Uit een analyse van zero-day-aanvallen gericht op Windowssystemen sinds 2015 blijkt dat de meeste van dergelijke aanvallen niet werken tegen de meest up-to-date-versie van Windows, wat het belang van tijdig updaten nog eens onderstreept.
60 procent van alle exploits gericht tegen zero-day-lekken in Windows 10 werkt ten tijde van lancering niet tegen de nieuwste versie van het OS. Dat blijkt uit onderzoek van Matt Miller, een beveiligingsonderzoeker bij Microsofts eigen Security and Response Center. Miller analyseerde alle exploits sinds 2015 en constateerde dat het merendeel bij de ontdekking al niet meer werkt op Windows-systemen met de recentste updates.
Al opgelost
De belangrijkste reden daarvoor is dat Microsoft de lekken doorgaans zelf al ontdekt en gemitigeerd heeft. In andere gevallen is de werking van het OS veranderd op een manier die de zero-day ondoeltreffend maakt. In 70 procent van de gevallen gaat het volgens het onderzoek om de uitbuiting van een bug die te maken heeft met geheugenmanagement.
Speaking of zero day trends… since 2015:
Q1: How many zero day exploits for Windows CVEs worked against the latest version of Windows at that time?
A1: ~40%Q2: If the exploit did not work against the latest version, why not?
A2: ~66% did not work due to exploit mitigations pic.twitter.com/7bjMEULzaD— Matt Miller (@epakskape) July 23, 2019
De bevindingen tonen het belang van updates aan. Wie er in slaagt een beleid uit te tekenen waarbij updates snel worden doorgevoerd, haalt het risico op een succesvolle aanval via een Windows-lek al met 60 procent naar omlaag.
Geen fictie
De bevindingen van Miller stroken met de realiteit. De meeste high profile-aanvallen van de laatste jaren viseerden oudere Windows-versies, die ondanks hun leeftijd en gebrekkige beveiligingsupdates erg talrijk zijn, niet in het minst in bedrijfsomgevingen. Denk maar aan de malware die vandaag nog gebruikt maakt van de EternalBlue-exploit, die al lang gepatcht werd. Zelfs toen WannaCry in 2017 de EternalBlue-kwetsbaarheid misbruikte, had Microsoft er via updates al voor gezorgd dat up-to-date-systemen immuun waren.
Het onderzoek toont tevens aan dat updates, hoewel levensbelangrijk, niet genoeg zijn. 40 procent van de lekken werkt immers wél, ondanks de recentste updates. Extra beveiligingsmaatregelen en een strak uitgewerkt toegangsbeleid bieden doorgaans soelaas.
Gerelateerd: Meer dan 1 miljoen pc’s nog altijd kwetsbaar voor WannaCry