De mythes rond zero-days versus de kwaliteit van patches

IT beheerders weten als geen ander dat tijdig patches installeren absoluut nodig is om aanvallen met zero-days voor te zijn. De pers meldt met enige regelmaat dat succesvolle besmettingen en hacks direct te linken zijn aan falend patch beleid. Maar er is reden dat laatste te nuanceren en beter te kijken naar die patches.

Enigma conferentie

Van 1 tot 3 februari is de virtuele Enigma conferentie gehouden. De slogan van dit event was “Security and Privacy Ideas That Matter”. Daarmee is wel duidelijk waar over is gesproken. Zoals gebruikelijk bij dit soort security events is een groot deel van de presentaties direct na afloop online gezet. Daarmee willen de sprekers en organisatie van de Enigma conferentie het verspreiden van de bevindingen stimuleren. Zekers als het gaat om security heeft immers er niemand echt baat bij (buiten de cybercriminelen) als fouten of zwaktes blijven bestaan.

Zero-days het wild

Een perfect voorbeeld van een presentatie die gewoon te raadplegen is (PDF) en voor bijna iedere IT beheerder leerzaam is die van Maddie Stone. Zij werkt aan het Google Project Zero. Hier worden zero-days onderzocht en gevolgd.

Zero-days zijn “kersverse” ontdekkingen die de werking van software, firmware en zelfs hardware negatief kunnen beïnvloeden. Omdat ze zo nieuw zijn worden ze niet door AV programma’s, firewall rules en dergelijke herkend. Iemand die een zero-day inzet heeft daar in de regel alleen maar kwade bedoelingen mee. Zero-days worden bestreden door updates uit te brengen, die worden dan security patches genoemd.

Falende patches

Het team van Stone heeft 24 zero-days die in 2020 zijn ontdekt beter onderzocht. Tot ieders verbazing blijkt dan een kwart daarvan gebaseerd te zijn op oudere reeds bekende zwaktes (“vulnerabilities”). Die zwaktes zouden verholpen moeten zijn met patches. Het blijkt echter dat in deze gevallen de patches het werk niet goed doen. Ze bevatten fouten of ze zijn niet goed geïnstalleerd. Aanvallers schijnen redelijk op de hoogte te zijn van de falende patches. De zero-days die zij lanceren richten zich specifiek daarop.

Impact onderzoek

De impact van falende patches kan iedereen wel raden. Veel minder duidelijk is wat de impact van dit onderzoek zal zijn. Google is niet de eerste de beste partij. Het project Zero is ook allesbehalve een marketing actie. Stone pleit zelf voor meer kwaliteitscontrole. Maar er zullen ook organisaties zijn die de bevindingen voor iets anders willen gebruiken. Wat namelijk is aangetoond is falen van bepaalde producenten. Zij kunnen nu onderbouwd aansprakelijk worden gehouden voor schade.

De mythe van zero-days

Het is trouwens opvallend dat het onderzoek en de presentatie niet op meer belangstelling van de vakpers kan rekenen. Voor IT beheerders, juristen en ook auditors en verzekeraars is dit nuttige informatie. De mythes rond zero-days die bedrijven “zomaar” kunnen raken blijkt deels onterecht omdat de echte oorzaak bij slechte patches ligt.