Het is januari 2015 en bijna tijd voor de eerste Patch Tuesday van het jaar. Microsoft had nu al zijn eerste Advance Notification (ANS) moeten uitbrengen. Maar een nieuw jaar brengt veel veranderingen met zich mee en een daarvan was van invloed op de Advanced Notification: Microsoft stopt met het vrijgeven van ANS-informatie. Wie die informatie toch wil hebben, moet erom vragen via zijn accountmanager. Hmm… zelf dacht ik altijd dat onze klanten wel interesse hadden in de informatie die de ANS bood, maar we zullen zien hoe dit uitpakt.
Wat kunnen we in 2015 verwachten?
Laten we eens kijken naar vorig jaar om te zien wat we in 2015 kunnen verwachten. 2014 was nogal een turbulent jaar voor informatiebeveiliging in het algemeen. Er waren opvallende datalekken, zoals bij JP Morgan Chase, Home Depot en Sony. Er bleken essentiële kwetsbaarheden in opensource-software te zitten, zoals Heartbleed in OpenSSL en Shellshock in Bash. Windows XP en Java 6 werden niet langer ondersteund. En dan was er nog de toename van het aantal zero-day-kwetsbaarheden in software van Microsoft en Adobe, dat in elke maand in 2015 met een patch voor Flash kwam.
Zero-days blijven we ook zien in 2015. Nu echter niet van een aanvaller, maar van het beveiligingsonderzoeksteam. Google onderzoekt in zijn Project Zero kwetsbaarheden in veelgebruikte software en publiceert de resultaten op een transparante manier. Bedrijven hebben negentig dagen om de issues aan te pakken voordat de informatie over de kwetsbaarheden openbaar gemaakt wordt. James Forshaw van het Project Zero-team ontdekte een lokale privilege-escalation-kwetsbaarheid in Windows 8.1 op 30 september en maakte dit bekend op 29 december. Dit deed de discussie over het voordeel van zulke openbaarmakingen weer oplaaien. De kwetsbaarheid geldt alleen voor lokale escalatie. Dat betekent dat een aanvaller al toegang tot het doelsysteem moet hebben om er gebruik van te kunnen maken. Maar is hij eenmaal op het systeem, dan kan de aanvaller zichzelf beheerder maken en daarmee volledige controle over het doelsysteem krijgen. Zegt Stuxnet je nog iets? De aanvaller wist daar de malware te voorzien van twee lokale zero-days, wat hem in staat stelde beheerder te worden en volledige controle te nemen. Deze kwetsbaarheid is dus vergelijkbaar. Op zichzelf is deze zwakke plek niet iets om je zorgen over te maken, maar in combinatie met andere kwetsbaarheden of toegang tot gestolen gegevens zeker waardevol.
Wolfgang Kandek – CTO, Qualys, Inc.