Een team van onderzoekers van Virginia Tech, Cyentia en RAND,
Er werd echter geen correlatie gevonden tussen de publicatie van exploit-prototypes in het publieke domein en pogingen om de kwetsbaarheid te misbruiken. Van alle feiten over misbruik van kwetsbaarheden die onderzoekers bekend zijn, was slechts in de helft van de gevallen voor het probleem een prototype van de exploit die eerder in open bronnen was gepubliceerd. Het ontbreken van een exploit-prototype houdt aanvallers niet tegen, die indien nodig zelf exploits creëren.
Andere conclusies zijn onder meer de vraag naar exploitatie van voornamelijk kwetsbaarheden die volgens de CVSS-classificatie een hoog risico met zich meebrengen. Bijna de helft van de aanvallen maakte gebruik van kwetsbaarheden met een gewicht van minimaal 9.
Het totale aantal exploit-prototypes dat in de onderzochte periode is gepubliceerd, werd geschat op 9726. De gegevens over exploits die in het onderzoek zijn gebruikt, zijn afkomstig van
collecties Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs en Secureworks CTU.
Uit de database is informatie over kwetsbaarheden gehaald
Het onderzoek is uitgevoerd om de optimale balans te bepalen tussen het toepassen van updates om eventuele kwetsbaarheden te identificeren en het elimineren van alleen de gevaarlijkste problemen. In het eerste geval wordt een hoge beschermingsefficiëntie verzekerd, maar zijn er grote middelen nodig om de infrastructuur te onderhouden, die voornamelijk worden besteed aan het corrigeren van onbelangrijke problemen. In het tweede geval is de kans groot dat je een kwetsbaarheid mist die gebruikt kan worden voor een aanval. Uit het onderzoek bleek dat je bij de beslissing om een update te installeren die een kwetsbaarheid opheft, niet moet vertrouwen op het ontbreken van een gepubliceerd exploit-prototype en dat de kans op misbruik rechtstreeks afhangt van de ernst van de kwetsbaarheid.
Bron: opennet.ru