Vikten av en effektiv uppdateringshantering

I veckan publicerade Haifei Li sin forskning rörande en attackvektor med hjälp av Microsoft Outlook.

Resultatet är att han kom på ett sätt att använda OLE för att skicka till exempel en flash-fil inbäddad i e-post. Kombinerat med en fungerande flash-exploit så kan hans metod användas för att automatiskt exekvera exploiten ("ta över" datorn) när en användare tittar på mejlet, d.v.s. utan någon speciell åtgärd från användarens sida.

Outlook exekverar inte flash i en sandbox till skillnad från till exempel de flesta webbläsare. Sandboxen gör exploatering mycket svårare.

Sammantaget ger detta att en angripare med en fungerande flash-exploit och kännedom om sitt måls e-postadress kan exploatera denna ("ta över" datorn), ganska illa.

Haifei Li har dessbättre samarbetat med Microsoft, en rättning finns redan att tillgå (MS15-131). Så det här är inte en 0-dagars-sårbarhet.

Så tillbaks till det här med uppdateringshantering. Haifei Li släppte sin rapport ca en vecka efter att Microsoft
gjort sin uppdatering tillgänglig. Konsekvensen av det här är att de som vill utnyttja den här attackvektorn samt har de növändiga resurserna, kan göra det mot organisationer som inte hunnit uppdatera efter en vecka, ganska kort om tid.

Kort om tid då uppdateringar ofta skall bedömas, prioriteras och testas, något som i större organisationer kan ta tid.

Med en defense-in-depth-arkitektur kan man hoppas att någon it-säkerhetsprodukt (AV, IDS, vitlistning etc) fångar upp hotet. Men det är svårt att vara säker så varför inte lägga till översyn av uppdateringshantering till eran nyårslöfteslista?

Rapporten: (PDF-format)
https://0b3dcaf9-a-62cb3a1a-s-sites.googlegroups.com/site/zerodayresearch/BadWinmail.pdf

Uppdateringen:
https://technet.microsoft.com/en-us/library/security/ms15-131.aspx