Artikel top billede

Sådan bruger hackere opdateringer til deres indbrud

Når Microsoft udsender opdateringer for at lukke et hul, kan hackere "gå baglæns" i opdateringen og dermed finde vejen ind i for eksempel en DNS Server.

Computerworld News Service: Sikkerhedsvirksomheden Qualys har demonstreret, hvordan man kan baglæns analysere (såkaldt 'reverse engineering') en opdatering fra Microsoft for på den baggrund at skabe et denial of service-angreb til en Windows DNS Server.

Virksomhedens proof-of-concept gennemgår de skridt, hackeren kan tage for at angribe Windows, og Qualys understreger vigtigheden af at implementere Microsoft-opdateringerne så hurtigt som muligt efter den månedlige patch-tuesday-udgivelse.

Den opdatering, som Qualys har haft udgangspunkt i, lukker to huller i Windows DNS Server og har fået betegnelsen 'kritisk', som er Microsofts mest alvorlige trusselsvurdering.

Microsoft har sagt, at virksomheden ikke forventede, at sårbarheden ville blive udnyttet af angribere i denne måned, men Qualys proof-of-concept viser, at det meget vel er muligt.

"Vi analyserede opdateringen for at opnå en bedre forståelse af den måde, sårbarheden fungerer på, og vi fandt ud af, at sårbarheden kan udnyttes med få simple skridt," skriver vulnerability security engineer hos Qualy, Bharat Jogi, i et blogindlæg.

"Selv om det proof-of-concept, der er beskrevet nedenfor, demonstrerer et denial-of-service-angreb, så kan hackere med ondt i sinde muligvis være i stand til at få fat i pålidelig kodeeksekvering."

Hvem kommer først?

Qualys brugte et såkaldt 'binary-diffing'-værktøj kaldet TurboDiff til at sammenligne de rettede og de ikke-rettede versioner af de påvirkede DNS Server-filer.

Det hjælper sikkerhedseksperterne med at forstå de forandringer, der er blevet lavet for at kunne rette sårbarhederne ved hjælp af opdateringen.

Problemet er, at det samtidig kan hjælpe hackerne med at lære, hvordan sårbarhederne kan udnyttes og bruges mod systemer, der endnu ikke har modtaget opdateringen.

Da sårbarheden var blevet identificeret, opsatte Qualys to DNS-servere i laboratoriet og fik den ene til at gå ned ved hjælp af ganske få kommandoer.

Eftersom selve eksekveringen af angrebet kun kræver ganske lidt, anbefaler Qualys, at virksomhedens egne kunder gennemfører en scanning med sikkerhedssoftwaren QualysGuard, og at de "implementerer denne sikkerhedsopdatering så hurtigt som muligt."

Opdateringen til Windows DNS Server var en ud af to kritiske opdateringer, som Microsoft har udsendt i denne måned. Den anden rettede syv huller i Internet Explorer.

I forhold til Explorer-opdateringen advarer Microsoft sine kunder om, at der sandsynligvis vil dukke exploits op "inden for de følgende 30 dage".

Sikkerhedsekspert hos Lumension, Paul Henry går endnu videre og siger, at "vi arbejder med en tidsramme på 24 timer (efter offentliggørelsen af opdateringen, red.), hvorefter vi forventer at se brugbar exploit-kode."

Bundlinjen: Dagen efter Patch Tuesday kan hackere angribe ikke-opdaterede systemer, og derfor skal man sørge for at implementere alle sikkerhedsopdateringer så hurtigt som muligt.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere