Sårbarheter i applikationer eller på system är alltid en eftertraktad väg för en angripare för att kunna smitta klienter med skadlig kod.  Sedan en tid tillbaka så har även en annan affärsmodell öppnat sig för de som just utvecklar skadlig kod. Istället för att själva distribuera ut koden för att försöka smitta klienter så säljer de färdiga verktyg som är tillgängliga för alla att köpa och med hjälp av användarinstruktioner så kan vem som skapa sig sin egna variant av en skadlig kod och distribuera ut, detta är känt som MaaS (Malware as a service).

Dessa verktyg uppdateras sedan kontinuerligt när nya sårbarheter upptäcks läggs dessa till för att kunna skapa filer som utnyttjar sårbarheterna. Ett verktyg i raden utav hackerverktyg som finns tillgängliga är Threadkit som gör det väldigt enkelt för i stort sett vem som helst att utnyttja sårbarheter med hjälp av skadliga filer skapade med Threadkit.

Mellan februari och mars så uppdaterade Adobe Flash två sårbarheter bland annat en zero-day sårbarhet (CVE-2018-4878). Samtidigt som detta skedde, gick det att se en ökning utav specialgjorda Office-filer skapade av just Threadkit för att utnyttja just denna sårbarhet samt två sårbarheter i Microsoft Office (CVE-2018-0802 samt CVE-2017-8570). Detta är inget ovanligt utan sker hela tiden när nya sårbarheter upptäcks.

Det finns en rad olika saker som går att göra för att minska risken för att sårbarheter utnyttjas för att smitta klienterna. I dessa fall går det verkligen att se hur de olika lagren av skydd samarbetar och hjälper till att skydda mot olika delar av processen. Spamfilter hjälper till att stoppa mejl som kan innehålla filer eller länkar till nedladdningsbara skadliga filer. En sandlåda är ett bra komplement till både spamfilter samt perimeterskydd för att uppdatera nya filer och länkar innan signaturer och webbklassificeringar har hunnit få effekt. Ett bra endpointskydd som förhindrar de skadliga filer från att exekveras samt stoppar försök till att utnyttja sårbarheter. Ett perimeterskydd som kan blocka klienter från att nå skadliga siter och kan varna om misstänkt trafik från klienter.

Men en annan viktig del som lätt glöms bort är att regelbundet genomföra sårbarhetsskanningar i en miljö, samt se till att det finns en väl fungerande patchrutin för att snabbt kunna identifiera sårbarheter och problem med t.ex. klienter som släpar efter i patchnivå. Med hjälp av sårbarhetsskanningar får man även lättare att prioritera sårbarheter för att kunna åtgärda de sårbarheter som är av störst risk för tillfället.

Anders Gunnarsson
Security Analyst