Kategori: Vulnerability Management

Udgivet den

Hvorfor bør sårbarhedssystem fortælle mig om software med “End of Life”

Fordi end of life betyder END OF LIFE, så softwaren ikke længere supporteres af producenten.

  • Der kommer ikke flere opdateringer.
  • Der kommer ikke flere sikkerheds opdateringer.

Hvad er udfordringen?

  • At angribere ikke nødvendigvis forsøger at udnytte de nyeste sårbarheder. Faktisk er rigtig mange succesfulde angreb udført, hvor man udnytter en kendt sårbarhed, som er måneder ja måske flere år gammel.
  • Har software kørende, som du ikke ved har EOL om 1-3-6-12 måneder.
  • Hvad med applikationen der blev installeret for 5 år siden på grund af et specifikt behov, og ikke længere anvendes? Og som ingen husker?

Hvordan løser man det?

Når du er i markedet for Vulnerability Management (sårbarheds værktøjer), skal du sikre dig, at det også har info om, hvornår din hardware og software har end of life.

Gerne en oversigt der viser hvilken hardware og software med end of life indenfor de næste 12 måneder, så du dermed kan planlægge en migrering.

  • PS: Lad nu være med at købe software, hvor du kun ser EOL. Det bliver så endnu en platform du skal se på, når du skal vurdere din samlede risiko.. som selvfølgelig også omhandler EOL. Mere om virksomheders udfordringer omkring antallet af sikkerheds applikationer indenfor IT-sikkerhed i en kommende artikel.

👆PS PS: HUSK Windows 10 har End of Life 14. oktober 2025

Udgivet den

Hvordan får jeg succes med udbedring af sårbarheder?

  • at opdage sårbarheder er typisk sikkerhedsafdelingens ansvar.
  • at udbedre sårbarheder er typisk IT-driftsafdelingens ansvar.

Afdelingernes fokus:

  • Sikkerhedsafdelingens fokus er at minimere risiko.
  • IT-driftafdelingens fokus er at sikre oppetid.

Indbygget konflikt:

Når man ikke har et fælles fokus og mål, er der risiko for, at udbedring af kendte sårbarheder ikke bliver optimalt, og dermed en øget risiko for virksomheden.

Tid er Risiko.

Den tid der går, fra en sårbarhed bliver offentlig kendt til den udnyttes, bliver kortere og kortere. Så tid er en meget vigtig parameter.

Der er dog også mange sårbarheder, som aldrig forsøges udnyttet. Der bliver aldrig udviklet et såkaldt “exploit”, som en angriber kan udnytte.

Prioritering:

Det er essentielt, at sikkerheds afdelingen fokuserer på de sårbarheder der udnyttes NU, uanset producentens risiko vurdering.

En sårbarhed der udnyttes NU, er en langt større risiko, end en sårbarhed med høj risiko score, som IKKE ses udnyttet nu.

Eksempel: Du har tusinder af sårbarheder på hundredevis af enheder, men efter en prioritering, der kunne være baseret på:

  • Enhedens risko vurdering, er det chefens PC eller en printserver?
  • Enhedens placering, står den direkte på internettet eller?
  • Udnyttes sårbarhederne nu?

Bedre samarbejde.

Hvis man kun fokuserer og prioriterer sårbarheder ud fra risiko, vil man reducere virksomhedens risiko hurtigere, samtidig med at antallet af kritiske her og nu sårbarheder typisk reduceres. Og så vil IT-driftsafdeligen vide, at dem de udbedrer er baseret på en reel risiko for virksomheden.

Kontakt mig på tlf. 40253921 for at drøfte hvordan du kan blive bedre til udbedring af sårbarheder.

Udgivet den

Kan en sårbarhed altid udbedres med en opdatering?

NEJ er det korte svar…

Hvis du idag bruger et Vulnerability Management system som Qualys, vil du formentlig se, at ALLE dine windows enheder har sårbarheder med betegnelsen “Microsoft WinVerifyTrust Signature Validation Vulnerability “.

Såbarheden kan ikke patches automatisk med et Patch Management system.

Hvad gør jeg så?

Du skal ind og rette i Windows Registry. Noget som jo ikke løses med et traditionel Patch Management system, som Qualys tilbyder.

Så du skal have fat i hver enkelt enhed og opdaterere Registry:

Hvad er risikoen?

Microsoft har meddelt, at de har genudgivet CVE-2013-3900 (maskin oversat tekst) for at informere kunder om tilgængeligheden af ​​EnableCertPaddingCheck. Denne adfærd forbliver tilgængelig som en valgfri funktion gennem indstillingen af en registreringsnøgle, og er tilgængelig på alle understøttede udgaver af Windows, der er udgivet siden d. 10 december 2013.

Microsoft anbefaler, at forfattere af eksekverbare filer overvejer, at tilpasse alle signerede binære filer til den nye verifikationsstandard. Dette gøres ved at sikre, at de ikke indeholder overflødig information i WINCERTIFICATE-strukturen. Microsoft anbefaler også, at kunder tester denne ændring grundigt for at vurdere, hvordan den vil opføre sig i deres miljøer.

Ses sårbarheden udnyttet i dag?

Ja, Qualys Cloud Threat DB player bekræfter, at hacker gruppen Conti forsøger at udnytte sårbarheden fra 2013 til inficering med Malware.

Hvem er Conti?

Hackergruppen “Conti,” også kendt som “Conti Ransomware” eller “Ryuk Conti,” er en kriminel organisation, der er specialiseret i ransomware-angreb. De er kendt for at udføre angreb, hvor de krypterer ofres filer. Derefter kræver de en løsesum (ransom) for at dekryptere dem og gøre dem tilgængelige igen. Hvis ofrene ikke betaler løsesummen, truer gruppen med at offentliggøre de stjålne data.

Næste skridt:

Så nej, det er ikke altid, at en sårbarhed kan udbedres, ved at installere software. Nogle gange skal der foretages ændringer “inde i maven” på operativsystemet. I dette tilfælde skal du rette i:

  • HKEYLOCALMACHINESoftwareMicrosoftCryptographyWintrustConfig “EnableCertPaddingCheck”=”1”
  • HKEYLOCALMACHINESoftwareWow6432NodeMicrosoftCryptographyWintrustConfig “EnableCertPaddingCheck”=”1”

Mere info:

Udgivet den

Flere sårbarheder end timer i døgnet!

Den øgede digitalisering betyder, at den digitale risiko øges dag for dag.

Dagligt udgiver producenter opdateringer, der skal lukke de seneste sårbarheder.

Problemet er bare, at det er en uendelig rejse, at skulle opdatere software.

Sårbarheds udviklingen:

  • 1990’erne var der 2.594 sårbarheder
  • 2000’erne øgedes dette med 796% til 37.321
  • 2010 blev der så registreret 135.284
  • 2022 blev der tildelt mere end 25.000 unikke CVE

Der er lige nu ca. 192.000 kendte sårbarheder, men det er kun en mindre del af disse, der udgør en risiko for din virksomhed… hvilke?

Flere opdateringer i morgen.

Ligegyldig hvilket system man bruger til at finde og opdatere sine enheder med, vil overblikket i morgen vise endnu flere opdateringer og sårbarheder end i dag.

Du kommer aldrig til at være 100% opdateret!

Tid er vigtig.

Hvis en kendt sårbarhed udnyttes til angreb NU, skal du selvfølgelig fokusere på denne, og ikke på sårbarheder der for nuværende ikke ses udnyttet.

Automatisering.

Klient Sikkerheds opdateringer som browserne Chrome, Edge og standard applikationer som Microsoft Office bør man en gang for alle konfigurere, så de automatisk opdateres, efter at en sikkerhedsopdatering er frigivet.

Overvej at installere Microsofts månedlige tirsdags opdateringer automatisk på klienter.

Fokuser.. hvor du kan reducere risikoen!

Dit sårbarhedsystem skal hjælpe dig med at prioritere. Du skal ikke bare se på den risiko klassificering sårbarheden har fået, for en høj klassificering er ikke altid lig med en høj risko for dig.

Måske findes der endnu ikke en måde at udnytte sårbarheden på. Derfor er det vigtigt at dit Vulnerability Management og Patch Management system, kan fortælle dig hvilke sårbarheder der udnyttes her og nu, og risikoen for netop DIT setup.

Mere info:

Qualys har udgivet deres “2023 Qualys TruRisk Research Report”, der indeholder info baseret på anonymiserede data fra de mere end 2.4 milliarder sårbarheder, deres platform fandt hos kunderne.

Du kan hente rapporten her-> 2023 TruRisk Threat Research Report.