Het zoeken, vinden en misbruiken van kwetsbaarheden – ook wel vulnerabilities – is een belangrijk onderdeel van hacken. Tijdens een pentest komt het opsporen van vulnerabilities ruimschoots aan bod. Belangrijk, want nieuwe kwetsbaarheden ontstaan bijna dagelijks.
In dit artikel lichten we de vaakst misbruikte vulnerabilities van vorig jaar uit. Altijd handig om ze eens na te lopen.
Wat zijn vulnerabilities?
Het woord zegt het al: vulnerabilities zijn zwakke plekken. In dit geval in de digitale infrastructuur. Kwetsbaarheden zijn als het ware achterdeurtjes die hackers gebruiken om – soms heel eenvoudig – binnen te dringen.
Kwetsbaarheden ontstaan doorgaans door o.a. updates. Ontwikkelaars van bijvoorbeeld software blijven nieuwe features toevoegen. Met elke verandering in de software is er een kans dat er een kwetsbaarheid ontstaat.
Security patches tegen kwetsbaarheden
Ontwikkelaars zijn hier meestal van op de hoogte en brengen securitypatches uit. Maar: soms komen deze patches pas laat uit. Of: ontwikkelaars merken ontstane kwetsbaarheden pas op als hackers ze al actief aan het misbruiken zijn.
Het komt geregeld voor dat kwetsbaarheden te lang aanwezig blijven in de digitale infrastructuur. Vaak doordat updates worden uitgesteld, overgeslagen of vergeten. Het ontbreekt dan aan een patchbeleid. Het eerste advies is dus: zit bovenop die patches!
Het tweede advies? Vulnerability Management: dat is een nog effectievere aanpak.
Wat is Vulnerability Management?
Vulnerability Management – in het Nederlands kwetsbaarheidsbeheer – richt zich op het actief monitoren van kwetsbaarheden in de digitale infrastructuur. Een VM-tool geeft daarmee een realtime overzicht van actuele kwetsbaarheden, hun risico en een advies om ze op te lossen. Soms is dat het uitvoeren van een patch, maar het kan ook zijn dat er een workaround nodig is.
In plaats van patchen en hopen dat er daardoor geen kwetsbaarheden meer zijn, toont een VM-tool – of een pentest – aan of er nog kwetsbaarheden zijn. Doorgaans valt dat tegen: zelfs de besten zitten met een VM-interface vol meldingen aan het begin. Maar wie al die meldingen stap voor stap rustig oppakt, is uiteindelijk bijgebeend.
En: kan met een stuk meer zekerheid zeggen dat de organisatie minder kwetsbaar is.
Vaakst misbruikte vulnerabilities van vorig jaar
Jaarlijks ontstaan er ontelbaar veel kwetsbaarheden. De ene is spraakmakender dan de ander. Vaak bepaalt de schaal van impact of heel de wereld het over een vulnerability heeft. Hieronder de vaakst misbruikte kwetsbaarheden van vorig jaar (in onwillekeurige volgorde):
1. Microsoft Office kwetsbaarheid uit 2017
We starten meteen met een oude. Een Microsoft Office bug (CVE-2017-11882) die in 2017 al ontdekt was, werd in 2022 nog steeds actief misbruikt. Gezien Microsoft bekend staat om het uitbrengen van security updates op hun “Patch Tuesday” is dit een opvallende. Dat in 2022 een kwetsbaarheid nog zo vaak geëxploiteerd is, geeft aan hoeveel organisaties een patchachterstand hebben.
Wat konden/kunnen hackers met deze kwetsbaarheid? De bug maakt het mogelijk op afstand arbitraire code uit te voeren op het apparaat. Dit biedt hackers de kans controle te krijgen over het apparaat, om vervolgens data te stelen of malware te installeren.
2. Spring4Shell
Deze kwetsbaarheid (CVE-2022-22965) is vorig jaar ontdekt én meteen uitgebreid misbruikt. Hij zit in het Java-gebaseerde Spring framework. Ook deze kwetsbaarheid maakt remote code execution mogelijk. Aanvallers deden dit via data binding. Inmiddels is er een patch uitgebracht tegen deze vulnerability. Het is te hopen dat iedereen die heeft uitgevoerd.
3. Zimbra Collaboration Suite
Wie Zimbra Collaboration Suite gebruikt als e-mail platform mag even opletten. In 2022 zijn de vulnerabilities met de codes CVE-2022-27925, CVE-2022-41352 ontdekt én flink misbruikt. Verrassing: in dit geval hebben we ook te maken met remote code execution. Aanvallers zijn met deze kwetsbaarheden daarnaast in staat malafide bestanden te uploaden naar het kwetsbare systeem. Met een Directory Traversal Attack als gevolg.
Ook deze aanval is inmiddels gepatcht.
4. Google Chrome
Vorig jaar kreeg de veelgebruikte web browser Google Chrome te maken met een Zero Day kwetsbaarheid (CVE-2022-0609). Aanvallers hebben gretig gebruik gemaakt van deze vulnerability. De mogelijkheid tot remote code execution maakte de kwetsbaarheid aantrekkelijk. De hacker moest daarvoor overigens wel gebruikers zover krijgen naar een malafide website te gaan.
De kwetsbaarheid is gepatcht. Dus wie de laatste versie van Google Chrome gebruikt, loopt geen gevaar.
5.Log4Shell
Wie herinnert zich Log4Shell (CVE-2021-44228) niet? Deze Apache kwetsbaarheid is al ontdekt in 2021, maar was vorig jaar nog steeds actief misbruikt. Dat terwijl er inmiddels gewoon een patch voor is. Wat konden aanvallers met deze kwetsbaarheid? Wederom: remote code execution.
6. Zyxel
Er is een trend gaande in dit artikel: ook deze kwetsbaarheid (CVE-2022-30525) geeft aanvallers de kans controle te krijgen over een systeem dankzij remote code execution. Het stelen van data en het installeren van malware is daardoor allemaal mogelijk.
De vulnerability is ontdekt in 2022 en er is inmiddels ook al een patch voor beschikbaar. Gebruikers die deze patch hebben uitgevoerd, lopen dus geen risico meer.
7. F5 BIG-IP
Dit is een interessante, want F5 BIG-IP is een collectie aan hardware- en software die gericht is op toegankelijkheid, prestaties én beveiliging. Helaas had het te maken met een kwetsbaarheid (CVE-2022-1388) die – wederom – remote code execution mogelijk maakt. Dat geeft creatieve hackers een tal aan mogelijkheden.
Voor deze kwetsbaarheid is een patch beschikbaar gesteld.
8. Follina
Nog een remote code exection kwetsbaarheid: Follina (CVE-2022-30190). Deze kwetsbaarheid zit in het in de Microsoft Windows Support Diagnostic Tool. Hoe aanvallers de vulnerability exploiteren? Via een schadelijk Office-document. Alle besturingssystemen binnen Windows zijn kwetsbaar.
Er is een beveiligingspatch uitgebracht. Wie up-to-date is, loopt hierin dus geen risico meer.
Hackers zijn er snel bij
Aanvallers zijn altijd op zoek naar kwetsbaarheden waar nog geen patch voor is. Ze zitten er bovenop. Het meest veilige is om er zelf dus ook bovenop te zitten. Of dat nu is met Vulnerability Management, een regelmatige pentest, of nog beter: beiden.
Cyber security oplossingen die al een tijd meegaan: daar moeten we kritisch op zijn. Want passen ze nog wel bij het huidige threat-landschap? In dit artikel gaan we dieper in op Endpoint Protection.
Laten we meteen met de deur in huis vallen. Dat Endpoint Protection al een tijdje meegaat, wil in dit geval niet zeggen dat het toe is aan complete vervanging. Sterker nog: Endpoint Protection is belangrijker dan ooit!
Maar de traditionele Endpoint-oplossingen die uitgaan van virusdefinities? Die houden het huidige threatlandschap inderdaad niet meer bij. Ze zijn nog steeds een belangrijk onderdeel van moderne oplossingen: maar cyberaanvallen zijn tegenwoordig te veranderlijk om enkel op de traditionele antivirus te vertrouwen. Het is goed om ook eens te kijken naar moderne vormen van Endpoint Protection.
Allereerst: waarom is Endpoint Protection juist nu zo belangrijk?
1. De hoeveelheid Endpoints groeit
Vroeger was de hoeveelheid Endpoints vaak nog te overzien. Maar met de komst van werktelefoons en daar bovenop nog de thuiswerk-beweging, hebben we te maken met een record aantal Endpoints. Het probleem daarvan? Elk apparaat is een extra aanvalkans voor cybercriminelen.
Hoeveel Endpoints – en dus aanvalkansen – zijn er binnen uw organisatie? Tel het risico maar uit. Zolang een uitgebreid apparatenpark steeds meer de norm wordt, is Endpoint Protection belangrijker dan ooit.
2. Eenvoudig doelwit? Endpoints!
Als het gaat om cyber security krijgen netwerken vaak de meeste liefde, aandacht en actieve controle. Want is een netwerk kwetsbaar? Dan zijn de gevolgen catastrofaal. Endpoints zijn daardoor gevoelsmatig wat ondergeschikt. En juist dat maakt ze een eenvoudig doelwit én – heel ironisch – een potentiële doorgang naar het netwerk. Het gebrek aan Endpoint-controle maakt dat aanvallers vaak (te) laat opvallen.
3. Nog meer groei: stijging in Endpointaanvallen
Cyberaanvallers zijn de grootste innovators: elke keer weten ze weer met nieuwe (massa)aanvalmethodes te komen. Dat doen ze niet voor de lol. Ze doen het omdat het veel oplevert. Zolang cybercrime een lucratieve business blijft, zal het aantal aanvallen alleen maar blijven stijgen. Een jaarlijkse toename in cybercrime is een trend die daardoor niet zomaar verdwijnt. Met name massa-aanvallen zijn steeds vaker zichtbaar. Denk aan bulk malware, ransomware, e-mail phishing en andere veelvoorkomende exploits.
4. Nog eenvoudiger: Endpoints in de handen van mensen
Laat een mens alleen achter met een laptop, tablet of smartphone en risico is gegarandeerd. Niet omdat mensen incapabel zijn. Maar iedereen maakt zo nu een foutje, toch? Helaas is één foutje al genoeg om een datalek in werking te zetten. Een extra vorm van controle en beveiliging is dus extra belangrijk wanneer er een mens aan te pas komt.
Wat voor fouten we het over hebben? Klikken op phishinglinks, onbetrouwbare bestanden binnen halen en ook het installeren van software van derden of het bezoeken van niet-werkgerelateerde websites. Vaak worden die laatste twee ontmoedigd in een securitybeleid. Maar eerlijk? Er is altijd iemand die de grenzen van regels opzoekt.
5. Nieuwe functies, nieuwe gebreken
In deze snelle wereld krijgen apparaten met enige regelmaat updates met nieuwe functies. Van smartphones met verbeterde camerafuncties tot IoT appliances die nóg slimmer zijn gemaakt. Leuk voor de gebruiker, maar niet altijd even leuk voor de security. Dat soort aanpassingen zorgen er regelmatig voor dat er óók weer securityupdates nodig zijn. Meestal komen die wel. Maar wat als ze aan de late kant zijn? Of wat als de gebruiker die update niet op tijd doorvoert?
Let op: ook huidige versies kunnen kwetsbaarheden bevatten. Hoe erg – de meeste – software leveranciers ook hun best doen.
Moderne Endpoint Protection: een muur tegen (massa)aanvallen
De meest moderne Endpoint Protection gaan doorgaans net een stapje verder dan de traditionele antivirus. Die traditionele oplossingen gaan namelijk uit van een threatlijst met virusdefinities. Elke keer gaat de antivirus deze lijst af, op zoek naar iets soortgelijks in een Endpoint.
Het probleem is alleen dat threats zo snel veranderen en ontwikkelen, dat die lijsten nooit 100% actueel zijn. Threats die nog niet bekend zijn komen dus nog altijd door. Slimme Endpoint Protection oplossingen gaan daarom niet uit van zo’n lijst, maar van Artificial Intelligence.
Hoe Endpoint Protection beschermt tegen actuele threats
Endpoint oplossingen die uit gaan van AI kijken naar het “gedrag” van de potentiële bedreiging. Is dat gedrag verdacht of ongewoon? Dan krijgt u een melding. Bijvoorbeeld wanneer er bestanden in een korte tijd versleuteld worden. Dat betekent dat een gloednieuwe aanval die nog bij niemand bekend is, alsnog door de oplossing wordt opgemerkt en tegengehouden.
SentinelOne is Endpoint Protection die met AI werkt. Lees hier meer over hoe SentinelOne werkt en Endpoints beschermt tegen cyberthreats.
Beveilig breed
Toch is het niet verstandig enkel en alleen te vertrouwen op Endpoint Protection. Waar de meesten daar vroeger wel mee weg kwamen, is het threat-landschap daar nu te erg voor veranderd. Aanvallers zijn beter uitgerust dan ooit. De gevaarlijke cybercrime opmars vraagt ons breder te beveiligen. Endpoint Protection blijft een belangrijk onderdeel van die bredere strategie, maar aanvullingen zoals een SOC zijn steeds essentiëler.
Meer weten over Endpoint Protection?
We streven ernaar via onze blogs zoveel mogelijk informatie over cybersecurity te delen. Heeft u toch nog vragen over actuele threats, beveiligingsoplossingen of een van onze diensten? Neem dan vrijblijvend contact met ons op voor meer informatie.
De Militaire Inlichtingen en Veiligheidsdienst kwam recent met een opvallende waarschuwing: laat collega’s voortaan nooit meer hun smartphones meenemen tijdens een vergadering. Volgens de MIVD ligt er een spionagerisico op de loer.
Jan Swillens, diensthoofd van de MIVD, benadrukt dat zeker wanneer er bedrijfsgeheimen worden besproken, smartphones of tablets op tafel uit den boze zijn. Er zou een te groot risico zijn op cyberspionage. Een onderbouwing hiervoor? Die geeft de topman niet.
Omdat het een opvallende uitspraak is, gaan we voor u wat dieper in op de materie. Want hoe reëel is de kans dat een crimineel u afluistert via uw smartphone? En zetten aanvallers deze methode in om bedrijfsgeheimen van doelwitten te achterhalen? Wat zijn de mogelijkheden?
Er bestaat afluistersoftware voor smartphones
Allereerst: is afluisteren via een smartphone (in slaapmodus) mogelijk? Er gaan al een aantal jaar speculaties rond dat Facebook dit zou doen om relevantere advertenties te kunnen tonen aan gebruikers. Of dit echt zo is, is tot op heden niet bevestigd. Het kan tenslotte ook toeval zijn dat Facebook advertenties met merkschoenen laat zien, vlak nadat u een gesprek hebt gehad over versleten schoenzolen.
Wat we wel weten, is dat in 2017 bekend werd dat honderden gameapps de microfoons van gebruikers inschakelden om ze daadwerkelijk af te luisteren. Er werd hierbij gebruik gemaakt van software van Alphonso, een bedrijf uit Amerika. De games verzamelden audiofragmenten om door te verkopen aan adverteerders. Denk aan informatie over de TV-programma’s die gebruikers kijken. Een lucratief verdienmodel voor deze gratis games.
Dus of afluistersoftware bestaat? Jazeker.
De overheid mag afluisteren
Interessant om te weten: de overheid mag legaal smartphones afluisteren. Met speciale apparatuur verkrijgen ze via de providers toegang tot toestellen om zo telefoongesprekken af te tappen. Uiteraard doen ze dit niet zomaar: enkel wanneer er iets aangetoond moet worden in een rechtszaak.
Hoe eenvoudig komen aftap-apps op uw telefoon terecht?
Dat er software bestaat om geluidsfragmenten af te tappen, geeft al aan dat het technisch mogelijk is om via deze weg bedrijfsgeheimen te stelen. Of die software zomaar op uw toestel terecht kan komen? De smartphone-ontwikkelaars en reguliere appstores doen hun best gebruikers vanuit hun kant te beschermen met de volgende regels:
1. Een app moet toestemming vragen voor het gebruik van de microfoon
Om misbruik van apps te voorkomen, moeten gebruikers tegenwoordig bij de installatie van een app handmatig toestemming geven tot functionaliteiten van de telefoon. Een calculator die toegang wil tot uw microfoon zou al meteen een alarmbel af moeten laten gaan. Want waar heeft die app uw microfoon voor nodig?
2. Een app komt niet zomaar in de appstore
Om malafide apps uit de buurt van smartphones te houden, heeft zowel de Google Playstore als de iOS Appstore een controlebeleid. Een app moet eerst worden goedgekeurd voordat hij op de appstore komt. Het beleid van Apple is beduidend strenger dan die van Android, maar beiden zijn niet waterdicht.
Mooie maatregelen, maar de praktijk is anders
Ondanks het controlebeleid komen kwaadwillende apps alsnog regelmatig in de reguliere appstores terecht. Zo ontwikkelen aanvallers onschuldig uitziende toolapps zoals flashlights, die vervolgens malware op het systeem droppen. Deze apps worden ook wel “droppers” genoemd. En lukt het toch niet een malafide app in de appstore te krijgen? Dan heeft de ontwikkelaar gewoon nog een andere optie: hem aanbieden in een onofficiële appstore. Die hebben voldoende gebruikers.
Let op: aanvallers zijn in staat ook populaire en valide apps om te toveren tot een dropper. Dat gebeurde recent bij Camscanner, een app met meer dan 380 miljoen installaties.
Kwetsbaarheden in het OS
Daarnaast vormen kwetsbaarheden in het OS ook nog een potentiële kans voor aanvallers die willen spioneren. Waarom? Middels deze kwetsbaarheden kunnen ze de betrouwbare reguliere appstores op zijn kop zetten. Zo krijgen ze via populaire apps alsnog malware op uw toestel. Hoe dat werkt? Een bekend recent voorbeeld is bijvoorbeeld Strandhogg en Strandhogg v2.
Kwetsbare apps
Ook als u apps beperkte toegang tot functionaliteiten geeft, is er nog geen garantie dat u veilig bent. Zit er een kwetsbaarheid in een van uw apps? Nog niet zo heel lang geleden hebben hackers via een kwetsbaarheid in de Google Pixel camera app toegang weten te krijgen tot de camera’s van gebruikers. Ideaal voor spionageactiviteiten. Het is dus niet ondenkbaar dat hackers een kwetsbaarheid exploiteren om toegang te krijgen tot microfoons van smartphonegebruikers.
Kwetsbaarheden duiken geregeld op. Het is daarom belangrijk om uw OS en apps altijd up-to-date te houden. Vaak zijn ontwikkelaars er op tijd bij met beveiligingsupdates. Let er ook op dat u geen verouderd OS gebruikt: die krijgen die updates niet meer.
Hoeveel gevaar lopen bedrijven?
De waarschuwing van Swillens is zo urgent, dat het de indruk wekt dat een groot deel van de smartphones al geïnfecteerd is met spionagesoftware. Ja, audio aftappen van een smartphone is mogelijk. Maar makkelijk? Niet echt.
Het kost veel werk om een telefoon af te kunnen luisteren. Zeker wanneer één bedrijf doelwit is, is het nogal een klus om de software op de smartphone van de juiste persoon te krijgen. Maar is er voor een crimineel (of concurrent) voldoende motivatie om een vergadering af te luisteren? Dan kan er een hoop.
Better safe than sorry
Voorzichtig zijn kan nooit kwaad. Zeker wanneer u belangrijke zaken gaat bespreken, is het een optie ervoor te kiezen de aanwezigen te verzoeken hun smartphone ergens anders op te bergen. Wat heeft u te verliezen? Een telefoon kan vaak wel gemist worden aan de vergadertafel.
Maar of u nu panisch iedereen moet verzoeken zijn of haar smartphone thuis te laten? Er zijn voor hackers voldoende andere manieren om achter gevoelige informatie te komen. Geef – bijvoorbeeld- het dichten van kwetsbaarheden liever liever uw prioriteit.
