De cyberspionagecampagne Sandworm had voorkomen kunnen worden, stelt HP in een analyse van de zeroday waarmee de malware bij pc's kon binnenkomen. "We kunnen de tijd niet terugdraaien, maar we kunnen wel - en zouden dat ook moeten doen - leren van het verleden", schrijft HP-onderzoeker Matt Oh.

Patch = rode lap

De kwetsbaarheid waar de maleware gebruik van maakte om binnen te komen in Windows-systemen zit in een functie van Microsoft-applicaties om bestanden te embedden, bijvoorbeeld een afbeelding in een PowerPoint-presentatie. CVE-2012-0013 loste twee jaar geleden een manier op om een beveiligingscheck op het linken van objecten te omzeilen. CVE-2014-6352, het Sandworm-gat, borduurt verder op het idee om een opdrachten door te geven via de embedfunctie.

Het interessante hieraan is dat patches door aanvallers worden ontleed om de opgeloste kwetsbaarheden te vinden, zodat die kunnen worden toegepast op ongepatchte systemen. Een patch werkt op die manier ook als een rode lap bij hackers. Heeft de patch voor CVE-2012-0013 een handige hint opgeleverd?

Tweede patch nodig

Overigens bleek het geen eenvoudig te verhelpen issue. Ook na de ontdekking van de Sandworm-zeroday, was het probleem niet direct opgelost. Microsoft bracht bij Patch Tuesday deze maand een nieuwe update om het probleem op te lossen, nadat in oktober bleek dat de oplossing van de eerste patch teniet werd gedaan door een aanpassing in de aanval.