En nolldagssårbarhet är en säkerhetsbrist i mjuk- eller hårdvara som de ansvariga parterna - mjuk- eller hårdvaruleverantörer - ännu inte är medvetna om förrän den avslöjas direkt för dem eller för allmänheten i stort. I vissa fall är leverantören inte medveten om bristen innan den offentliggörs eller har inte haft tillräckligt med tid för att skapa en korrigering, och därför finns det ingen officiell lösning eller korrigering för att skydda sårbarheten från att utnyttjas. Dessa sårbarheter är särskilt riskfyllda eftersom de kan förbli oupptäckta under en längre period, potentiellt dagar, månader eller till och med år.

 

Termen "nolldag" syftar på den tid som förflyter mellan det att en sårbarhet upptäcks och eventuellt utnyttjas och det att den erkänns offentligt och/eller åtgärdas av leverantören. Dessa sårbarheter är huvudmål för cyberbrottslingar som försöker utnyttja dem innan de upptäcks, eller så snart som möjligt efter att de har avslöjats offentligt. Tekniskt sett är det inte längre en nolldagssårbarhet när felet offentliggörs, utan snarare en n-dagssårbarhet eller endagssårbarhet.

Vad är en nolldagsexploatering?

Ennolldagsexploatering är den specifika metod eller teknik som angripare använder för att dra nytta av en nolldagssårbarhet. Det är ett kodstycke eller en sekvens av kommandon som utnyttjar en sårbarhet för att uppnå ett resultat som främjar ett angrepp. Om cyberbrottslingar upptäcker dessa exploateringar före leverantörerna ger det dem ett försprång när det gäller att utforma och genomföra attacker.  Nolldagsexploateringskit kan säljas på dark web för betydande belopp, vilket ger angriparna ytterligare ett lager av ekonomiska incitament.

Vad är en nolldagsattack?

I cybersäkerhetstermer inträffar en nolldagsattack när en angripare använder en nolldagsexploatering för att kompromettera ett system som har en befintlig men okänd sårbarhet. Dessa attacker kan ta sig olika uttryck, från datastöld till installation av skadlig programvara. Nolldagsattacker är särskilt hotfulla eftersom det ofta bara är angriparna själva som känner till dem. I många fall levererar angriparna nolldagsexploateringen genom sofistikerade metoder som socialt konstruerade e-postmeddelanden eller nätfiskebedrägerier och inleder därmed angreppssekvensen.

Hur fungerar det?

vad är en nolldagsexploatering

Nolldagssårbarheter är ett stort problem eftersom de gör det möjligt för hackare att utnyttja brister innan målen ens blir medvetna om att de finns. Det innebär att angriparna kan ta sig in i systemen i smyg, vilket ger dem gott om tid att skapa förödelse. När en sådan sårbarhet väl har upptäckts kan det ta lång tid för leverantörerna att utfärda en korrigering. Under tiden är organisationerna fortsatt utsatta för hög risk.

Det hela kompliceras ytterligare av att själva arkitekturen i moderna nätverk blir allt mer invecklad. Organisationer integrerar nu en blandning av molnbaserade och lokala applikationer, olika typer av enheter och till och med IoT-teknik (Internet of Things), vilket breddar deras attackyta avsevärt.

Se mer

 

 

De som utför nolldagsattacker är inte en monolitisk grupp, utan har olika motiv och tillhör olika kategorier. Det är inte bara opportunistiska hackare som är problemet, det finns också en livlig svart marknad där nolldagssårbarheter och exploateringar handlas för stora summor pengar. Även nationella aktörer är på jakt efter dessa brister. Istället för att avslöja dem samlar de ofta på sig dessa sårbarheter för att skapa specialiserade nolldagsexploateringar som kan användas mot motståndare, en praxis som har fått mycket kritik för att den utsätter oskyldiga organisationer för fara.

 

Cyberbrottslingar är oftast ute efter ekonomisk vinning och fokuserar på att komma över känslig information eller kräva lösen genom att kryptera (ransomware) eller hota att släppa känslig information, eller både och. Statsunderstödda aktörer och hacktivister använder nolldagssårbarheter för att främja sociala eller politiska syften, ofta i syfte att samla in känsliga uppgifter eller offentliggöra sitt uppdrag. Företagsspionage är en annan drivkraft, där företag kan använda exploateringar för att få en konkurrensfördel genom att få tillgång till konfidentiell information från rivaler. Slutligen kan dessa attacker vara verktyg för cyberkrigföring, där nationalstater riktar in sig på ett annat lands digitala infrastruktur genom störande lång- och kortsiktiga attacker för att få fördelar mot allmännyttiga företag, ekonomiska institutioner, strategiska investeringar och immateriella rättigheter - däribland statshemligheter.

 

Nolldagsexploateringar har en bred räckvidd och riktar in sig på allt från operativsystem och webbläsare till hårdvara och IoT-enheter. Detta breda spektrum av målenheter används av offren, däribland:

- Vanliga användare som har ett sårbart system, t.ex. en föråldrad webbläsare.

- Ägare av värdefulla affärsdata eller immateriella rättigheter.

- Stora företag och organisationer som hanterar betydande mängder känsliga data.

- Statliga myndigheter som innehar kritisk information om nationell säkerhet.

 

Målen kan vara specifika eller breda. Riktade nolldagsattacker tar sikte på högvärdiga mål som myndigheter eller stora företag, medan icke riktade attacker fokuserar på att utnyttja alla sårbara system som de kan hitta. I det senare fallet är målet ofta att kompromettera så många användare som möjligt, vilket gör att ingen riktigt är säker från potentiell skada.

 

Ryggraden i en nolldagsattack bygger på flera faktorer, bland annat

· Identifiering av en sårbarhet i programvaran, vilket inkluderar brister i exekvering av program.

· Sårbarheten offentliggörs inte.

· Snabb utveckling av en exploatering av sårbarheten.

 

Dessa faktorer möjliggör olika skadliga aktiviteter, men det krävs fortfarande att exploateringskoden levereras för att en attack ska kunna genomföras. En exploatering kan levereras via olika kanaler:

· Social ingenjörskonst: Angriparna använder en mängd olika metoder med hög kontaktnivå, däribland skräddarsydd e-post, sociala medier och andra meddelanden; en angripare bygger upp en profil av ett mål för att vinna förtroende

· Nätfiske: Angriparna använder denna metod för att lura användare att öppna en skadlig fil eller länk via ett e-postmeddelande som verkar legitimt men som i själva verket kommer från en angripare.

- Drive-by-nedladdning: I detta scenario bäddar hotaktörer in exploateringskod i en komprometterad men till synes legitim webbplats som ett dolt element. När besökarna går till den infekterade webbplatsen laddas exploateringen ner och körs på deras system utan att de gör något direkt eller är medvetna om det. Denna teknik används ofta för att utföra nolldagsattacker, där man utnyttjar nolldagssårbarheter för att infiltrera system på ett diskret sätt.

- Malvertising: I denna strategi går skadliga annonser via betrodda annonsnätverk. Bara genom att klicka eller hålla muspekaren över dessa annonser utlöses exploateringskoden. Med tanke på att användare tenderar att lita på kända webbplatser är detta ett listigt sätt att genomföra nolldagsattacker.

- Spjutfiske: Denna teknik riktar sig till specifika slutanvändare med mycket personliga meddelanden via e-post, sms eller andra plattformar. Om en angripare får tillgång till ett privilegierat konto ökar nyttan av en exploatering inom målinfrastrukturen. Detta kan leda till att en attack inte bara drabbar ett företag utan även partner och andra anslutna organisationer.

 

Dessa exploateringar kan också buntas ihop till ett "exploateringspaket", som sonderar systemet efter flera sårbarheter och levererar exploateringen där den är som mest effektiv. När koden väl har körts kan den orsaka en rad olika skador - från datastöld till att göra systemet obrukbart. Eftersom attackerna är smygande och sofistikerade är de ofta svåra att upptäcka och förhindra, vilket kräver avancerade strategier för att förebygga nolldagsattacker.

9 verkliga exempel på nolldagsexploateringar

 

Världen har bevittnat flera betydande exploateringar under årens lopp. Vissa av dem hamnade till och med i de allmänna nyhetsrubrikerna och orsakade utbredd panik bland användarna. Nedan listar vi några viktiga exempel som har format vår förståelse av detta cybersäkerhetshot.

 

1. EternalBlue - Exploateringen utvecklades av amerikanska National Security Agency (NSA) och var inriktad på en sårbarhet i Microsoft Windows Server Message Block (SMB)-protokollet. Den har använts i stora cyberattacker, bland annat ransomware-attacken WannaCry, som fick stora konsekvenser för datorer världen över. EternalBlue utnyttjade en sårbarhet i äldre Windows-system, vilket gjorde det möjligt för fjärrangripare att exekvera kod och kontrollera berörda system.

2. Log4Shell - Sårbarheten i Log4Shell i Java-biblioteket Log4J utsatte ett stort antal enheter för potentiella intrång. Framför allt var framstående applikationer som Apple iCloud och Minecraft sårbara. Trots att den funnits sedan 2013 blev den ett hett mål för hackare först 2021. Efter upptäckten fick säkerhetsteamen kämpa mot klockan, eftersom de upptäckte över 100 Log4Shell-attackförsök per minut när det var som värst.

3. Chrome Zero-Day Vulnerability - Googles Chrome-webbläsare utsattes för en rad nolldagshot 2021. En brist i JavaScript-motorn V8 fick Google att skicka ut brådskande uppdateringar.

4. Zoom - Den globala övergången till virtuell kommunikation ledde till Zooms enorma uppsving. Hackare har dock upptäckt en sårbarhet för dem som använder föråldrade Windows-versioner, vilket gör att de kan fjärrstyra en användares dator. Om det komprometterade kontot hade administrativa rättigheter fick hackaren full kontroll över maskinen.

5. Apple iOS - Även om Apples iOS är känt för sin robusta säkerhet, blev det också ett mål för angripare. Två anmärkningsvärda uppsättningar nolldagssårbarheter i iOS dök upp under 2020, varav en gjorde det möjligt för angripare att ta sig in i iPhones på avstånd.

6. Microsoft Windows i Östeuropa - Statliga institutioner i Östeuropa utsattes för en attack som utnyttjade en lokal behörighetssårbarhet i Microsoft Windows. Under 2019 gjorde nolldagsexploateringen det möjligt för brottslingar att manipulera godtycklig kod, ändra data och installera applikationer på komprometterade system.

7. Microsoft Word - I en plan från 2017 för att kompromettera personliga bankkonton riktades en nolldagsexploatering mot Microsoft Word-användare. Intet ont anande personer som öppnade ett visst Word-dokument fick ett popup-fönster som lockade dem att bevilja extern åtkomst. Om man gick på det här tricket installerades skadlig kod, som sedan tog över inloggningsuppgifterna till banken.

8. Stuxnet - Stuxnet framstår som en monumental nolldagsattack, vars primära mål var Irans anläggningar för anrikning av uran. Denna mask upptäcktes första gången 2010 och utnyttjade sårbarheter i Siemens Step7-programvaran och ändrade PLC:ernas funktion. Utfallet var betydande och påverkade maskiner för löpande band och störde Irans kärntekniska initiativ. Händelsen inspirerade till dokumentären "Zero Days".

9. Chrome-attacker - I början av 2022 utnyttjade nordkoreanska hackare en nolldagssårbarhet i Chrome. Genom att utforma e-postmeddelanden för nätfiske skickade förövarna offren till förfalskade webbplatser. Genom att utnyttja felet i Chrome kunde de placera ut spionprogram och skadlig kod för fjärråtkomst.

Så här upptäcker och förhindrar du nolldagsattacker

 

Det som gör det så svårt att avvärja ett nolldagshot är definitionen: de förblir okända tills de avslöjas. Därför innebär de mest effektiva strategierna ett flerskiktat försvar som innehåller element som dataanalys och algoritmer för machine learning.

Machine learning tränas med hjälp av historiska data om tidigare sårbarheter. Detta ger systemet möjlighet att upptäcka skadliga beteenden som orsakas av ett nytt utnyttjande av en ny sårbarhet. 

När det gäller cybersäkerhet är signaturbaserad variantdetektering en metod för att identifiera hot. Den här tekniken använder digitala signaturer för att omedelbart identifiera kända exploateringar och variationer av tidigare identifierade angrepp. Med beteendebaserad övervakning letar försvarsmekanismerna efter vanliga taktiker för skadlig kod. Det är ett ganska praktiskt tillvägagångssätt.

Analys av användarbeteende spelar också en avgörande roll. I ett nätverk uppvisar auktoriserade användare förutsägbara användningsmönster. Inkonsekventa användarmönster, särskilt om de avviker från det normala, kan tyda på en nolldagsattack. Om en webbserver t.ex. oväntat börjar skapa utgående anslutningar kan det tyda på en exploatering.

En hybriddetekteringsmetod kombinerar alla dessa metoder för att förbättra identifieringen av nolldagshot. En sådan metod använder databaser med beteenden hos skadlig kod som kontinuerligt förbättras genom machine learning-algoritmer och beteendeanalys för att fastställa vad som är "normalt" och flagga för avvikelser. Traditionellt signaturbaserad antimalware kan vara otillräcklig i sig, men en mångfacetterad strategi ger ett robust försvar mot nolldagshot.

Det är viktigt att förstå att nolldagsattacker är praktiskt taget omöjliga att förhindra, men deras inverkan kan minskas avsevärt genom robusta och proaktiva cybersäkerhetsåtgärder.

I takt med att tekniken utvecklas och ger allt fler möjligheter ökar komplexiteten i applikationer och plattformar. Det ökar den potentiella attackytan för cyberbrottslingar, särskilt när det gäller konfigurationer och identitets- och åtkomsthantering, vilket gör nolldagsattacker mer sannolika och svårare att hantera. Traditionella lösningar är inte omedelbart tillgängliga och därför är en mångfacetterad säkerhetsstrategi obligatorisk, särskilt i miljöer som använder multi-cloud- eller hybrid-cloud-system. Även om det är omöjligt att helt förhindra nolldagsattacker bör målet vara att avsevärt minska deras inverkan och förbättra förmågan att reagera effektivt om de inträffar.

Säkerhetslösningar bör angripa sårbarheter från flera håll, snarare än förlita sig på enskilda metoder, och samtidigt säkerställa att säkerhetspolicyer tillämpas konsekvent i alla miljöer, däribland multi-cloud- och hybrid-cloud-system. 

Bästa praxis för skydd mot nolldagsattacker

 

Håll programvara och system uppdaterade: Nolldagsexploateringar förlitar sig på att programvara och system fortfarande inte är korrigerade. Det kan bero på att det ännu inte finns någon korrigering eller på att korrigeringen inte har tillämpats ännu. För att kunna dra nytta av att programutvecklare har upptäckt och åtgärdat en sårbarhet är det viktigt att du regelbundet uppdaterar all din programvara och alla dina operativsystem. Programvaruleverantörer släpper ofta säkerhetsuppdateringar som åtgärdar nyupptäckta sårbarheter, men det är ofta ditt ansvar att installera dem.

 

Utvärdera och analysera programvaruanvändningen: Genom att minska antalet installerade program kan organisationer minimera potentiella sårbarheter. Ett av de verktyg som används i beslutsprocessen är Software Composition Analysis (SCA), som hjälper till att identifiera och utvärdera komponenterna i programvaran, inklusive både proprietära och open source-element. Den här analysen kan avslöja dolda sårbarheter i programvaran, vilket underlättar processen med att balansera säkerhet med programvarupreferenser.

 

Utbilda slutanvändarna: Mänskliga fel är en vanlig väg för nolldagsexploateringar och regelbunden utbildning om cybersäkerhetshygien kan avsevärt minska denna risk. Utbildningen kan bland annat handla om säkra lösenord, hur man identifierar nätfiskeförsök och hur man surfar säkert på internet.

 

Tillämpa principen om minsta möjliga privilegium (nollförtroende):

· Implementera säkerhetsåtgärder för nätverk och system, däribland brandväggar och system för upptäckt av intrång.

· Tilldela användarrättigheter baserat på roller och arbetsuppgifter och använd flerfaktorautentisering (MFA).

· Stärk systemet genom att minimera potentiella angreppspunkter. Det innebär att onödiga tjänster inaktiveras, öppna portar stängs och överflödig programvara tas bort. Använd säkerhetslösningar för endpoints för att upptäcka och minska hot på enhetsnivå.

 

Ha en plan:

· Var proaktiv med hjälp av ASM-verktyg (Attack Surface Management) för att identifiera och åtgärda sårbarheter innan de utnyttjas.

· Regelbunden säkerhetskopiering av data och effektiva planer för incidenthantering är avgörande. Övervakning av systemloggar kan ge tidiga varningar om potentiella intrång, medan regelbunden testning av incidenthanteringsplaner säkerställer beredskap för faktiska attacker.

Bitdefenders lösningar på nolldagssårbarheter?

 

Alla tips och åtgärder som beskrivs ovan kan misslyckas, vilket är anledningen till att experter rekommenderar att både privatpersoner och företagsanvändare använder avancerade säkerhetslösningar för företag. Bitdefender erbjuder prisbelönta och oberoende förstklassigt rankade skräddarsydda produkter för både privatpersoners och företags behov.

I företagssfären erbjuderBitdefenders GravityZone-produkter skalbara lösningar för små och stora företag. Dessa lösningar innehåller avancerade förebyggande mekanismer, däriblans EDR-funktioner (Endpoint Detection and Response), flerskiktade skyddstekniker mot nätfiske, ransomware och fillösa attacker samt avancerat förebyggande med hotkontext och rapportering.

 

Genom att integrera Bitdefenders säkerhetslösningar i ditt nätverk ökar du effektiviteten hos befintliga skyddsåtgärder som brandväggar och system för intrångsskydd. Detta resulterar i ett holistiskt och motståndskraftigt försvar mot hot från skadlig kod, vilket gör det svårare för angripare att tränga in i era system.

Finns det statliga bestämmelser som tar upp nolldagsexploateringar?

Hur regeringar hanterar noldagsexploateringar är en komplex fråga som varierar från land till land, men det finns några gemensamma regleringsspecifikationer.

När det gäller policyer för offentliggörande kan vi till exempel notera att regeringar ofta uppmuntrar forskare att meddela programvaruleverantörer om sårbarheter innan de offentliggörs, så att de kan utfärda korrigeringar.

Ett särskilt fokus ligger på bestämmelser om kritisk infrastruktur som syftar till att skydda viktiga tjänster som kraftnät från nolldagsattacker. Regeringars engagemang i nolldagssårbarheter är av dubbel natur. De flesta tekniskt avancerade länder bestraffar missbruk av nolldagssårbarheter med böter eller till och med fängelsestraff. Samtidigt behåller vissa regeringar nolldagssårbarheter i underrättelsesyfte och lagrar dem för att kunna utnyttja dem i sin egen underrättelseverksamhet.

Ekonomiskt sett finns det fall av exportrestriktioner för att hejda spridningen av cybervapen. I många länder kan vi också se att regeringar ofta samarbetar med privata företag för hotinformation.

Vad är skillnaden mellan en nolldagsattack och en nolldagsexploatering?

Även om de ofta används synonymt, finns det språkligt sett en skillnad i betydelsen. En "nolldagsexploatering" avser den faktiska teknik som används för att utnyttja en sårbarhet i mjuk- eller hårdvara som är okänd för utvecklaren.

Å andra sidan är en "nolldagsattack" den faktiska implementeringen av denna exploatering i den verkliga världen. Enkelt uttryckt kan man säga att om exploateringen är "receptet", så är attacken "tillagningen" av det receptet.

Om det finns nolldagssårbarheter i ny programvara, är det då säkrare att vänta med att installera uppdateringar?

Nolldagssårbarheter kan finnas i både ny och gammal programvara. Genom att fördröja uppdateringar kan nya sårbarheter undvikas, men kända problem som åtgärdas i uppdateringen kvarstår. Överväg istället följande steg:

·       Undersök feedback om uppdateringen.

·       Vänta en stund efter en ny version innan du gör några snabba korrigeringar.

·       Upprätthåll god praxis för cybersäkerhet, t.ex. genom att använda tillförlitlig säkerhetsprogramvara och säkerhetskopiera data.

·       Håll dig informerad om större sårbarheter och deras korrigeringar. Prioritera alltid säkerheten, men kom ihåg att uppdateringar ofta också innebär förbättringar av säkerheten.