Malwaremakers misbruiken Patch Tuesday na einde XP


29 okt. 2013 - Webwereld

Malwaremakers kunnen straks XP-exploits makkelijk bouwen op basis van patches die op Patch Tuesday na april uitkomen. Microsoft waarschuwt dat het toch écht tijd wordt Windows XP te verlaten.

Een lucratieve periode dient zich aan voor malwaremakers na het officiële einde van Windows XP in april. Ze hoeven niet meer hard te zoeken naar nieuwe kwetsbaarheden, want die wordt ze aangereikt met patches voor nog wel ondersteunde platforms. Een kwetsbaarheid in bijvoorbeeld Windows 7 doet zich in veel gevallen ook voor in Windows XP.

“Malwaremakers gaan na april kijken naar de kwetsbaarheden die worden gepatcht in latere versies van Windows”, vertelt directeur Tim Rains van Microsofts Trustworthy Computing. “De gaten die daarin worden opgelost, komen ook vaak voor in Windows XP.” Tussen 2011 en 2013 kwam er 30 keer een patch uit die naast bijvoorbeeld Windows 7 en 8, hetzelfde lek dichtte in Windows XP.

Dinsdag gehaktdag

Patch Tuesday wordt daarom vanaf mei een goudmijn voor malwareschrijvers. Die kunnen met de patch in de hand op zoek gaan naar dezelfde kwetsbaarheid in Windows XP, dat niet meer ondersteund wordt. Ondanks dat blijven er gebruikers stug doorwerken met het populaire besturingssysteem en die groep wordt op dat moment een wel een zeer aanlokkelijk doelwit voor cybergeboefte.

Rains benadrukt dan ook dat antivirusbescherming niet dan langer afdoende is. “Als de operationele security van het platform niet afdoende is, helpt antivirussoftware ook niet meer. Het is alsof je een huis op drijfzand bouwt. Het huis is stevig genoeg, maar met het fundament is het goed mis”, licht Rains toe. Reken er maar op dat malwaremakers Patch Tuesday gaan zien als gehaktdag en flink aan de bak gaan op het moment dat de patches verschijnen.

Oude platforms meer geïnfecteerd

Onderstaande grafiek is samengesteld uit gegevens van hoe vaak malware van computers is verwijderd via diverse Microsoft-tools als de Malcious Software Removal Tool en Security Essentials. 
De grafiek is genormaliseerd naar 1000 pc’s voor elk platform en laat zien dat infecties veel meer voorkomen op oude platforms. “Als je kijkt naar hoe vaak consumenten malware tegenkomen, zien we dat dit voor ongeveer elk platform gelijk is; altijd tussen de 12 en 19 procent”, zegt Rains.

Gegevens over het aantal infecties per platform. 


Bron: Microsoft Trustworthy Computing

Dat het aantal keer dat malware wordt tegengekomen lager is bij Windows 8 ligt waarschijnlijk aan de manier waarop het OS wordt ingezet, vermoedt Microsoft. “Het heeft deels te maken met computerhygiëne, dus hoe je het systeem gebruikt en deels met bijvoorbeeld surfgedrag. Veel gebruikers zullen apps inzetten en komen daardoor andere dingen tegen dan mensen die een browser gebruiken.”

Bij Microsoft, Kaspersky, Symantec en F-Secure horen we altijd hetzelfde verhaal: drive-by-malware is groot. Er zit een levendige industrie achter en nieuwe zerodays bedreigen ook mensen die wel netjes up-to-date blijven. Dat is waarschijnlijk waarom in de IT-wereld de aandacht zo sterk uitgaat naar deze kant van de malwarewereld.

Maar consumenten en zelfs sommige MKB’s zijn zich minder bewust van de gevaren en blijven met verouderde plug-ins draaien op zelfs verouderde platforms. Deze gebruikers vormen een makkelijke prooi voor cybercriminelen die in de regel niet op zoek zijn naar computers in een luxe bedrijfsomgeving, maar liever op de verouderde massa waar malware niet wordt opgemerkt en systemen lang kunnen blijven bijdragen aan bijvoorbeeld klikfraude omdat ze onderdeel zijn van een botnet.

Retro is de toekomst

Dat oude software en platforms het nog altijd goed doen – en niet alleen in Azië – blijkt uit cijfers van old school-aanvallen in Nederland. Autorun-aanvallen nemen al jaren ietsjes af omdat ze niet werken op nieuwere platforms. Maar uit het feit dat cybercriminelen ze nog wel afvuren, blijkt dat ze nog altijd een vatbare markt hebben. In Nederland wordt autorun-malware zelfs nog vaker gedetecteerd dan iFrame-aanvallen die worden gebruikt voor drive-by downloads bij gecorrumpeerde banners of websites.

Uit de gegevens van Microsoft blijkt dat het aantal aanvallen via autorun-malware afneemt, maar nog steeds een van de opvallendste spelers is in Nederland.



Bron: Microsoft Trustworthy Computing

Oude platforms zijn een bron van vermaak voor malwaremakers en ook oude trucs, zoals de autorun-malware, zijn nog altijd de betere retroklassiekers. Vorige week schreef Symantec nog dat bedrijven niet het meest op de korrel worden genomen met social engineering via bijvoorbeeld pdf’jes of andere documenten, maar via de ouderwetse exe-bestanden in e-mailbijlagen.

Bron: http://computerworld.nl/beveiliging/79853-malwaremakers-misbruiken-patch-tuesday-na-einde-xp