste kwetsbaarheden is Microsoft zelf met ''anoniem'' sturen van gegevens naar hun servers
Grootste kwetsbaarheid is de fud met "het zou kunnen zijn dat" zonder werkelijke onderbouwing of onderzoek.

Heb jij zelf al onderzoek gedaan of loop je ook maar wat te roepen? Zelfs met een Windows 10 Enterprise Edition met de GPO aangepast (security) en de alle privacy settings op UIT en de Connect User Experience en Telemetry service uitgeschakeld blijft windows 10 toch constant een verbinding opbouwen.

svchost.exe 4048 TCP XXXXXXXX 50093 40.67.253.249 https ESTABLISHED

Je kunt er een SSL/TLS strippende proxy tussen plaatsen maar anders kom je er niet achter wat ze versturen.
11-02-2019, 14:59 door [Account Verwijderd]
Door Anoniem: grootste kwetsbaarheden is Microsoft zelf met ''anoniem'' sturen van gegevens naar hun servers

Windows 10 telemetrie is vooral privacy gevoelige informatie, heeft niets met (zero-day) kwetsbaarheden te maken.
11-02-2019, 15:09 door Anoniem
Hebben ze geluk dat het morgen patch tuesday is, anders moesten ze nog een maand wachten.
11-02-2019, 15:20 door Anoniem
Door Manjaro:
Door Anoniem: grootste kwetsbaarheden is Microsoft zelf met ''anoniem'' sturen van gegevens naar hun servers

Windows 10 telemetrie is vooral privacy gevoelige informatie, heeft niets met (zero-day) kwetsbaarheden te maken.

Wat is het verschil?zero-day gebruiken ze ook om je prive gegevens te stelen nu doet microsoft dat ipv iemand anders
11-02-2019, 15:35 door Anoniem
Wanneer gaat die zero day in dan? Vanaf de dag dat Microsoft het ontdekt, of vanaf de dag dat er voor het eerst misbruik van gemaakt werd?

Dat zero-day is weer zo een marketing eufemisme. Om te verbloemen dat zulke lekken er om te beginnen nooit in hadden mogen zitten. Of je moet dat aangeven als je je lekke rommel verkoopt. In niet in een berg geouwehoer, maar op de doos. Daar hoort te staan "wij hebben, op MS-DOS 1.0 na, nooit meer wat gemaakt waar geen security updates voor nodig waren". Dan weet je wat je koopt.

In plaats van al die eufemismes!
11-02-2019, 15:44 door Anoniem
Door karma4:
Door Anoniem: grootste kwetsbaarheden is Microsoft zelf met ''anoniem'' sturen van gegevens naar hun servers
Grootste kwetsbaarheid is de fud met "het zou kunnen zijn dat" zonder werkelijke onderbouwing of onderzoek.


https://www.security.nl/posting/586880/Ministerie%3A+dataverzameling+Windows+10+en+Office+privacyrisico
11-02-2019, 16:43 door karma4
Door Anoniem:
https://www.security.nl/posting/586880/Ministerie%3A+dataverzameling+Windows+10+en+Office+privacyrisico
Inderdaad dat was geen dpia en het richte zich niet op office.
Dat zijn twee missers in de opzet van een onderzoek.
Lees even wat een dpia is in de gdpr en bij het ap.
Onderzoeksopzet kun je naar de site van het bsi.
11-02-2019, 16:49 door -karma4 - Bijgewerkt: 11-02-2019, 16:49
Door karma4:
Door Anoniem:
https://www.security.nl/posting/586880/Ministerie%3A+dataverzameling+Windows+10+en+Office+privacyrisico
Inderdaad dat was geen dpia en het richte zich niet op office.

Nou, de titel en de inleiding liegen er anders niet om qua duidelijkheid:

Ministerie: dataverzameling Windows 10 en Office privacyrisico
dinsdag 13 november 2018, 12:30 door Redactie, 42 reacties
Laatst bijgewerkt: 13-11-2018, 17:12

Gegevens die Windows 10 Enterprise en Microsoft Office van en over gebruikers verzamelen en in een database in de Verenigde Staten opslaan vormen een risico voor de privacy van gebruikers, zo blijkt uit onderzoek van het ministerie van Justitie en Veiligheid. Microsoft heeft aanpassingen aangekondigd."

Door karma4: Dat zijn twee missers in de opzet van een onderzoek.
Lees even wat een dpia is in de gdpr en bij het ap.
Onderzoeksopzet kun je naar de site van het bsi.

Ach, hebben de experts het weer bij het verkeerde eind en weet karma4 het beter?
11-02-2019, 18:22 door Anoniem
Door karma4:
Door Anoniem: grootste kwetsbaarheden is Microsoft zelf met ''anoniem'' sturen van gegevens naar hun servers
Grootste kwetsbaarheid is de fud met "het zou kunnen zijn dat" zonder werkelijke onderbouwing of onderzoek.

Mijn eigen honeypot leert mij iets anders, namelijk dat vrijwel meteen na het releasen van een patch mijn honeypot aangevallen wordt op de kwetsbaarheden die recentelijk zijn gepatched. Deze aanvallen gaan daarna eindeloos door.
12-02-2019, 11:05 door Anoniem
Dat zero-day is weer zo een marketing eufemisme. Om te verbloemen dat zulke lekken er om te beginnen nooit in hadden mogen zitten. Of je moet dat aangeven als je je lekke rommel verkoopt. In niet in een berg geouwehoer, maar op de doos. Daar hoort te staan "wij hebben, op MS-DOS 1.0 na, nooit meer wat gemaakt waar geen security updates voor nodig waren". Dan weet je wat je koopt.
Het is een gevolg van een zeer complex product. Hetzelfde zie je nu ook gebeuren met 'hardware' producten als auto's die terug worden geroepen. Is een simpel gevolg van complexiteit. Ben het er wel mee eens dat we op het gebied van software wat harder gebruik moeten maken van 'productaansprakelijkheid'. Apple wordt op die manier al regelmatig onderhanden genomen, Facebook in Duitsland ook, nu de rest nog.
12-02-2019, 20:21 door karma4
Door Anoniem:
Mijn eigen honeypot leert mij iets anders, namelijk dat vrijwel meteen na het releasen van een patch mijn honeypot aangevallen wordt op de kwetsbaarheden die recentelijk zijn gepatched. Deze aanvallen gaan daarna eindeloos door.
Jouw honeypot war van alles binnen komt dat geloof ik zonder meer, zelf niets anders verwacht. "Het boze internet".
Dat andere is waar ik op reageerde. Ik vraag me dan wel af hoe je met uitbesteedde diensten cloud en meer de boel zelf nog volgt wat de aanvallen betreft. Ook dat is immers buiten de deur. Als het volledig losgekoppelde zaken worden misschien wel beter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.