Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen of links naar web pagina s met besmette content, zien we dat onze systemen op meerdere plekken worden aangevallen, waarbij kwetsbaarheden in verschillende applicaties worden misbruikt om toegang te krijgen tot onze computersystemen en data. Om beter weerstand te kunnen bieden tegen deze aanvallen, moeten we ervoor zorgen dat we zo immuun mogelijk zijn tegen deze kwetsbaarheden. Dit artikel beschrijft hoe traditionele security technologieën tekort schieten bij tegen onbekende ( zero-day exploits ) en hoe met gebruik van de gratis beschikbare Microsoft EMET het risico op misbruik van kwetsbaarheden door bekende en onbekende verkleind kan worden. De meeste organisaties vertrouwen nog steeds op van firewall, antivirus en het af en toe patchen van systemen met security s om buiten de deur te houden. Hoewel antivirus producten weliswaar zijn geëvolueerd in de loop der jaren, zijn ze nog steeds grotendeels gebaseerd op detectie en tegenhouden van bekende kwaadaardige. Het n van systemen dicht weliswaar kwetsbaarheden structureel, maar kan beschikbaarheidsproblemen met zich mee brengen, waardoor systemen in de praktijk meestal niet onmiddellijk worden geüpdatet wanneer deze s beschikbaar zijn. Een beperkt aantal organisaties maakt gebruik van Intrusion Detectie systemen (IDS), waarmee het risico op misbruik van kwetsbaarheden nog wat verder kan worden teruggedrongen. Net als traditionele antivirus, werken traditionele IDS systemen meestal ook met signatures, waarmee netwerkverkeer wordt gescand op bekende methodes van misbruik van kwetsbaarheden. Laten we de problematiek van tegen door traditionele beveiligingsproducten (antivirus, s en IDS) in een sterk vereenvoudigde analyse eens verhelderen met een voorbeeld. In dit voorbeeld gaan we uit van een buffer overflow in een webservice. De kan worden uitgebuit door het opvragen van een specifiek gevormde URL, waarmee content kan worden geüpload naar de webserver. Hiermee kan de aanvaller willekeurige comando s kan uitvoeren op de webserver. In dit voorbeeld wordt ervan uitgegaan dat misbruik onmiddellijk gedetecteerd wordt. In de praktijk is dit meestal niet zo en kan er geruime tijd overheen gaan tussen het moment van eerste misbruik en eerste detectie van misbruik, zoals de OpenSSL Heart Bleed bug onlangs nog heeft aangetoond.
De in de loop van de tijd per traditionele slaag (antivirus, IDS en s) is weergegeven in onderstaande figuur. Window of vulnerability (Interval van ) 1e 2e 3e anti-virus host based IDPS IDS rule IDS rule Niet beschermd en Bescherming tegen specifieke Tijdelijke en Volledige Bescherming en Op het moment dat de bekend wordt, zullen hackers proberen hiervan misbruik te maken. De ( Window of vulnerability ) is aangegeven in rood en begint op het moment dat de eerste (lijn 1 e ) dat misbruik maakt van deze, beschikbaar komt. 1. Antivirus : Antivirus leveranciers hebben tijd nodig om een van hun signature database op te leveren waarmee de specifieke, die (in dit voorbeeld) misbruik maakt van de van de webservice, kan worden geblokkeerd. Na van antivirus op de webserver, kan een hacker de specifieke niet meer uploaden naar de kwetsbare webserver. Een hacker kan echter wel nieuwe maken (met een andere signature, aangegeven met de lijn 2 e ). Een ongepachte webserver blijft kwetsbaar voor deze nieuwe totdat een nieuwe antivirus signature database hiertegen beschermd, enzovoort. Conclusie: antivirus detecteert de toepassing van misbruik van een (al dan niet gepachte) en voorkomt misbruik daarvan. 2. IDS : Ook leveranciers van IDS systemen hebben tijd nodig om een van hun signature databae op te leveren. Tot het moment van n van de IDS signature database, blijft de van misbruik van buffer overflow via de specifieke URL aanwezig. Na van de IDS signature database, wordt een webservice verzoek met de specifiek
gevormde URL geblokkeerd zodat daarmee geen content meer kan worden geüpload. Een hacker kan echter wel op zoek gaan naar een ander specifiek gevormde URL om op die manier misbruik te maken van een bufferflow van de webserver (aangegeven met de lijn 3 e ) totdat een nieuwe IDS signature database hiertegen beschermd, enzovoort. Conclusie: (signature based) IDS detecteert (en eventueel blokkeert) de methode van misbruik van een (al dan niet gepachte) en voorkomt (de meeste) toepassingen van misbruik daarvan. 3. Software : Eveneens geldt voor de leverancier of ontwikkelaar van de webservice dat deze (meestal langere) tijd nodig heeft om zijn webservice te patchen tegen deze vorm van buffer overflow. Tot het moment van installatie van de patch blijft het systeem kwetsbaar voor misbruik. Anders dan de andere twee slagen biedt het patchen van de webservice een structurele oplossing. Deze specifieke is en blijft daarmee verholpen. Conclusie: s voorkomen de mogelijkheid van misbruik van een door ervoor te zorgen dat de niet meer aanwezig is. Voor alle drie oplossingen geldt dat, zelfs als ze gecombineerd worden toegepast, een Window of vulnerability blijft bestaan vanaf het moment dat wordt toegepast tot het moment dat de infrastructuur er (al dan niet tijdelijk) tegen beschermd is. Een in theorie ideale oplossing is om te gebruiken dat het gedrag van content analyseert en deze blokkeert indien het gedrag als ongewenst wordt beschouwd. Doordat deze niet gebaseerd is op signatures, kent ze het Window of vulnerability probleem niet en kan ze bekende en onbekende tegenhouden; m.a.w. ze voorkomt de mogelijkheid van misbruik van een willekeurige. Deze is in het algemeen erg prijzig en heeft doorgaans grote impact op bestaande applicaties en infrastructuur, waardoor de erg veel beheerinspanning vraagt. Niet kwaadaardige content is doorgaans niet getest voor gebruik met deze waardoor deze content (onbedoeld) vaak gedragskenmerken vertoont die door de beveiligings als ongewenst wordt beschouwd. Het eindresultaat is dat niet-kwaadaardige content veelvuldig wordt geblokkeerd en de beveiligings (ten onrechte!) wordt beschuldigd van het genereren van teveel valse alarmen. Een goede tussenoplossing kan de toepassing van Microsoft EMET zijn. EMET kan de Window of Vulnerability van veel kwaadaardige sluiten, door te anticiperen op de meest gebruikte aanvalstechnieken die hackers gebruiken om kwetsbaarheden in systemen uit te buiten, zoals buffer overflows. Hierdoor kan EMET bieden tegen de meeste nog onbekende en ongedetecteerde. EMET moet echter niet worden gezien als een vervanging van bestaande beveiligingsproducten, maar als aanvulling op bestaande security architectuur ( defense in depth ). EMET staat voor Enhanced Mitigation Experience Toolkit en mitigation is precies wat EMET feitelijk doet; het beperkt het risico van (bekende en onbekende).
Het biedt echter geen tegen overige aanvalstechnieken. Ook is de van de ondersteunde aanvalstechnieken (nog) niet perfect gebleken (zie http://labs.bromium.com/2014/02/24/bypassing-emet-4-1/). Als de behoefte om in te breken voor een aanvaller maar groot genoeg is, dan zal hijwaarschijnlijk in staat zijn om door de EMET slaag heen te dringen of hij zal aanvalstechnieken gebruiken die niet beschermd worden door EMET. Daardoor blijven andere security maatregelen zoals antivirus en toepassen van s noodzakelijk. EMET biedt echter toegevoegde waarde in de tegen veel voorkomende zero-day exploits in veel gebruikte kwetsbare producten als Internet Explorer, Java, Acrobat Reader en Flash en wordt in de maandelijkse Security Bulletins van Microsoft steeds vaker genoemd als sfactor van nieuw ontdekte kwetsbaarheden. Toepassing van EMET kan impact hebben op bestaande applicaties. EMET is echter eenvoudig en flexibel in gebruik: per applicatie (zelfs per proces) kan aanvalstechnieken geactiveerd of gedeactiveerd worden. Alle applicaties in de infrastructuur zullen dus op toepassing van EMET getest moeten worden. Ook voor ontwikkelaars is het aan te raden om ontwikkelde te testen bij gebruik van EMET. Microsoft biedt standaard de mogelijkheid en ondersteuning om EMET voor diverse Microsoft applicaties te activeren. Voor overige applicaties kan (op eigen risico) per aanvalstechniek worden geactiveerd.
Steeds meer informatiebeveiligingsspecialisten bevelen EMET aan waardoor steeds meer applicaties zichzelf EMET compatibel zullen gaan verklaren. Het is goed voor te stellen dat EMET technologie op enig moment in een volgende versie van Windows geïntegreerd zal gaan worden. Versie 5.0 van EMET is zojuist (31 juli 2014) uitgebracht en is gratis beschikbaar voor zowel consumenten als bedrijven (http://www.microsoft.com/en-us/download/details.aspx?id=43714). Het is een endpoint security product dat op een werkstation (vanaf Windows Vista) of server (vanaf Windows 2003) met.net Framework geïnstalleerd kan worden.