Exploit onthult de duistere kant van automatische updates

Een recente studie van webbrowserinstallaties toonde aan dat veel te weinig gegevens up-to-date zijn met de nieuwste beveiligingspatches. En browsers zijn niet alleen; zoals mijn lieve oude moeder kan getuigen, kan het moeilijk zijn om de OS en de toepassingspatches bij te houden, terwijl je alleen je computer voor je werk wilt gebruiken. Het zou geen verrassing moeten zijn dat veel pc's kwetsbaar zijn voor beveiligingslekken die anders voorkomen zouden kunnen worden.

Firefox kreeg de hoogste score in het browseronderzoek vanwege de automatische updatefunctie, die gebruikers op de hoogte brengt van de nieuwste patches zodra ze weer beschikbaar. Een toenemend aantal leveranciers gebruikt een vergelijkbare aanpak en controleert automatisch op updates telkens wanneer u hun software gebruikt. Maar nu blijkt dat automatische updates niet altijd alles zijn waar ze gek op zijn. Een nieuwe exploit genaamd Evilgrade kan profiteren van automatische updaters om kwaadwillige code op nietsvermoedende systemen te installeren, en uw computers kunnen kwetsbaarder zijn dan u denkt.

Evilgrade is ontworpen als een modulair raamwerk dat plug-ins accepteert die aanvallen kunnen aanvallen op een verscheidenheid aan softwarepakketten die hun eigen auto-update-procedures gebruiken. Op dit moment ondersteunde doelen zijn oa de Java-browserplug-in, WinZip, Winamp, OpenOffice.org, de LinkedIn-werkbalk, iTunes en Mac OS X. In de komende maanden zullen waarschijnlijk nog meer plug-ins worden ontwikkeld.

[Meer lezen: de beste NAS-boxen voor mediastreaming en back-up]

De exploit werkt door zich voor te doen als een echte upgradesite en kwaadaardige code te verzenden wanneer u software verwachtte een patch. De code kan van alles zijn, van een Trojaans paard tot een keylogger die wachtwoorden en gebruikersaccounts onderschept.

Gebruik maken van de exploit is niet zo eenvoudig als het drukken op een knop. Het vereist een reeds bestaande "man in het midden" -voorwaarde, waarin een aanvaller een nep-webhost opzet die verkeer tussen een client en een echte server kan onderscheppen. Maar hoewel dat normaal gesproken behoorlijk lastig te realiseren is, laat de onlangs bekendgemaakte veiligheidslek van de DNS vele sites wijd open.

Dus wat te doen met een beveiligingsfout die gebruik maakt van het systeem dat bedoeld is om beveiligingsfouten te repareren? Ten eerste moet u er zeker voor zorgen dat u de DNS-fout op uw site hebt geregeld. Dat zal de aanvalsroute van Evilgrade blokkeren.

Lees vervolgens de documentatie voor Evilgrade en let op welke software mogelijk in uw netwerk wordt gebruikt die mogelijk kwetsbaar is voor misbruik. Als de software belangrijk genoeg is voor uw organisatie, neem dan contact op met de leverancier of ontwikkelaars en spreek uw zorgen uit over de beveiliging van de automatische updatefunctie.

Tot slot, als beveiliging een hoge prioriteit heeft binnen uw organisatie, wilt u misschien om te overwegen automatische updates voor geselecteerde software uit te schakelen door hun auto-update-sites in uw firewallregels te blokkeren. De meeste software die automatische updates ondersteunt, biedt u ook de mogelijkheid om patches handmatig te downloaden en te installeren (hoewel de individuele patchbestanden mogelijk moeilijker te vinden zijn). Vooralsnog is het risico dat door Evilgrade wordt opgelegd waarschijnlijk minimaal, maar laat u niet wiegen in zelfgenoegzaamheid. Automatische software-updates kunnen handig zijn, maar ze nemen ook een van de belangrijkste pc-beveiligingsfuncties uit de handen van de gebruiker. Dat kan gemakkelijk leiden tot een vals gevoel van veiligheid; en wanneer je je hoede laat zakken, zo krijgen ze je.