Definiție

 

O vulnerabilitate de tip „zero-day” este o lacună în materie de securitate la nivel de software, hardware sau firmware care nu este cunoscută de către părțile responsabile, adică furnizorii de software sau hardware, până când aceasta nu este dezvăluită lor direct sau publicului larg. În unele cazuri, furnizorul nu știe despre această problemă înainte să fie făcută publică sau nu a avut timp suficient pentru a crea o soluție, astfel încât nu există o soluție oficială de remediere sau un patch care să protejeze vulnerabilitatea împotriva exploatării. Aceste vulnerabilități sunt deosebit de riscante, deoarece pot trece neobservate pentru o perioadă îndelungată, care poate dura zile, luni sau chiar ani.

 

Termenul „zero-day” se referă la lipsa de timp dintre momentul în care o vulnerabilitate este descoperită și potențial exploatată și recunoscută public și/sau remediată de către furnizor. Aceste vulnerabilități constituie ținte principale pentru infractorii cibernetici, care încearcă să le exploateze înainte de a fi recunoscute sau cât mai curând posibil după ce au fost făcute publice. Din punct de vedere tehnic, după ce lacuna este făcut publică, aceasta nu mai este considerată o vulnerabilitate de tip zero-day, ci mai degrabă o vulnerabilitate de tip n-day sau one-day.

Ce este un exploit de tip zero-day?

Exploitul de tip zero-day este metoda sau tehnica specifică pe care atacatorii o folosesc pentru a profita de o vulnerabilitate de tip zero-day. În esență, este un cod sau o secvență de comenzi care exploatează o vulnerabilitate pentru a obține un rezultat care să ducă la un atac. Atunci când hackerii descoperă aceste exploituri înaintea furnizorilor, ei beneficiază de un avans în elaborarea și implementarea atacurilor.  Kiturile de exploituri de tip zero-day pot fi vândute pe dark web în schimbul unor sume considerabile, devenind un alt stimulent financiar pentru atacatori.

Ce este un atac de tip zero-day?

În termeni de securitate cibernetică, un atac de tip zero-day are loc atunci când un hacker folosește un exploit de tip zero-day pentru a compromite un sistem care are o vulnerabilitate existentă, dar necunoscută. Aceste atacuri pot lua diferite forme, de la furtul de date până la instalarea de software periculos. Atacurile de tip „zero-day” sunt deosebit de amenințătoare, deoarece, adesea, singurele persoane care știu de existența lor sunt înșiși atacatorii. În multe cazuri, atacatorii lansează exploatările de tip zero-day prin metode sofisticate, cum ar fi e-mailurile de inginerie socială sau înșelăciuni de tip phishing, inițiind astfel secvența de atac.

Cum funcționează?

ce este un exploit zero-day

Vulnerabilitățile de tip „zero-day” reprezintă o îngrijorare majoră, deoarece le permit hackerilor să exploateze lacunele înainte ca țintele să realizeze că acestea există. Acest lucru înseamnă că hackerii pot pătrunde în sisteme pe ascuns, având suficient timp la dispoziție pentru a face ravagii. Odată ce o astfel de vulnerabilitate este descoperită, poate dura foarte mult timp până când furnizorii respectivi lansează un patch. Între timp, organizațiile rămân expuse unui risc ridicat.

Pentru a complica și mai mult lucrurile, arhitectura rețelelor moderne devine din ce în ce mai complexă. Organizațiile utilizează, în prezent, o combinație de aplicații în cloud și on-premise, diverse tipuri de dispozitive și chiar tehnologia Internet of Things (IoT), ceea ce extinde semnificativ suprafața lor de atac.

Află mai multe

 

 

Cei care lansează atacuri de tip „zero-day” nu sunt un grup omogen, ci au motivații diferite și fac parte din categorii diferite. Problema nu o reprezintă numai hackerii oportuniști; există o piață neagră foarte activă, unde date despre vulnerabilitățile și exploatările de tip zero-day sunt tranzacționate pentru sume mari de bani. Și actorii de la nivel de țară sunt în căutarea unor astfel de vulnerabilități. În loc să le divulge, aceștia colectează adesea vulnerabilitățile pentru a crea exploatări „zero-day” specifice pe care să le folosească împotriva adversarilor, o practică care a atras critici pentru că pune în pericol organizații nevinovate.

 

Infractorii cibernetici urmăresc, de obicei, obținerea de câștiguri financiare, concentrându-se pe colectarea de informații sensibile, pe răscumpărarea acestora prin criptare (ransomware) sau amenințând cu divulgarea datelor sensibile sau apelând la ambele tehnici. Actorii sponsorizați de state și hacktiviștii folosesc vulnerabilitățile de tip zero-day pentru a promova cauze sociale sau politice, adesea cu scopul de a colecta date sensibile sau de a-și face cunoscută misiunea. Spionajul corporativ este un alt factor; în acest caz, companiile pot utiliza exploiturile pentru a obține un avantaj competitiv prin accesarea informațiilor confidențiale ale concurenților. Nu în ultimul rând, aceste atacuri pot fi instrumente de război cibernetic, orchestrate de state care țintesc infrastructura digitală a unei alte țări prin atacuri perturbatoare pe termen lung și scurt pentru a obține un avantaj în ceea ce privește serviciile de utilități, instituțiile economice, investițiile strategice și proprietatea intelectuale, inclusiv prin obținerea de secrete de stat.

 

Exploiturile de tip „zero-day” au o anvergură extinsă, vizând orice, de la sisteme de operare și browsere web la echipamente hardware și dispozitive IoT. Acest spectru vast de dispozitive țintă este utilizat de victime, cum ar fi:

- utilizatorii obișnuiți care folosesc un sistem vulnerabil, cum ar fi un browser neactualizat;

- deținătorii de date de business valoroase sau titularii de drepturi de proprietate intelectuală;

- companiile mari și organizațiile care gestionează volume semnificative de date sensibile;

- agențiile guvernamentale care dețin informații critice privind securitatea națională.

 

Țintele pot fi specifice sau generale. Atacurile de tip „zero-day” targetate vizează ținte de mare valoare, cum ar fi agențiile guvernamentale sau marile corporații, în timp ce atacurile netargetate se axează pe exploatarea oricărui sistem vulnerabil pe care îl pot găsi. În acest din urmă caz, obiectivul este adesea de a compromite cât mai mulți utilizatori posibil, nimeni nefiind cu adevărat în siguranță în fața unui pericol potențial.

 

Un atac de tip „zero-day” se bazează pe mai mulți factori, printre care:

· identificarea unei vulnerabilități software, care include defecte în execuția aplicațiilor;

· vulnerabilitatea nu este divulgată public;

· elaborarea rapidă a unui exploit care vizează vulnerabilitatea respectivă.

 

Acești factori facilitează diverse activități periculoase, dar este nevoie de furnizarea codului de exploit pentru a lansa un atac. Furnizarea unui exploit poate fi efectuată prin diferite canale:

· Inginerie socială: atacatorii folosesc o varietate de mijloace de mare impact, inclusiv e-mailuri personalizate, rețele de socializare și alte tipuri de mesaje; un hacker va construi profilul unei ținte pentru a-i obține încrederea.

· Phishing: hackerii folosesc această metodă pentru a păcăli utilizatorii să deschidă un fișier sau un link periculos printr-un e-mail care pare legitim, dar care provine de fapt de la un atacator.

· Descărcare drive-by: în acest scenariu, actorii amenințării ascund codul de exploatare într-un site web compromis, dar aparent legitim, ca element ascuns. Atunci când vizitatorii navighează pe site-ul infectat, exploitul este descărcat și executat pe sistemele lor fără ca aceștia să acționeze direct sau să fie conștienți de acest lucru. Această tehnică este des utilizată pentru a efectua atacuri de tip zero-day care se folosesc de vulnerabilitățile zero-day pentru a se infiltra discret în sisteme.

· Malvertising: prin această strategie, anunțurile publicitare periculoase ajung la utilizator prin rețele de publicitate de încredere. Un simplu clic sau așezarea cursorului peste aceste reclame declanșează codul de exploit. Având în vedere că utilizatorii tind să aibă încredere în site-urile web cunoscute, aceasta este o modalitate inventivă de a lansa atacuri de tip zero-day.

· Spear Phishing: această tehnică vizează anumiți utilizatori finali, care primesc mesaje foarte personalizate prin e-mail, mesaje text sau alte platforme. Dacă hackerul obține acces la un cont privilegiat, utilitatea unui exploit este amplificată în cadrul infrastructurii vizate. Acest lucru ar putea extinde sfera de acțiune a unui atac dincolo de o companie, pentru a include partenerii și alte organizații afiliate.

 

Mai mult, aceste exploituri pot fi grupate într-un „pachet de exploituri”, care cercetează sistemul în căutarea mai multor vulnerabilități, pentru a fi lansate apoi acolo unde sunt cele mai eficiente. Odată executat, codul poate provoca o serie de daune, de la furtul de date până la inoperabilitatea sistemului. Având în vedere natura invizibilă și sofisticată a acestor atacuri, ele sunt adesea greu de detectat și de prevenit, fiind nevoie de strategii avansate de prevenire a atacurilor de tip zero-day.

9 exemple din lumea reală de exploituri de tip zero-day

 

De-a lungul anilor, am asistat cu toții la mai multe atacuri de tip exploit de anvergură. Unele dintre ele au ajuns chiar pe prima pagină a ziarelor, provocând panică în rândul utilizatorilor. Mai jos enumerăm câteva cazuri importante care au influențat modul în care înțelegem această amenințare la adresa securității cibernetice.

 

1. EternalBlue - dezvoltat de Agenția Națională de Securitate a SUA (NSA), acest exploit a vizat o vulnerabilitate în protocolul Microsoft Windows Server Message Block (SMB). Acesta a fost utilizat în atacuri cibernetice majore, inclusiv în atacul ransomware WannaCry, care a afectat grav computerele din întreaga lume. EternalBlue a exploatat o vulnerabilitate existentă la nivelul sistemelor Windows mai vechi, permițându-le atacatorilor să execute un cod și să controleze sistemele afectate, de la distanță.

2. Log4Shell - vulnerabilitatea Log4Shell din biblioteca Log4J Java a expus un număr mare de dispozitive la breșe posibile de date. Au fost vulnerabile, în special, aplicații importante precum Apple iCloud și Minecraft. Deși aceasta exista încă din 2013, a devenit o țintă dorită de hackeri abia în 2021. După ce a fost descoperită, echipele de securitate au intrat într-o cursă contra cronometru, detectând peste 100 de tentative de atac Log4Shell pe minut în perioada de vârf.

3. Vulnerabilitatea zero-day a Chrome - browserul Chrome al Google s-a confruntat cu o serie de amenințări zero-day în 2021. O defecțiune a motorului JavaScript V8 a determinat Google să lanseze actualizări urgente.

4. Zoom - tranziția la nivel global la comunicarea virtuală a dus la utilizarea tot mai răspândită a Zoom. Cu toate acestea, hackerii au descoperit o vulnerabilitate în sistemele celor care folosesc versiuni învechite de Windows, permițându-le să obțină controlul de la distanță asupra PC-ului unui utilizator. În cazul în care contul compromis avea drepturi administrative, hackerul deținea controlul total asupra mașinii.

5. Apple iOS - deși iOS de la Apple este renumit pentru securitatea solidă, a devenit o țintă pentru atacatori. În 2020, au ieșit la iveală două seturi notabile de vulnerabilități de tip „zero-day” ale iOS, dintre care unul le-a permis hackerilor să pătrundă în iPhone-uri de la distanță.

6. Microsoft Windows în Europa de Est - instituțiile guvernamentale din Europa de Est au devenit ținta unui atac care a exploatat o vulnerabilitate a drepturilor locale în Microsoft Windows. În 2019, exploitul de tip zero-day le-a permis hackerilor să manipuleze cod arbitrar, să modifice date și să instaleze aplicații pe sistemele compromise.

7. Microsoft Word - într-o schemă din 2017 de compromitere a conturilor bancare personale, un exploit de tip zero-day a vizat utilizatorii Microsoft Word. Utilizatorii nevinovați care deschideau un anumit document Word primeau un mesaj pop-up, care le solicita să acorde acces extern. Cei care cedau în fața acestui truc deveneau victimele unui malware, instalat pentru a colecta datele de autentificare pentru aplicații bancare.

8. Stuxnet - Stuxnet se remarcă drept un atac monumental de tip zero-day, care a avut ca obiectiv principal instalațiile de îmbogățire a uraniului din Iran. Descoperit pentru prima dată în 2010, acest virus tip worm a exploatat vulnerabilități în software-ul Siemens Step7, modificând operațiunile PLC-urilor. Prejudiciul a fost semnificativ, afectând mașinile de pe linia de asamblare și perturbând inițiativele nucleare ale Iranului. Evenimentul a inspirat un documentar intitulat „Zero Days”.

9. Atacurile Chrome- începutul anului 2022 a fost marcat de un atac al hackerilor nord-coreeni care au exploatat o vulnerabilitate de tip zero-day a Chrome. Prin crearea de e-mailuri de phishing, autorii au direcționat victimele către site-uri contrafăcute. Folosindu-se de eroarea Chrome, aceștia au putut planta programe spyware și malware de acces la distanță.

Cum să detectați și să preveniți atacurile de tip zero-day

 

Ceea ce face ca înfrângerea unei amenințări de tip zero-day să fie atât de dificilă este chiar definiția acesteia; astfel de atacuri rămân necunoscute până când sunt expuse. Prin urmare, cele mai eficiente strategii presupun o apărare pe mai multe niveluri care integrează elemente precum analiza datelor și algoritmi de machine learning.

Tehnologia de machine learning este instruită folosind date anterioare privind vulnerabilitățile din trecut. Astfel, sistemul este dotat cu capacitatea de a detecta comportamentele periculoase ale unei amenințări noi care exploatează o vulnerabilitate nemaiîntâlnită. 

În domeniul securității cibernetice, detecția variantelor bazată pe semnături reprezintă o metodă de identificare a amenințărilor. Această tehnică utilizează semnături digitale pentru a identifica imediat exploatările cunoscute și variațiile atacurilor identificate anterior. Prin monitorizarea comportamentelor, mecanismele de apărare caută tacticile utilizate de obicei de programe malware. Este o abordare destul de directă.

De asemenea, instrumentele de analiză a comportamentului utilizatorilor joacă un rol crucial. Într-o rețea, utilizatorii autorizați prezintă modele de utilizare previzibile. Modelele inconsecvente de comportament al utilizatorilor, în special abaterile majore de la normă, pot indica un atac de tip zero-day. De exemplu, dacă un server web începe să creeze conexiuni de ieșire în mod neașteptat, acest lucru ar putea sugera un exploit.

O abordare hibridă de detecție combină toate aceste metode pentru a îmbunătăți identificarea amenințărilor de tip zero-day. O astfel de abordare utilizează baze de date cu comportamente malware, optimizată constant cu ajutorul algoritmilor de machine learning și analiză comportamentală pentru a stabili ce este „normal” și pentru a semnala abaterile. În timp ce anti-malware-ul tradițional bazat pe semnături poate fi insuficient când este utilizat individual, o strategie cu mai multe niveluri oferă o protecție solidă împotriva amenințărilor de tip zero-day.

Este important să înțelegem că atacurile de tip „zero-day” sunt practic imposibil de prevenit; cu toate acestea, impactul lor poate fi atenuat în mod considerabil prin măsuri solide și proactive de securitate cibernetică.

Pe măsură ce tehnologia avansează, oferind funcții mai solide, complexitatea aplicațiilor și a platformelor crește. Acest lucru extinde suprafața potențială de atac pentru infractorii cibernetici, în special în ceea ce privește configurațiile și gestionarea identității și a accesului, ceea ce face ca atacurile de tip „zero-day” să fie mai probabile și mai dificil de abordat. Soluțiile tradiționale nu sunt disponibile imediat, prin urmare, este obligatoriu să implementați o strategie de securitate cu mai multe niveluri, în special în mediile care utilizează sisteme multi-cloud sau cloud hibrid. Deși prevenirea în totalitate a atacurilor de tip zero-day este imposibilă, obiectivul ar trebui să fie reducerea semnificativă a impactului acestora și îmbunătățirea capacității de a răspunde eficient în cazul în care acestea se produc.

Soluțiile de securitate ar trebui să abordeze vulnerabilitățile din mai multe unghiuri, în loc să se bazeze pe abordări unice, asigurând în același timp aplicarea uniformă a politicilor de securitate în toate mediile, inclusiv în sistemele multi-cloud și cloud hibrid. 

Cele mai bune practici pentru protecția împotriva atacurilor de tip zero-day

 

Actualizați constant programele software și sistemele: exploiturile de tip zero-day se bazează pe faptul că programele software și sistemele nu sunt protejate prin patch-uri. Acest lucru se poate datora faptului că nu au fost lansate patch-urile necesare sau că acestea nu au fost instalate. Pentru a beneficia de faptul că dezvoltatorii de software au descoperit și au remediat o vulnerabilitate, este esențial să actualizați în timp util toate programele și sistemele de operare în mod regulat. Furnizorii de software lansează frecvent patch-uri de securitate care remediază vulnerabilitățile nou descoperite, dar de multe ori este responsabilitatea dumneavoastră să le instalați.

 

Evaluați și analizați utilizarea software-urilor: prin reducerea numărului de aplicații instalate, organizațiile pot minimiza vulnerabilitățile potențiale. Unul dintre instrumentele utilizate în procesul decizional este Analiza componentelor unui software (SCA), care ajută la identificarea și evaluarea componentelor software-urilor, inclusiv a elementelor brevetate și a celor cu sursă deschisă. Această analiză poate descoperi vulnerabilitățile ascunse ale unui software, contribuind la procesul de echilibrare a securității cu preferințele în materie de software.

 

Educarea utilizatorilor finali: eroarea umană este frecvent un mijloc pentru lansarea de exploituri de tip „zero-day”, iar instruirea regulată privind o bună igienă în materie de securitatea cibernetică poate reduce semnificativ acest risc. Includeți, printre altele, cursuri de instruire privind utilizarea unor parole sigure, identificarea tentativelor de phishing și obiceiurile de navigare în siguranță pe internet.

 

Aplicați principiul drepturilor minime de acces (Zero Trust):

· Adoptați măsuri de securitate la nivel de rețea și sisteme, inclusiv firewall-uri și sisteme de detecție a intruziunilor.

· Atribuiți drepturi de utilizator pe baza rolurilor și a funcțiilor ocupate și utilizați autentificarea în doi pași (MFA).

· Asigurați consolidarea sistemului prin reducerea la minimum a punctelor potențiale de atac. Aici ne referim la dezactivarea serviciilor inutile, închiderea porturilor deschise și eliminarea software-ului redundant. Folosiți soluții de securitate la nivel de endpoint pentru detecția și eliminarea amenințărilor la nivel de dispozitiv.

 

Elaborați un plan:

· Fiți proactivi utilizând instrumente de gestionare a suprafeței de atac (ASM) pentru a identifica și corecta vulnerabilitățile înainte ca acestea să fie exploatate.

· Back-up-ul regulat al datelor și elaborarea unor planuri eficiente de răspuns la incidente sunt vitale. Monitorizarea jurnalelor de sistem poate oferi indicii timpurii ale unor potențiale încălcări, iar testarea regulată a planurilor de răspuns la incidente asigură pregătirea pentru atacuri reale.

Soluții Bitdefender pentru vulnerabilitățile zero-day?

 

Toate sfaturile și măsurile descrise mai sus pot eșua, motiv pentru care experții recomandă ca atât utilizatorii casnici, cât și organizațiile să folosească soluții avansate de securitate pentru companii. Bitdefender oferă produse premiate care s-au clasat în top în cadrul evaluărilor independente, adaptate atât pentru nevoile individuale, cât și pentru cele ale companiilor.

Pentru mediul de afaceri, produsele Bitdefender GravityZone oferă soluții scalabile pentru companii de toate dimensiunile. Aceste soluții integrează mecanisme avansate de prevenție, inclusiv caracteristici Endpoint Detection and Response (EDR), tehnologii de protecție pe mai multe niveluri împotriva atacurilor de phishing, ransomware și a atacurilor fără fișiere, precum și prevenție avansată cu descrierea contextului amenințării și raportare.

 

Prin integrarea soluțiilor de securitate Bitdefender în rețeaua dumneavoastră, sporiți eficiența măsurilor de protecție existente, cum ar fi firewallurile și sistemele de prevenire a intruziunilor. Astfel, creați o apărare holistică și rezilientă împotriva amenințărilor malware, ce împiedică atacatorii să pătrundă în sistemele dumneavoastră.

Există reglementări guvernamentale care să abordeze exploiturile zero-day?

Modul în care autoritățile abordează problema exploiturilor zero-day este un subiect complicat, abordarea fiind diferită de la o țară la alta, însă există câteva elemente de reglementare comune.

De exemplu, când vine vorba de politicile privind divulgarea, observăm că autoritățile încurajează adesea cercetătorii să notifice furnizorii de software cu privire la vulnerabilități înainte de a le divulga public, astfel încât aceștia să poată lansa patch-uri.

O atenție deosebită se acordă reglementărilor privind infrastructurile critice, menite să protejeze servicii de bază, cum ar fi rețelele electrice, împotriva atacurilor de tip zero-day. Implicarea autorităților în ceea ce privește vulnerabilitățile de tip „zero-day” este dublă prin natura sa. Cele mai multe țări avansate din punct de vedere tehnologic aplică sancțiuni pentru utilizarea abuzivă a vulnerabilităților de tip zero-day, precum amenzi sau chiar pedepse cu închisoarea. În același timp, unele guverne păstrează vulnerabilitățile de tip zero-day pentru a colecta informații, stocându-le pentru a fi în folosul propriu.

Din punct de vedere economic, există cazuri de restricții la export pentru a limita proliferarea armelor cibernetice. De asemenea, în multe țări, putem observa că guvernele au încheiat parteneriate cu firme private pentru partajarea

Care este diferența dintre un atac de tip zero-day și un exploit zero-day?

Deși sunt adesea folosite ca sinonime, din punct de vedere lingvistic, există o diferență de sens. Un exploit zero-day se referă la tehnica utilizată pentru a profita de o vulnerabilitate a unui program software sau echipament hardware care nu este cunoscută de dezvoltatorul acestuia.

Pe de altă parte, un „atac zero-day” reprezintă implementarea efectivă a exploitului respectiv în lumea reală. În termenii cei mai simpli, dacă exploitul este „rețeta”, atunci atacul reprezintă „prepararea” rețetei respective.

Dacă există vulnerabilități de tip zero-day în programe software noi, este mai sigur să se amâne instalarea actualizărilor?

Vulnerabilitățile de tip zero-day pot fi prezente atât în programe noi, cât și în programe vechi. Întârzierea instalării actualizărilor poate ține la distanță vulnerabilitățile, dar vă expune la erori cunoscute care sunt remediate prin actualizare. În schimb, luați în considerare următorii pași:

·      aflați care sunt părerile legate de actualizare.

·       așteptați puțin după lansarea unei versiuni noi, pentru a vedea dacă sunt lansate remedieri rapide.

·       aplicați bunele practici de securitate cibernetică, cum ar fi utilizarea unui software de securitate fiabil și efectuarea back-up-ului datelor.

·       Rămâneți la curent cu vulnerabilitățile majore și cu pacth-urile lansate pentru a le remedia. Puneți întotdeauna siguranța pe primul loc, dar nu uitați că actualizările aduc adesea și îmbunătățiri în materie de securitate.