Cybercrimineel staat in startblokken om IT-beheerder te snel af te zijn bij zeroday

Dat blijkt uit een een uitgebreid onderzoek dat IT-beveiliger Palo Alto Networks deed naar dit fenomeen als onderdeel van het jaarlijkse Cortex Xpanse Attack Surface Report. Op het moment dat een kwetsbaarheid ergens bekend wordt gemaakt start een wedstrijd tussen aanvallers en IT-beheerders. De aanvallers proberen zo snel mogelijk uit te vinden waar interessante kwetsbare systemen te vinden zijn en hun slag te slaan terwijl IT-afdelingen nog bezig zijn met een risico-analyse en vervolgens het afschermen van het probleem.

Volgens Palo Alto Networks worden criminele organisaties onder meer door een slimme voorbereiding steeds beter in dat kat- en muisspel. De ruime beschikbaarheid van goedkope clouddiensten helpt daarbij. Het is zelfs voor een crimineel in spé een kleine moeite om voor een bedrag van rond de 10 dollar genoeg computerkracht te huren om een ruwe scan te doen van het hele internet op het voorkomen van kwetsbare systemen, constateren de onderzoekers in het rapport.

Kwestie van minuten

Dat is de reden er gemiddeld nog maar 15 minuten verstrijken na de eerste melding van een zerodaylek voordat het scannen op dat lek begint, zeker als er een proof of concept beschikbaar is voor misbruik van de kwetsbaarheid of het misbruik van een softwarefout makkelijk is. Als het lek dan ook nog voorkomt in veelgebruikte systemen bij interessante doelwitten, gaat het nog sneller. In het geval van de zeroday-lekken in Exchange Server in maart duurde het slechts 5 minuten voordat de aanvallers in actie kwamen.