Cato Networks ontwikkelde een workaround voor een zero-day kwetsbaarheid in Microsoft Office. Klanten van Cato Networks zijn immuun voor de kwetsbaarheid.

Cato Networks levert een Secure Access Service Edge-oplossing (SASE). De oplossing heeft twee onderdelen. Allereerst worden de applicaties en medewerkers van klanten verbonden met een Software-Defined Wide Area Network (SD-WAN). Ten tweede beveiligt Cato Networks het netwerkverkeer via meerdere securityoplossingen, waaronder anti-malware en een intrusion prevention system (IPS).

De securityoplossingen hebben onderhoud nodig. Nieuwe kwetsbaarheden worden zelden herkend door bestaande technologie. Maakt een onderzoeker of organisatie een zero-day kwetsbaarheid bekend, dan passen securityleveranciers hun systemen aan om de kwetsbaarheid te herkennen. Vergeet een klant de software te patchen, dan kan het systeem de klant daaraan herinneren.

Sommige leveranciers gaan een stapje verder. Cato Networks ontwikkelde een oplossing voor een zero-day-kwetsbaarheid die onlangs in Microsoft Office werd gevonden. Het betekent dat klanten van Cato Networks immuun zijn voor de kwetsbaarheid. Microsoft lanceerde een patch, maar die is voor hen optioneel. De securitysystemen van Cato Networks maken het onmogelijk om de kwetsbaarheid te misbruiken.

Hoe werkt de omweg?

Zero-day kwetsbaarheden zijn niet altijd met een omweg op te lossen. Soms is een patch noodzakelijk. In dit geval wist Cato Networks vast te stellen welke stappen cybercriminelen moeten doorlopen om de kwetsbaarheid te misbruiken. Vervolgens werden Cato’s securitysystemen aangepast om elke stap te blokkeren.

De zero-day in Microsoft Office is alleen te misbruiken met een payload. Slaagt een cybercrimineel erin om de payload op het apparaat van een slachtoffer te krijgen, dan moet de payload via een signaal worden geactiveerd. Dit signaal wordt over het netwerk verzonden. Cato Network paste zijn anti-malware-systeem aan om de payload te herkennen, waardoor het voor netwerkgebruikers onmogelijk is om de payload te downloaden. Vervolgens sleutelde de organisatie aan zijn Intrusion Prevention System (IPS), waardoor het activeringssignaal van de payload wordt onderschept.

Het belang van third-party security

Klanten van Cato Networks werden in enkele uren na de bekendmaking van de kwetsbaarheid beschermd. In dit geval publiceerde Microsoft tegelijkertijd een patch, maar soms kan dat maanden duren. Het kostte sommige softwareontwikkelaars weken om de beruchte kwetsbaarheid in Log4j te patchen. In die omstandigheden zijn securityleveranciers essentieel.