Securitydreigingen en cybercriminelen lijken steeds meer op te rukken. Gelukkig zijn er legio securitypakketten die kostbare data en onmisbare ict-systemen beschermen. Alleen blijkt dat securitysoftware zelf ook een serieus risico kan zijn.
Kwaadwillende hackers richten hun pijlen tegenwoordig ook op ict-oplossingen die juist zijn bedoeld om hen buiten te houden. Daarbij zijn de aanvallers er niet alleen op uit om die verdedigingslinies te passeren of om de tuin te leiden. De beschermingssoftware kan zelf een manier zijn om binnen te dringen. De verregaande rechten die securitysoftware nodig kan hebben, zijn hier veelal de zwakke schakel.
Dit is geen fantasieverhaal en ook niet het risico van goedkope of minder professionele securitysoftware. Het is de harde realiteit, zo heeft de beruchte security-onderzoeker Tavis Ormandy de afgelopen tijd bewezen. Ormandy, die eerder grote gaten in onder meer Windows en Linux heeft blootgelegd, heeft zijn scherpe blik gericht op securitysoftware. Hij heeft bekende beveiligingspakketten aan de tand gevoeld, daarin ernstige gaten gevonden en die vervolgens gemeld bij de leveranciers.
Bekende namen
Onder de loep liggen onder meer: Kaspersky, Trend Micro, FireEye, Malwarebytes, Avast, Comodo, ESET en AVG. In de software van leverancier Kaspersky heeft de beruchte gatenjager kwetsbaarheden gevonden waarmee malware kan binnendringen in computers waarop die securitysoftware draait. Enkele van deze gaten zijn op afstand te misbruiken en vereisen geen handeling van de eindgebruiker, zoals het klikken op een gemailde malafide bijlage. Misbruik kan al plaatsvinden door bijvoorbeeld een op maat gemaakt netwerkpakket af te vuren op een kwetsbaar systeem.
Verder blijken Avast, Comodo en Malwarebytes fouten te hebben gemaakt in hun eigen aftakkingen van de open source webbrowser Chromium. De daarmee gemaakte beveiligde browsers zijn helemaal niet zo veilig: ze zorgen in bepaalde gevallen zelfs voor verlaagde veiligheid en kunnen aanvallers alle bestanden op het lokale bestandssysteem laten lezen. De getroffen leveranciers hebben elk updates en patches ontwikkeld voor hun producten, nadat ze waren ingelicht over hun fouten.
“Ik denk dat de securitysoftware-industrie weigert het onder ogen te zien”, zegt Ormandy in een tweet van begin dit jaar. Hij stelt daarin ook dat erkenning van het probleem pas zal komen nadat er enkele wormen schade van elk 1 miljard dollar hebben aangericht. Ondertussen zet hij zijn securitywerk voort. Begin maart was het weer raak voor Avast en ESET. Eind februari ging Comodo voor de bijl.
Remote beheer
In het Antivirus-product van leverancier Comodo heeft Ormandy diverse geheugencorruptiebugs gevonden. Daarbij blijkt die software geen gebruik te maken van Windows’ ingebouwde exploitbescherming ASLR (address space layout randomization) die misbruik van geheugencorruptiebugs blokkeert. Ormandy zucht ook over het feit dat de Comodo-software op het diepe system-niveau draait, dat meer rechten heeft dan zelfs beheerdersaccounts.
Ernstiger nog is de ontdekking dat Comodo Internet Security voor remote supportdoeleinden automatisch een VNC-server draait met een makkelijk te raden standaardwachtwoord. Terwijl dit beheermogelijkheden geeft, zijn er ook kwetsbaarheden in securitysoftware gevonden die kwaadwillenden direct eigen software laten draaien op kwetsbare machines. De genoemde kwetsbaarheden zijn slechts een greep uit de lijst recente ontdekkingen door de security-expert van Google.
Overigens is Ormandy geenszins de enige onderzoeker die gaten vindt in securitysoftware. Zo hebben experts van het Duitse bedrijf Blue Frost Security onlangs een bug in sommige appliances van FireEye ontdekt. Aanvallers kunnen hun malware daardoor juist whitelisten voor de door FireEye-appliances beschermde it-omgevingen.
Sophail
De afgelopen maanden aan keuring van securitypakketten door Ormandy volgt op een affaire van enkele jaren terug. De onderzoeker heeft in 2012 ernstige gaten gevonden in de securityproducten van Sophos. De toen courante versie van die software bevatte verschillende kwetsbaarheden, waaronder ook een die op afstand en zonder gebruikersinteractie viel te misbruiken. Aanvallers konden zo systemen met Windows, OS X en Linux aanvallen. De ontdekker heeft niet alleen de kwetsbaarheden gevonden en gemeld, maar vervolgens ook werkende exploitcode gemaakt om de ernst van zijn ontdekking aan te tonen.
Daarbij heeft hij nog openlijk geklaagd over de trage respons van Sophos op zijn melding, maar ook over de kwaliteit van die software. Zo hekelde hij Sophos’ eigen exploitbescherming, die misbruik van geheugenposities (buffer overflows) moet voorkomen. Dit zogeheten BOPS (Buffer Overflow Protection) bleek namelijk niet goed te werken én de in Windows al ingebouwde exploitbescherming (ASLR) uit te schakelen.
De door Ormandy tot ‘Sophail’ gedoopte affaire kreeg nog een staartje. De kwetsbaarheden in Sophos’ software raakten niet alleen pc’s en servers, maar ook security-appliances van Cisco. Die netwerkleverancier gebruikte namelijk Sophos Anti-Virus in bepaalde modellen van zijn Ironport appliances. Deze beveiligingsapparaten waren daardoor op afstand en zonder authenticatie te kapen.
Net zoals bij de later door Ormandy gevonden gaten in securitysoftware van andere leveranciers valt de ict-beveiliging anders in te stellen of geheel uit te schakelen. De bescherming door securityproducten is dus geen gegeven en die software kan zelf juist een risico vormen. Dreigingen bijhouden, installaties testen en de bescherming up-to-date houden, is en blijft het advies.
Googles gatenjagers
Google heeft een aparte groep hackers in dienst die actief op zoek zijn naar gaten in software. Het gaat daarbij niet alleen om de software van hun werkgever, maar om wereldwijd gebruikte programmatuur. Het in juli 2014 officieel onthulde Project Zero-team zoekt naar voorheen onbekende gaten, waarvoor nog geen patches beschikbaar zijn. Dit zijn 0-day kwetsbaarheden, aangezien een leverancier nul dagen heeft tussen het openbaren en het fixen van zo’n softwarefout.
Google legt leveranciers een strenge deadline op van 90 dagen (oorspronkelijk 60) tussen het privé melden en het publiekelijk openbaren van gevonden gaten. Begin vorig jaar zijn Microsoft en Google openlijk in de clinch geraakt over dit openbaren, doordat Microsoft de deadline met twee dagen heeft gemist. Overigens is de deadline nog strikter in het geval van gaten waarvan in de praktijk al misbruik wordt gemaakt: dan vervalt na zeven dagen al de ‘stille periode’.
Tavis Ormandy is een van de bekendere leden van het Project Zero-team. Hij heeft een reeks diepgaande gaten gevonden, die soms op zeer complexe wijze aan het licht zijn gekomen maar die wel te misbruiken blijken. In sommige gevallen heeft hij kwetsbaarheden ontdekt en geopenbaard die al vele jaren aanwezig waren in veelgebruikte software.
Zo heeft de security-onderzoeker in de zomer van 2009 een gat gevonden in Linux dat al sinds 2001 in dat open source besturingssysteem zat. Verder heeft hij in het voorjaar van 2013 een gat geopenbaard dat al sinds 1993 aanwezig was in alle Windows-versies (tot en met 8) en varianten (client en server). Eerder heeft Ormandy de veelgeplaagde Flash- en Reader-software van Adobe en de virtualisatiesoftware van VMware met succes op de korrel genomen.
