Mededeling

Collapse
No announcement yet.

Hackers veranderen patches tot exploits in seconden

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Hackers veranderen patches tot exploits in seconden

    Hackers toveren patches in seconden om tot exploits

    De trend dat exploits voor een beveiligingslek steeds sneller na het verschijnen van een patch opduiken is al enige tijd gaande, hackers zijn inmiddels zo ver gevorderd dat ze dit binnen minuten en zelfs seconden kunnen doen, waardoor patches juist een beveiligingsrisico vormen. Zodra een update verschijnt wordt die door aanvallers geanalyseerd en reverse engineered. Door de verkregen informatie kan men zien waar het beveiligingslek precies aanwezig is en hoe die te misbruiken is.

    Voorheen duurde het meestal een aantal dagen voordat er een werkende exploit ontwikkeld was. Via algemeen beschikbare tools is dit proces nu geautomatiseerd en is een exploit slechts een kwestie van minuten en seconden. Dit betekent dat aanvallers die een patch snel weten te bemachtigen, deze kunnen omtoveren tot een exploit en misbruiken voordat de gemiddelde gebruiker zijn updates heeft geinstalleerd. Veel bedrijven en thuisgebruikers die de Automatische Update functie gebruiken, hebben die ingeschakeld op een vaste tijd. De patches zelf zijn dan al een aantal uren beschikbaar en dat geeft aanvallers voldoende tijd om bij ongepatchte gebruikers toe te slaan. In het geval van Windows Update duurt het 24 uur voordat 80% van de machines is langskomen voor een nieuwe update.

    Onderzoekers van de universiteiten van Berkeley, Pittsburgh en Carnegie Mellon onderzochten het fenomeen, dat ze omschrijven als "automatic patch-based exploit generation" (APEG). "De huidige manier van patchdistributie is niet ontworpen met de dreiging van APEG in het achterhoofd. Onze resultaten laten zien dat we onmiddelijk moeten beginnen met het herontwerpen van de huidige distributie."

    De onderzoekers zien drie mogelijke oplossingen voor het probleem. De eerste is het verbergen van de gemaakte aanpassingen in de patch. Als tweede zouden patches versleuteld moeten worden en pas later zijn uit te rollen. Zo krijgt iedereen de tijd om ze te downloaden en zijn ze voor iedereen op hetzelfde moment te installeren. Punt drie is het verspreiden van patches via P2P, zodat iedereen de updates tegelijkertijd downloadt. Een lezer van het ISC heeft een andere oplossing. "Het antwoord is niet je tijd verdoen met het steken van je vingers in de gaten van de dijk, maar in de eerste plaats een betere dijk te bouwen."

    Security.nl
    Last edited by metriod; 05-05-08, 16:49.

  • #2
    "Microsoft hoeft patches niet te beveiligen"

    Hackers zouden patches binnen seconden weten om te toveren tot exploits, maar het is niet aan Microsoft om haar updates tegen reverse engineering te beschermen, zo stellen verschillende beveiligingsonderzoekers. Onderzoekers van de universiteiten van Berkeley, Pittsburgh en Carnegie Mellon onderzochten hoe patches criminelen juist helpen bij het misbruiken van beveiligingslekken. Via geautomatiseerde tools zou een patch binnen seconden zijn te ontleden, waarna het schrijven van een exploit kinderspel zou zijn.

    Doordat beveiligingsupdates vaak traag worden verspreid, zouden criminelen op deze manier hun exploits voor de patches kunnen uitrolen. Het fenomeen, omschreven als "automatic patch-based exploit generation" (APEG) zou mede worden veroorzaakt doordat software ontwikkelaars nauwelijks iets doen om updates en patches tegen hackers te beschermen. "Microsoft heeft geen adequate stappen genomen om dit soort pogingen lastiger te maken," zo stellen de onderzoekers. "Microsoft is helemaal niet verplicht om iets aan dit probleem te doen. Hoewel het klopt dat ze niets doen, is het stellen dat ze niet genoeg doen een andere claim," stelt Robert Graham.

    Volgens beveiligingsonderzoeker Halvar Flake heeft de APEG-techniek ernstige beperkingen, en kan het ook alleen maar zeer eenvoudige beveiligingslekken vinden. Daarnaast zou de beschreven methode geen exploits genereren, maar alleen beveiligingslekken veroorzaken. Flake verwacht dan ook voorlopig nog geen automatisch gegenereerde exploits.

    Graham ziet ook geen beren op de weg. "Het is zeker een interessante ontwikkeling, maar in de echte wereld zal het niet de tijd verkorten die nodig is voor het ontwikkelen van een werkende exploit aan de hand van het reverse engineeren van patches. Die tijd is toch al zorgwekkend kort."

    Security.nl

    Comment

    Sorry, you are not authorized to view this page
    Working...
    X