Lost in the Noise

Adobe heeft een patch uitgebracht voor Flash Player waarbij zes kritieke gaten worden gedicht. Waaronder een zero-day kwetsbaarheid waarmee Windows-, Mac- of Linuxmachines gekaapt konden worden.

Op de laatste patchdinsdag van 2009 heeft Microsoft zes Security Bulletins uitgebracht die in totaal 12 beveiligingslekken in Windows, Office en Internet Explorer verhelpen, waaronder een recent ontdekt zero-day lek. Internet Explorer  en dan alle ondersteunde versies van 5 t/m 8, werd met vijf kwetsbaarheden het zwaarst getroffen. De lekken werden allemaal door externe beveiligingsonderzoekers ontdekt, zo blijkt uit de bedankjes in het Security Bulletin. Ook twee potentiële worm-lekken in de Microsoft Windows Internet Authentication Service behoren tot het verleden.

Prioriteit
Verder zijn kwetsbaarheden in WordPad en Office Text Converters, Active Directory Federation Services en Local Security Authority Subsystem Service verholpen. Systeembeheerders moeten volgens Microsoft als eerste de MS09-072 update uitrollen, aangezien daar al een exploit voor in omloop is. Daarnaast verwacht de softwaregigant dat er binnen 30 dagen exploitcode voor het lek in de Active Directory Federation Services verschijnt (MS09-070).

Updaten kan via de Automatische Update functie, Windows Update of de Security Bulletins. Vorig jaar eindigde Microsoft het jaar nog met een noodpatch voor Internet Explorer. In 2008 verschenen er 78 Security Bulletins, dit jaar blijft de teller vooralsnog op 74 steken.

Virusscanners falen genadeloos in de detectie van malware, 32% van de computers met bijgewerkte anti-virus software is namelijk toch besmet, zo blijkt uit onderzoek onder 100.000 systemen. De computers werden voor de “second opinion” met het programma Hitman Pro 3 gescand. “Het onderzoek toont aan dat antivirusprogramma’s de internetcriminelen niet kunnen bijhouden”, aldus Mark Loman, bedenker van Hitman en CEO van Surfright. “Ondanks al hun inspanningen hebben leveranciers van antivirusprogramma’s pas dagen later, soms weken, een oplossing tegen een nieuwe malware variant.”

Van de ruim 107.000 computergebruikers die Hitman Pro 3 in de periode van 10 oktober tot 4 december van dit jaar voor de eerste keer gebruikten, waren er bijna 79.000 gebruikers met een up-to-date antivirusprogramma. Daarvan was 32% toch besmet met malware. Van de ruim 28.000 gebruikers zonder up-to-date virusscanner, was 46% geïnfecteerd geraakt.

Windows
Niet alleen het aantal, ook het soort besmette systemen bracht Surfright in kaart. Opmerkelijk genoeg zijn er meer Windows 7 machines met malware besmet dan Vista systemen met Service Pack 2. Ook het aantal Vista systemen met SP1 ligt lager dan het percentage Windows 7 besmettingen, dat 33% is. Van alle Windows XP RTM installaties is 52% met malware geïnfecteerd, terwijl het percentage infecties bij Service Pack 3 systemen 34% bedraagt. Daarmee komt de “naakte” versie van XP het slechtst uit de bus. Het oudere Windows 2000 SP4 heeft met 32% met veel minder infecties te maken.

“De percentages laten zien dat het installeren van het laatste Service Pack een security voordeel heeft.” Welke malware het meest voorkomt is lastig te zeggen, aangezien de nummer één “generieke malware” is, een verzameling van allerlei soorten malware is. Op de tweede plaats staan nep-virusscanners.

Test
De test van Surfright heeft niet in een laboratorium plaatsgevonden, maar op een “live” populatie met computers die echt geïnfecteerd zijn. Dat geeft volgens de onderzoekers een realistische weergave van de werking van een virusscanner, omdat de malware informatie van de besmette machines afkomstig is. “Dit betekent dat de statistieken conform de richtlijnen van AMTSO zijn.” De Anti-Malware Testing Standards Organization (AMTSO) is bezig met het opstellen van regels waar tests van virusscanners aan moeten voldoen. In het orgaan zijn zowel anti-virusbedrijven, alsmede testers en academici betrokken. Dit moet tot betere tests leiden. In dit geval heeft Surfright de eigen test aan AMTSO voorgelegd, maar die heeft nog niet geoordeeld of die ook aan de gestelde richtlijnen voldoet.

Daarnaast merkt de virusbestrijder op dat als Hitman Pro 3 informatie over de virusscanner op een besmet systeem verzamelt, dit niet betekent dat de geinstalleerde virusscanner niet van de malware op de hoogte is. “Het kan ook betekenen dat dit anti-virus programma technisch niet in staat was om het geïnfecteerde bestand te lezen, verwijderen of ontsmetten vanwege effectieve rootkit of hooking technieken.”

Second opinion
Welke virusscanners het vaakst falen wil Surfright niet zeggen, maar het merkt op dat het vaker gratis virusscanners tegenkomt dan producten van commerciële aanbieders. Toch was zelfs bij de “beste” bekende anti-virusaanbieder nog steeds 15% besmet, terwijl bij de slechtst presterende virusscanner 39% van de gebruikers malware op het systeem heeft staan. 8% van alle computers gebruikt de software van deze aanbieder. Het onderzoek is dan ook vooral bedoeld om consumenten te laten zien dat een virusscanner geen 100% bescherming biedt. “Het is niet voldoende om aan te nemen dat je beschermd bent als je een antivirusprogramma op je PC hebt geïnstalleerd. Scan de PC regelmatig met een product van een andere leverancier voor een second opinion”, zo luidt de conclusie.

Daarnaast adviseert men om het abonnement van het antivirusprogramma niet automatisch te verlengen als het afloopt. “In de meeste gevallen is het beter om te upgraden naar de nieuwste versie, omdat de nieuwste versies in het algemeen beter in staat zijn de nieuwste bedreigingen te weerstaan.” Als laatste worden consumenten gewaarschuwd dat leveranciers van antivirusprogramma’s niet altijd in staat zijn om geavanceerde dreigingen volledig te verwijderen.

Bij de meeste aanvallen op bedrijven zijn keyloggers en spyware betrokken, maar hackers gebruiken ook steeds vaker “RAM scrapers”, een redelijke nieuwe vorm van malware ontworpen om het werkgeheugen van een systeem leeg te zuigen. Het gaat dan vooral om het geheugen van Point-of-Sale servers bij winkels, retailers en hotels, aldus Verizon in het nieuwste Data Breach Investigations Supplemental Report. In totaal passeren 15 van de meest voorkomende aanvallen de revue.

Door het toegenomen bewustzijn over beveiligingsproblemen en wettelijke regelgeving, worden veel bedrijven gedwongen om het bewaren van gegevens te beperken of te versleutelen zodra de data in ruste is of verstuurd wordt. RAM-schrapers omzeilen zulke maatregelen en kapen de gegevens in het geheugen waar het ontsleuteld wordt om te kunnen lezen en verwerken. De malware is volgens Verizon te herkennen aan onverwacht gedrag of prestaties, de aanwezigheid van grote en bijzondere bestanden, plotselinge veranderingen in de vrije harde schijfruimte en uitgeschakelde anti-virus software.

Meldplicht
Toch zitten ook malware auteurs niet stil. Tijdens een recent incident ontdekte onderzoekers een RAM-schraper die alleen naar kaartgegevens zocht, in plaats van complete geheugendumps te maken. Dit maakt zowel de operatie als het gebruik van de schijfruimte een stuk efficiënter. Verizon stelt dan ook dat niet alles te detecteren en te voorkomen is. Wel pleit het voor het vrijwillig melden van incidenten, waarbij het getroffen bedrijf dit anoniem kan doen, zonder de klanten te waarschuwen. Dit zou uiteindelijk de “community” ten goede komen, aangezien waarschijnlijk veel aanvallen nooit gerapporteerd worden.