¿por qué se llama Día Cero?
en ciberseguridad, el término «día cero» se utiliza porque el proveedor de software no era consciente de su vulnerabilidad de software, y han tenido «0» días para trabajar en un parche de seguridad o una actualización para solucionar el problema.
una vez que se ha lanzado un parche, la vulnerabilidad ya no se llama «día cero».»
¿qué es un ataque de día cero?
un exploit de día cero es una vulnerabilidad de seguridad desconocida o un defecto de software que un agente de amenaza puede atacar con código malicioso., Este agujero de seguridad o defecto, también puede ser referido como una vulnerabilidad de día cero.
un ataque de día cero se produce cuando un hacker libera malware para explotar la vulnerabilidad del software antes de que el desarrollador de software haya parcheado el defecto.
Quiero para Mantenerse por Delante de los Adversarios?
descargue el informe global de amenazas 2020 para descubrir las tendencias en las tácticas, técnicas y procedimientos en constante evolución de los atacantes que nuestros equipos observaron el año pasado.
Descargar ahora
¿por qué los ataques de día cero son tan peligrosos?,
Los ataques de día cero son extremadamente peligrosos para las empresas porque son desconocidos y pueden ser muy difíciles de detectar, lo que los convierte en un grave riesgo de seguridad. Es como un ladrón entrando a hurtadillas por una puerta trasera que accidentalmente se dejó abierta.
más información
lea nuestra publicación de blog para aprender cómo CrowdStrike descubrió el huracán Panda usando CVE-2014-4113, un Exploit de escalada de día cero de 64 bits que causó estragos en las máquinas Windows., Leer Blog
ejemplos de día cero
generalmente, cuando se descubre una vulnerabilidad de día cero, se agrega a la lista de Vulnerabilidades y exposiciones comunes (CVE). CVE es un diccionario que proporciona definiciones para vulnerabilidades de ciberseguridad divulgadas públicamente.
el objetivo de CVE es facilitar el intercambio de datos entre capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios) con estas definiciones. Los registros CVE se componen de un número de identificación, una descripción y al menos una referencia pública.,
a continuación se muestran algunos ejemplos de exploits de día cero que se descubrieron en los últimos años:
Zerologon
El 11 de agosto de 2020 Microsoft lanzó una actualización de seguridad que incluye un parche para una vulnerabilidad crítica en el protocolo NETLOGON (CVE-2020-1472) descubierto por investigadores de Secura. Dado que no se publicaron los detalles técnicos iniciales, el CVE en la actualización de seguridad no recibió mucha atención, a pesar de que recibió una puntuación CVSS máxima de 10.,
esta vulnerabilidad permite a un atacante no autenticado con acceso de red a un controlador de dominio, establecer una sesión de Netlogon vulnerable y, finalmente, obtener privilegios de administrador de dominio. La vulnerabilidad es especialmente grave ya que el único requisito para un exploit exitoso es la capacidad de establecer una conexión con un controlador de dominio.,
Lea nuestro Análisis Técnico de Zerologon
vulnerabilidad NTLM
El Martes de parches de junio de 2019, Microsoft lanzó parches para CVE-2019-1040 y CVE-2019-1019, dos vulnerabilidades descubiertas por investigadores de Preempt (ahora CrowdStrike). Las vulnerabilidades críticas consisten en tres fallas lógicas en NTLM (Protocolo de autenticación propietario de Microsoft). Los investigadores de Preempt fueron capaces de eludir todos los principales mecanismos de protección NTLM.,
estas vulnerabilidades permiten a los atacantes ejecutar de forma remota código malicioso en cualquier máquina Windows o autenticarse en cualquier servidor HTTP que admita la autenticación integrada de Windows (WIA), como Exchange o ADFS. Todas las versiones de Windows que no aplicaron este parche son vulnerables.
Obtenga más información sobre cómo se descubrió esta vulnerabilidad
vulnerabilidad CredSSP
El Martes de parche de marzo, Microsoft lanzó un parche para CVE-2018-0886, una vulnerabilidad descubierta por investigadores de Preempt (ahora CrowdStrike)., La vulnerabilidad consiste en un defecto lógico en Credential Security Support Provider protocol (CredSSP), que es utilizado por RDP (Remote Desktop Protocol) y Windows Remote Management (WinRM) y que se encarga de reenviar credenciales de forma segura a los servidores de destino.
la vulnerabilidad puede ser explotada por los atacantes mediante el empleo de un ataque man-in-the-middle para lograr la capacidad de ejecutar código de forma remota en máquinas previamente no infectadas en la red atacada., La vulnerabilidad, en muchos escenarios del mundo real donde la red de la víctima tiene equipos de red vulnerables, podría resultar en que un atacante obtenga la capacidad de moverse lateralmente en la red de la víctima e incluso infectar controladores de dominio con software malicioso. No se han detectado ataques en la naturaleza por Preempt en el momento de esta publicación original.
Leer más sobre la vulnerabilidad CredSSP
aprender más
uno de los ataques de día cero más conocidos es Stuxnet, el gusano que se cree que es responsable de causar daños considerables al programa nuclear de Irán., Este gusano explotó cuatro vulnerabilidades de día cero diferentes en el sistema operativo Microsoft Windows.
detección y defensa contra ataques de día cero
para detectar y mitigar eficazmente los ataques de día cero, se necesita una defensa coordinada, que incluya tecnología de prevención y un plan de respuesta completo en caso de ataque., Las organizaciones pueden prepararse para estos eventos sigilosos y dañinos mediante la implementación de una solución completa de seguridad de endpoints que combina tecnologías como antivirus de próxima generación (NGAV), detección y respuesta de endpoints (EDR) E inteligencia de amenazas.
dado que el software con vulnerabilidades puede estar en el entorno de cualquier empresa, un intento de violación es inevitable, por lo que es esencial tener seguridad de punto final con capacidades anti-exploit y post-exploit en su lugar.,
para optimizar la defensa, las organizaciones deben implementar la mejor tecnología de Prevención en el punto de ataque, al tiempo que tienen un plan para los peores escenarios. Luego, si un atacante logra ingresar a la red, el equipo de seguridad tendrá las herramientas, los procesos y la tecnología para mitigar el evento antes de que se produzca un daño real.
CrowdStrike Falcon ® endpoint protection permite a las organizaciones bloquear exploits de día cero en el punto de ataque, utilizando aprendizaje automático y análisis de comportamiento., La plataforma Falcon también incluye la detección automática y la lógica de prevención para las actividades posteriores a la explotación, de modo que los equipos de seguridad puedan obtener visibilidad inmediata de un ataque, incluso si pasa por alto otras defensas.
vea el video a continuación para ver cómo la plataforma Falcon detiene un ataque de día cero:
Falcon no solo detecta indicadores de ataque (ioas), sino que también incluye tecnología de mitigación de exploits para evitar la explotación exitosa del sistema operativo subyacente., Como resultado, se evita que un adversario utilice técnicas de explotación comunes porque la ejecución del código de explotación se detiene en el punto final, en tiempo real, bloqueando así los ataques de día cero que utilizan malware previamente no descubierto.
La combinación de Falcon de tecnología de prevención basada en IOA y técnicas de mitigación de exploits es una poderosa defensa contra amenazas desconocidas de día cero.
para obtener más información sobre CrowdStrike ® Falcon y solicitar una prueba gratuita, haga clic en el botón de abajo:
Iniciar prueba gratuita