De afgelopen weken zijn een aantal ernstige kwetsbaarheden in Microsoft Exchange bekend geworden. Hackers maken actief misbruik van deze kwetsbaarheden. Mogelijk heeft uw organisatie ook servers die kwetsbaar waren, en was het nodig om met spoed patches te installeren. Vraagt u zich af hoe u in de toekomst beter voorbereid kan zijn op dit soort aanvallen? In deze blog geef ik enkele tips voor het voorbereiden op de ontdekking van een zero-day kwetsbaarheid. Het draait allemaal om wendbaarheid en prioriteit geven aan patchen.
Wat is een zero-day?
Een zero-day is een kwetsbaarheid in software die nog niet bekend is bij de maker van de software, maar al wel wordt misbruikt. Omdat de kwetsbaarheid nog niet bekend is het heel lastig om je hiertegen te verdedigen. De hierboven genoemde kwetsbaarheden in Microsoft Exchange servers zijn een goed voorbeeld van een zero-day kwetsbaarheid die ook actief wordt misbruikt. Dit voorbeeld zal ook zeker niet de laatste keer zijn dat een zero-day kwetsbaarheid actief misbruikt wordt.
Microsoft was snel met het uitbrengen van patches voor deze kwetsbaarheden, maar een week na publicatie van deze patches was volgens het Nationaal Cyber Security Centrum nog 40% van de Nederlandse Microsoft Exchange servers kwetsbaar. Waarschijnlijk zijn veel organisaties niet goed op de hoogte van de ernst van deze kwetsbaarheden, of zijn zij niet goed voorbereid om in gevallen van nood met spoed de uitgebrachte patches te installeren.
Blijf op de hoogte
Om überhaupt te kunnen handelen nadat een zero-day ontdekt wordt is het noodzaak om kanalen te hebben om informatie te ontvangen over dit soort kwetsbaarheden. In sommige sectoren is het gebruikelijk om informatie te delen via Computer Emergency Response Teams (CERTs). Is er zo’n netwerk om informatie te delen voor uw organisatie? Sluit daar dan vooral op aan! Wanneer uw organisatie IT heeft uitbesteed, dan is het belangrijk om er zeker van te zijn dat de leverancier goed op de hoogte is van de laatste kwetsbaarheden, en u hierover ook tijdig informeert.
Pas patches toe
Nadat een zero-day publiek geworden is, komen fabrikanten van software vaak snel met patches. Het is dan ook noodzaak om deze patches zo snel mogelijk te installeren, omdat de kwetsbaarheden bijna altijd al actief worden misbruikt. Het past dan ook niet goed om te wachten met het installeren van patches totdat het normale patchproces doorlopen wordt. Door nu al een plan klaar te hebben en een proces in te richten om dit soort noodpatches te installeren zorgt u ervoor dat de kans op misbruik van een kwetsbaarheid geminimaliseerd wordt. Met name in organisaties waar downtime grote gevolgen met zich meebrengt is het extra belangrijk om vooraf al een proces in te richten voor toepassen van patches buiten de daarvoor gebruikelijke tijden.
Controleer of servers getroffen zijn
Vaak worden na een zero-day zogenaamde Indicators of Compromise (IoC) gepubliceerd door de fabrikant van de getroffen software of door beveiligingsonderzoekers. Met deze IoC’s is het mogelijk om na te gaan of een systeem door de zero-day getroffen is en besmet is geraakt. Hackers laten vaak bestanden als backdoor achter, om op een later moment servers alsnog over te kunnen nemen, ook nadat de patches voor de ontdekte zero-day al zijn toegepast. Ook voor het achteraf onderzoeken van eventueel misbruik van kwetsbaarheden is het goed om al vooraf een proces in te regelen, zodat niet in het hectische moment van reageren op een kwetsbaarheid bewijsmateriaal vernietigd wordt.
Blijvende dreiging
Zoals eerder al geschreven is het onvermijdelijk dat kwetsbaarheden worden ontdekt in software. Door vooraf al een plan klaar te hebben liggen wordt het aanpakken van zo’n net ontdekte kwetsbaarheid geen paniekvoetbal. En met het maken van zo’n plan ligt u bijna al weer een stap voor op kwaadwillenden die nog niet publieke kwetsbaarheden misbruiken.
