Wat is een exploit?
Een exploit is een soort programma dat is geschreven om een specifiek zwak punt (een kwetsbaarheid) in software of hardware te misbruiken. Onder de definitie van een exploit valt alles van complete softwaretoepassingen, stukjes programmacode en gegevens tot eenvoudige opdrachtreeksen.
Met andere woorden: een exploit is een hulpmiddel waarmee een hacker een kwetsbaarheid in de beveiliging kan uitbuiten. Kan het worden geprogrammeerd? Wordt er op slinkse wijze gebruikgemaakt van een software- of hardwarematige kwetsbaarheid? Dan is het een beveiligingsexploit!
Hoe werken exploitaanvallen?
Softwarematige exploits kunnen niet bestaan zonder een ontwerpfout in de software waar de exploit zich op richt. Zodra hackers die fout – de kwetsbaarheid – vaststellen, kunnen ze een computerexploit schrijven waarmee ze de fout kunnen uitbuiten.
Veel hackers gebruiken exploits om malware te verspreiden. Hier volgt een voorbeeld van de manier waarop een dergelijke exploitaanval in zijn werk gaat: Tijdens het internetten komt u toevallig terecht op een website met een schadelijke advertentie. Die advertentie lijkt in orde, maar bevat in werkelijkheid een exploitkit (daarover direct meer) waarmee uw computer wordt gecontroleerd op bekende kwetsbaarheden.
Als er een kwetsbaarheid wordt gevonden, wordt met behulp van een exploitaanval toegang tot uw computer verkregen via die softwarematige kwetsbaarheid of beveiligingsfout. Vervolgens wordt de malware rechtstreeks in uw systeem geïnjecteerd. Wanneer een exploit wordt gebruikt om malware te installeren, wordt die malware ook wel de payload (nuttige lading) genoemd.
Technisch gezien worden cyberexploits niet tot malware gerekend, omdat ze op zich niet schadelijk zijn. Het gevaar van een exploit zit hem in wat u daar als gebruiker mee doet nadat de exploit is gebruikt om uw systeem te infiltreren. Het is geen ransomware of een virus – er bestaat niet zoiets als een “exploitvirus” – maar exploits worden vaak gebruikt om malware af te leveren tijdens een aanval in meerdere fasen.
Wat is het verschil tussen een exploit en een kwetsbaarheid?
Kwetsbaarheden en exploits zijn nauw met elkaar verbonden. Het zijn verwante begrippen, maar niet precies hetzelfde.
Een kwetsbaarheid is een zwakke plek in een softwaretoepassing. Echter, niet alle kwetsbaarheden lenen zich om malwarepayloads af te leveren op computersystemen. Sommige kwetsbaarheden kunnen niet worden uitgebuit, bijvoorbeeld als andere beveiligingssystemen dat beletten. In 2019 werd er een nieuwe kwetsbaarheid ontdekt in Windows 7. Deze kwetsbaarheid, Bluekeep genaamd, werd als zeer gevaarlijk bestempeld, zo gevaarlijk dat de NSA een veiligheidswaarschuwing afgaf.
Een exploit is een aanval waarbij wordt misbruik wordt gemaakt van een kwetsbaarheid in software om een bepaald onbedoeld effect te bereiken op het doelsysteem. Zo kan er bijvoorbeeld malware worden afgeleverd of kan de hacker de controle overnemen of zich toegang tot het systeem verschaffen. Zelfs als een bepaalde kwetsbaarheid bestaat, is er geen onmiddellijk gevaar. Dat is er pas wanneer iemand uitvogelt hoe er een exploit van kan worden gemaakt. Maar van één ding kunt u op aan: zodra een kwetsbaarheid is ontdekt, zal iemand er een exploit voor proberen te ontwikkelen.
U kunt een softwareprogramma zien als een huis. De deuren zitten goed op slot, maar ergens op de bovenverdieping heeft iemand een raam open laten staan. Dat is een kwetsbaarheid. Als een dief – een hacker – gebruik wil maken van die kwetsbaarheid om het huis te betreden, heeft hij of zij een exploit nodig, bijvoorbeeld in de vorm van een ladder, om die kwetsbaarheid uit te buiten. Door een ladder te gebruiken om op de bovenverdieping te komen, kan de dief van het open raam profiteren en naar binnen gaan.
In bovenstaande afbeelding is het raam aan de linkerkant dicht. Er is dus geen sprake van een kwetsbaarheid. Het raam rechts staat open en is kwetsbaar, maar zit te hoog om er gebruik van te kunnen maken. Maar het raam in het midden staat open, is kwetsbaar en zit laag genoeg om er gebruik van te kunnen maken.
Niet alle kwetsbaarheden zijn uit te buiten, nog niet tenminste. Misschien staat er een zolderraam open, maar als een dief geen ladder heeft die hoog genoeg is om erbij te komen – dat wil zeggen: als niemand een exploit heeft geschreven voor deze kwetsbaarheid – is er geen manier om daarvan te profiteren.
Veelvoorkomende soorten computerexploits
Er zijn evenveel exploits als kwetsbaarheden, en elke dag worden er nieuwe ontdekt. Exploits kunnen worden onderverdeeld in twee soorten, afhankelijk van of iemand de kwetsbaarheid al heeft opgelost.
Bekende exploits
Wanneer iemand een softwarematige kwetsbaarheid ontdekt, wordt vaak de ontwikkelaar van de software gewaarschuwd. Die kan de kwetsbaarheid dan meteen repareren met een beveiligingspatch. Daarnaast kunnen ze de kwetsbaarheid bekendmaken op internet om anderen te waarschuwen. Hoe het ook zij: hopelijk reageert de ontwikkelaar tijdig en kan hij of zij de kwetsbaarheid herstellen voordat er een exploit is.
De beveiligingspatches worden vervolgens via software-updates verspreid onder de gebruikers. Daarom moet u updates altijd meteen installeren zodra u weet dat ze beschikbaar zijn. Een exploit die is gericht op een al gepatchte kwetsbaarheid wordt een bekende exploit genoemd. Iedereen is namelijk op de hoogte van de bewuste beveiligingsfout.
Gelukkig hoeft u al uw geïnstalleerde programma’s niet zelf op updates te controleren. Dat kunt u aan AVG TuneUp overlaten. De volledig geautomatiseerde functie Software bijwerken controleert uw favoriete programma’s en werkt deze automatisch bij zodra er een patch voor is uitgebracht. Daardoor blijft uw “huis” beschermd tegen hackers die via een exploit proberen binnen te dringen.
WannaCry en NotPetya zijn twee beruchte vormen van ransomware die gebruikmaken van een bekende Windows 7-exploit met de naam EternalBlue. Beide aanvallen vonden plaats nadat Microsoft de kwetsbaarheid al had gerepareerd. Maar omdat veel mensen niet de moeite hadden genomen om hun software bij te werken, wisten WannaCry en NotPetya toch miljarden dollars aan schade te veroorzaken.
Zero-day-exploits (onbekende exploits)
Soms wordt iedereen overvallen door een exploit. Wanneer een hacker een kwetsbaarheid ontdekt en er meteen een exploit voor schrijft, heet dat een zero-day-exploit. De exploitaanval vindt namelijk plaats op de dag dat de kwetsbaarheid is gevonden. Op dat moment is de ontwikkelaar “nul dagen” op de hoogte van de kwetsbaarheid.
Aanvallen met zero-day-exploits zijn zeer gevaarlijk, omdat er geen voor de hand liggende of onmiddellijke oplossing voor bestaat. De kwetsbaarheid is alleen bekend bij de aanvaller. Hij of zij is de enige die er gebruik van kan maken. Om te reageren op de aanval moet een softwareontwikkelaar een patch schrijven, maar voor mensen die al het slachtoffer zijn geworden komt die te laat.
Hardware-exploits
Software-exploits krijgen de meeste aandacht in de media, maar er zijn meerdere soorten exploits. Soms kunnen hackers gebruikmaken van fouten in de fysieke hardware (en de firmware) van uw apparaat.
Twee hardwarekwetsbaarheden die veel aandacht hebben opgeëist zijn Meltdown en Spectre. Dat komt doordat ze zo gevaarlijk zijn. Waar het dreigingsbereik van Meltdown beperkt blijft tot apparaten met een Intel-processor (dat zijn er overigens vele miljoenen), is de kwetsbaarheid Spectre aanwezig in elke processor.
Gelukkig zijn er nog geen exploits waarmee deze kwetsbaarheden kunnen worden uitgebuit. Bovendien hebben Intel en andere chipfabrikanten inmiddels patches uitgebracht om het risico te beperken.
Wat is een exploitkit?
Ondernemende cybercriminelen kunnen investeren in een exploitkit. Dat is een soort Zwitsers zakmes. Een exploitkit is een gereedschapskist met uiteenlopende bekende exploits die kunnen worden gebruikt om in te breken op kwetsbare systemen. Zo'n kit stelt mensen zonder veel programmeerervaring in staat exploits te gebruiken, omdat ze die niet zelf hoeven te schrijven. Vaak ook kunnen ze worden aangepast, zodat gebruikers er nieuwe exploits aan kunnen toevoegen.
Een exploitkit is als een soort gereedschapskist met uiteenlopende gereedschappen (exploits) die kunnen worden gebruikt om in te breken op kwetsbare systemen.
Met een dergelijke kit kan een potentieel doelsysteem worden geanalyseerd om te zien of het kwetsbaarheden bevat waarvoor de kit een bijpassende exploit bevat. Als er een geschikte kwetsbaarheid wordt gevonden, wordt de juiste exploit ingezet om de gebruiker toegang te verschaffen tot het doelsysteem.
In het verleden waren veel exploitkits gericht op browserinvoegtoepassingen als Adobe Flash, omdat die los van de browser moet worden geüpdatet. Nu moderne browsers automatische updates ondersteunen en Flash niet meer populair is, zijn exploitkits op hun retour.
Desondanks blijven cybercriminelen gebruikmaken van exploitkits, als het zo uitkomt.
RIG, Magnitude en Neutrino
RIG, Magnitude en Neutrino zijn drie van de populairste exploitkits ooit. Ze werken als volgt.
RIG
RIG is gebruikt voor de meest uiteenlopende payloads, van ransomware en Trojaanse paarden tot mining-malware voor cryptomunten, waarbij de computer van het slachtoffer wordt gebruikt om cryptomunten te delven. RIG, dat geschikt is gemaakt voor het SaaS-model (Software as a Service), is al te koop voor slechts 150 dollar per week.
RIG-klanten verstoppen meestal schadelijke advertenties in legitieme websites. Die advertenties leiden de bezoekers van de website om naar de doelpagina van RIG (soms rechtstreeks, soms via meerdere stappen). Zodra een slachtoffer op de doelpagina van RIG belandt, levert de exploitkit de door de cybercrimineel gekozen payload af op zijn of haar computer.
Magnitude
Magnitude bestaat al sinds 2013, waarmee het een van de oudste nog actieve exploitkits is. Net als RIG draait de infectiestrategie van Magnitude om malvertising, maar tegenwoordig maakt het vooral slachtoffers in Zuid-Korea en andere Oost-Aziatische landen. Waar de flexibele exploitkit van RIG kan worden gekoppeld aan verschillende payloads, werkt Magnitude alleen met zijn eigen ransomwarevariant.
Nu Flash uit beeld is, richt Magnitude zich op het infecteren van gebruikers van Internet Explorer via JavaScript. En sinds Microsoft het verouderde Internet Explorer heeft vervangen door de nieuwe browser Edge, is er eigenlijk geen reden meer om IE te blijven gebruiken. U kunt Magnitude-aanvallen simpelweg vermijden door over te stappen op een moderne browser en een recent besturingssysteem.
Neutrino
De concurrentie op de markt voor exploitkits is moordend. In 2016 was Neutrino een van de meest gevraagde kits. Maar in september van dat jaar stopten de ontwikkelaars van Neutrino met het verhuren van hun exploitkit aan nieuwe klanten. Inmiddels is het bijna helemaal van het toneel verdwenen, als gevolg van de concurrentie met andere kits als Magnitude en RIG.
Neutrino werkte op dezelfde manier als de exploitkits hierboven: het slachtoffer werd omgeleid naar geïnfecteerde doelpagina’s waar de kwetsbaarheden in de browser van het slachtoffer konden worden uitgebuit. In het geval van Neutrino ging de exploitkit op zoek naar bekende kwetsbaarheden in JavaScript.
Wie is het kwetsbaarst voor een exploitaanval?
Mensen die hun software nooit bijwerken zijn het kwetsbaarst voor een exploitaanval. Ga maar na: hoe langer software op de markt is, des te meer tijd onverlaten hebben gehad om op zoek te gaan naar zwakke plekken en daar exploits voor te bedenken.
De exploitkits waar we het net over hadden – RIG, Magnitude en Neutrino – vertrouwen op verouderde software als Internet Explorer en Adobe Flash. En toen WannaCry en NotPetya gebruikmaakten van de exploit EternalBlue, was de bijbehorende kwetsbaarheid al gepatcht. De slachtoffers hadden hun software simpelweg nog niet bijgewerkt.
Zero-day-exploits vormen de uitzondering op deze regel. Daarbij is er geen waarschuwing – geen mogelijkheid om een beveiligingspatch of software-update te installeren. Iedereen die de getroffen software gebruikt, is dus kwetsbaar. Ontwikkelaars brengen snel noodpatches uit wanneer er een zero-day-exploit wordt ontdekt. Toch moeten mensen dan nog steeds hun software bijwerken als dat niet automatisch gebeurt.
Daarom zijn optimalisatieprogramma’s als AVG TuneUp bijzonder nuttig. Zij vormen een uitstekende manier om uw computer te beschermen tegen exploits als EternalBlue. Met de ingebouwde functie Software bijwerken in AVG TuneUp kunt u uw geïnstalleerde software en favoriete programma’s automatisch laten controleren en naadloos bijwerken. Zo beschikt u altijd over de nieuwste versies.
Hoe kunt u zich beschermen tegen exploits?
Gelukkig kunt u zich in de meeste gevallen wel tegen exploits beschermen. Door uzelf slimme gewoonten aan te leren uit het oogpunt van computerveiligheid komt u een heel eind met het afslaan van exploitaanvallen. Hier volgt een overzicht van de beste tactieken tegen exploits:
-
Werk uw software altijd bij. Elke cyberbeveiligingsexpert (wij incluis) zal u vertellen dat het gebruik van recente software de beste manier is om u te beschermen tegen exploits. Als u automatische software-updates voor uw apparaat kunt instellen, wat kan bij de meeste apparaten, moet u die functie inschakelen. U kunt ook een tool voor het automatisch bijwerken van software, bijvoorbeeld AVG TuneUp, gebruiken. Als u een update handmatig moet installeren, doet u dat zodra u een melding ontvangt.
-
Maak een back-up van uw bestanden. Bijgewerkte software beschermt u weliswaar tegen bekende exploit-aanvallen, maar daar hebt u weinig aan wanneer een hacker een nieuwe kwetsbaarheid ontdekt. Met een verse back-up van uw belangrijkste bestanden bent u gedekt in het geval dat een cybercrimineel een exploit gebruikt om uw computer aan te vallen met ransomware of een andere soort malware die bestanden beschadigt.
Wanneer u een back-up maakt op een extern station, koppelt u dat station af wanneer u het niet gebruikt en bewaart u het los van uw computer. Daarmee voorkomt u dat malware schade toebrengt aan de inhoud van uw station.
-
Gebruik software van vertrouwde aanbieders. Dit advies geldt voor zelfstandige toepassingen en voor browserextensies en -invoegtoepassingen. Betrouwbare softwareontwikkelaars zorgen ervoor dat hun producten zo exploit-bestendig mogelijk zijn. En als er een zero-day-exploit de kop opsteekt, komen ze zo snel mogelijk met een beveiligingspatch.
Exploits en andere dreigingen gratis voorkomen
Krachtige antivirussoftware met dreigingscontrole en -opsporing in realtime is uw belangrijkste bondgenoot in de strijd tegen exploits. AVG AntiVirus FREE is een krachtig en betrouwbaar cyberbeveiligingsprogramma dat u zelfs tegen zero-day-exploits kan beschermen.
Door doorlopend te innoveren kunnen wij exploit-aanvallers voorblijven. AVG AntiVirus FREE is uitgerust met een bijgewerkt Webschild. Dit blokkeert gevaarlijke downloads en schadelijke websites. Wanneer u dat combineert met de permanente softwarecontrole waarmee elke verdachte activiteit op uw computer wordt gedetecteerd, bent u goed beschermd tegen slinkse exploit-aanvallen.