Video: Heartbleed Exploit - Discovery & Exploitation (November 2024)
Niet elke kritieke kwetsbaarheid hoeft te worden vergeleken met Heartbleed om serieus te worden genomen. In feite is het niet nodig om Heartbleed of Shellshock ter sprake te brengen wanneer er een nieuwe softwarefout is die onmiddellijke aandacht vereist.
Vorige week heeft Microsoft een ernstige kwetsbaarheid in SChannel (Secure Channel) hersteld die sinds Windows 95 in elke versie van het Windows-besturingssysteem bestaat. Een IBM-onderzoeker heeft de bug in mei aan Microsoft gemeld en Microsoft heeft het probleem in november opgelost. Patch dinsdag release.
IBM-onderzoeker Robert Freeman beschreef het beveiligingslek als 'zeldzame, ' eenhoornachtige 'bug.
Gebruikers moeten Windows Update op hun computer uitvoeren (als het is ingesteld om automatisch te worden uitgevoerd, des te beter) en beheerders moeten prioriteit geven aan deze patch. Sommige configuraties kunnen problemen hebben met de patch en Microsoft heeft een oplossing voor deze systemen vrijgegeven. Alles is geregeld, toch?
FUD steekt zijn lelijke kop op
Nou ja, niet helemaal. Feit is dat er - zeven maanden later! - nog steeds een niet-triviaal aantal computers met Windows XP is, ondanks dat Microsoft de ondersteuning in april beëindigde. Dus XP-machines lopen nog steeds het risico van een externe code-uitvoering als de gebruiker een booby-trapped website bezoekt. Maar voor het grootste deel is het verhaal hetzelfde als elke maand: Microsoft heeft een kritieke kwetsbaarheid opgelost en een patch uitgebracht. Patch dinsdag weer zoals gewoonlijk.
Totdat het niet zo was. Misschien zijn professionals op het gebied van informatiebeveiliging nu zo afgemat dat ze denken dat ze altijd angst moeten verkopen. Misschien leidde het feit dat dit beveiligingslek 19 jaar geleden in de Windows-code werd geïntroduceerd, tot een soort Heartbleed-flashback. Of we zijn op een punt gekomen dat sensationalisme de norm is.
Maar ik was verbluft om het volgende land in mijn inbox te zien van Craig Young, een beveiligingsonderzoeker bij Tripwire, over de Microsoft-patch: "Heartbleed was minder krachtig dan MS14-066 omdat het 'slechts' een bug was voor het vrijgeven van informatie en Shellshock was op afstand alleen te exploiteren in een subset van getroffen systemen."
Het is een grap geworden - een trieste als je erover nadenkt - dat voor een kwetsbaarheid om enige aandacht te krijgen, we nu een mooie naam en een logo moeten hebben. Misschien heeft de volgende een fanfare en een aanstekelijke jingle. Als we deze attributen nodig hebben om ervoor te zorgen dat mensen informatiebeveiliging serieus nemen, dan is er een probleem en niet de bug zelf. Zijn we zover gekomen dat de enige manier om de aandacht op veiligheid te vestigen, toevlucht is tot gimmicks en sensatiezucht?
Verantwoorde beveiliging
Ik vond het volgende leuk: "Dit is een zeer ernstige bug die onmiddellijk moet worden gepatcht. Gelukkig biedt het update-ecosysteem van het Microsoft-platform elke klant de mogelijkheid om binnen enkele uren te patchen voor dit beveiligingslek met behulp van Microsoft Update, " zei Philip Lieberman, president van Lieberman Software.
Begrijp me niet verkeerd. Ik ben blij dat Heartbleed de aandacht heeft getrokken, omdat het serieus was en mensen moest bereiken buiten de infosec-gemeenschap vanwege de brede impact. En de naam van Shellshock - voor zover ik weet - kwam uit een Twitter-gesprek waarin de fout en de manieren om het te testen werden besproken. Maar het is niet nodig om de kwetsbaarheid van SChannel "WinShock" te noemen of de ernst ervan in verband met die tekortkomingen te bespreken.
Het kan en moet op zichzelf staan.
"Deze kwetsbaarheid vormt een serieus theoretisch risico voor organisaties en moet zo snel mogelijk worden hersteld, maar heeft niet dezelfde impact tijdens de release als veel van de andere recentelijk zeer gepubliceerde kwetsbaarheden", Josh Feinblum, vice-president van informatiebeveiliging op Rapid7, schreef in een blogpost.
Lieberman maakte een interessante opmerking en merkte op dat de kwetsbaarheid van SChannel niet zoals Heartbleed was, omdat het niet is alsof elke open-source leverancier of clientsoftware het probleem moest oplossen en hun eigen patch moest uitbrengen. Commerciële software met gedefinieerde patchbezorgingsmechanismen, zoals die van Microsoft, betekent dat u zich geen zorgen hoeft te maken over 'een mengelmoes van componenten van verschillende versies en patchscenario's'.
Het maakt niet uit of het moeilijk is (zegt IBM) of triviaal (zegt iSight Partners) om te exploiteren. Online chatter suggereert dat dit slechts het topje van de ijsberg is, en de kwetsbaarheid van SChannel kan een enorme puinhoop veroorzaken. Het is een serieuze bug. Laten we het over het onderwerp zelf hebben, zonder toevlucht te nemen tot tactieken.
