Onlangs publiceerde Microsoft enkele beveiligingsbulletins met de melding van twee aparte zero day-kwetsbaarheden die zich richten op Microsoft-producten. De eerste was een fout in de code library voor de TIFF graphic format parser. Eventuele aanvallen vinden plaats via een Microsoft Word-document. De tweede betrof een fout in Internet Explorer; aanvallen van buiten verlopen dan via een kwaadaardige webpagina. Dit waren bepaald niet de eerste zero day-kwetsbaarheden dit jaar.
Zero day-kwetsbaarheden zijn fouten in de code die hackers misbruiken voordat een patch beschikbaar is. Het kost een leverancier vaak wel dertig dagen voordat er een officiële patch beschikbaar is. Er is echter een manier om je te beschermen tegen deze kwetsbaarheden: het configureren van instellingen om maximaal beschermd te zijn.
Microsoft stelt in zijn beveiligingsbulletins over de zero day-kwetsbaarheden dat computers die met EMET zijn geconfigureerd immuun zijn voor deze aanvallen in hun huidige vorm. EMET staat voor Enhanced Mitigation Experience Toolkit. Het is een extra beveiligingstool dat gratis te downloaden is van de Microsoft-website. Het biedt een soort ‘dwangbuis’ voor Windows-programma’s door ze te monitoren op abnormaal gedrag. Programma’s die zich misdragen, worden gestopt. Abnormaal gedrag is bijvoorbeeld ‘heapspraying’ of het manipuleren van ‘exception handlers’. Dat duidt vaak op de eerste fasen van een cyberaanval. Het is dan ook nodig om onderzoek te doen. De nieuwste versie van EMET bevat ook een alert-only mogelijkheid, waardoor EMET gemakkelijker is uit te rollen in grotere IT-omgevingen. Met de alert-only modus laat een beheerder EMET in monitoringmodus draaien om te zien of een werkstation applicaties draait die zich misdragen en die in de normaalmodus gestopt zouden worden. Een beheerder kan dan onderzoek doen en zo nodig uitzonderingen configureren voor de betreffende applicaties.
Java beveiligen
Voor Java van Oracle zijn vergelijkbare aanbevelingen voor veilige configuraties. De bekende aanvalsmiddelen zijn de Java-applets. De gemakkelijkste manier om deze aanvallen te blokkeren is het uitschakelen van Java in de browser of de browserplugin volledig uit te schakelen. Wanneer applets nodig zijn voor bedrijfsapplicaties is het mogelijk deze met een whitelist-oplossing te laten draaien. Internet Explorer ondersteunt dit type whitelisting met zijn Zone-mechanisme, dat Java verbiedt in de Internetzone, maar toestaat in de Trusted Sites. Zo beperk je de aanvalsmogelijkheden via Java.
Bij Adobe Reader wordt Javascript ingezet voor de meeste aanvallen. Wanneer het mogelijk is om Adobe Reader te gebruiken zonder Javascript, is het raadzaam om dit op het werkstation uit te schakelen. De normale pdf-functionaliteit blijft beschikbaar. Het kan zijn dat sommige formulieren beïnvloed worden. Het hangt dus helemaal af van het specifieke gebruik binnen de organisatie.
Het snel patchen van kwetsbaarheden blijft het belangrijkste onderdeel van een beveiligingsprogramma. Maar ook voor niet-patchbare kwetsbaarheden zijn maatregelen te treffen die aanvallen afslaan en cybercriminelen doen besluiten een deur verder te gaan.
Wolfgang Kandek is CTO van Qualys