Patch-distribution gør det for let at udnytte sårbarheder

Den nuværende metode til opdatering af software gør det for let at finde frem til måder at udnytte sårbarheder, advarer forskere.

Når Microsoft, Oracle, Cisco og mange andre it-leverandører udsender sikkerhedsopdateringer til deres software, så åbner de et samtidig et vindue for hackere.

Tidsrummet fra en patch først bliver tilgængelig, og til alle brugere har fået mulighed for at hente og installere den, giver hackere rigeligt tid til at bruge værktøjer til reverse engineering og finde frem til måder at udnytte de sårbarheder, opdateringen retter.

Det advarer tre amerikanske forskere fra Carnegie Mellon, UC Berkeley og University of Pittsburg i en ny rapport.

De har arbejdet ud fra den opdateringsmodel, som i dag benyttes af blandt andet Microsoft til distribution af sikkerhedsopdateringer.

Den betyder, at en hacker vil have adgang til både den originale og den opdaterede version af programmet. Det gør det forholdsvis let at finde frem til de sårbarheder, som rettes.

Ved at analysere forskellen på de to versioner har forskerne demonstreret, at det er muligt automatisk at finde frem til et exploit i løbet af få sekunder.

Det betyder, at hackere kunne have et fungerende exploit i omløb, mens der stadig er et stort antal systemer, der er i færd med at blive opdateret.

I dag foregår udnyttelsen af sårbarheder typisk ved, at der først frigives et simpelt exploit, der blot anviser, hvor sårbarheden findes, og hvordan den kan udnyttes. Sådan et exploit kan derefter blive raffineret og anvendt enten direkte i ondsindet kode eller inkluderet i de værktøjer, der er udbredte til at konstruere ondsindede programmer.

Ved at kunne finde frem til et exploit nærmest omgående, vil det i teorien være muligt at ramme et langt større antal systemer, da man vil kunne overhale distributionen af de automatiske opdateringer.

»Den umiddelbare konsekvens er, at de nuværende metoder til distribution af opdateringer er usikre og bør ændres, så de kan beskytte mod automatisk exploit-analyse,« skriver forskerne i rapporten.

De foreslår blandt andet, at softwareleverandørerne kan kryptere hver enkelt opdatering og først distribuere nøglen, når alle brugere har hentet opdateringen. Da selve nøglen fylder eksempelvis blot 128 bit vil den kunne distribueres hurtigt til et stort antal systemer.

Svagheden ved denne metode er imidlertid, at systemer, der ikke er online hele tiden, stadig vil være sårbare.

En anden metode kan være at benytte forskellige teknikker til at sløre indholdet af en opdatering for at gøre analysen sværere for hackerne. Det har dog den svaghed, at metoden kun fungerer, indtil hackerne finder en måde at se gennem sløringen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere