Zero Day Exploits

Zero Day Exploit is de nachtmerrie van elke IT organisatie. Immers voor de zwakte in de IT-component bestaat (nog) geen verbetering (patch). Maar ondanks het ontbreken van de patch valt er toch wel wat tegen te doen maar is veelal afhankelijk van de aanval.

In december 2016 werd een Zero Day Exploit gepubliceerd die zich richtte op de SMB implementatie van Windows (Microsoft Windows SMB Remote Code Execution, MS17-010: CVE-2017-0143). Kort na bekendmaking publiceerde Laurent Gaffie een Proof-of-Concept code (Win10.py) voor Windows 10 op GithubDe mitigerende maatregel was uiteindelijk redelijk eenvoudig, blokkeren van het uitgaande SMB verkeer (TCP ports 139 en 445 en UDP ports 137 en 138).

Dat we Zero Day Exploits serieus moeten nemen zal niemand ontkennen maar opvallend is de massaliteit. Binnen enkele dagen is er een massale aanval waarneembaar, dit blijkt uit het aantal SMB-connecties die door de firewall zijn tegengehouden gedurende die periode.

Al lange tijd is er een levendige handel in Zero Days (zowel de kwetsbaarheid/vulnerability als de uitnutting/exploit ervan), waaronder:

  • Software leveranciers; De grotere software leveranciers betalen voor elke nieuwe kwetsbaarheid. De hoogte is afhankelijk van het risico maar kan oplopen tot zo’n $90.000, blijkt uit het artikel van Threatpost.
  • Handelaren; Ook bedrijven hebben hierin een nieuw verdienmodel ontdekt. Zo roept bijvoorbeeld Zerodium op om voor geld nieuwe kwetsbaarheden bij hun te melden.
  • Hackathons; Er worden bijeenkomsten georganiseerd waarbij teams uitgedaagd worden om Zero Days te vinden. Een bekende is Pwn2Own waarbij jaarlijks letterlijk tonnen aan prijzengeld wordt uitgekeerd.
  • Criminelen; Zero Days inclusief de bijbehorende Exploit worden voor veel geld verhandeld op de Dark Web. De prijzen zijn natuurlijk weer afhankelijk van de bruikbaarheid maar lopen als snel op naar zo’n $5.000.
  • Cyberlegers; Het is zeker dat deze vele Zero Days bezitten. Recent nog werden er een aantal Zero Days gepubliceerd die ontvreemd waren van de CIA.
Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security ● Technical Infrastructure
Dit bericht werd geplaatst in Security en getagged met , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s