pourquoi S’appelle-t-on Zero Day?
en cybersécurité, le terme « Zero-Day” est utilisé parce que le fournisseur de logiciels n’était pas au courant de leur vulnérabilité logicielle et qu’il avait « 0” jours pour travailler sur un correctif de sécurité ou une mise à jour pour résoudre le problème.
Une fois qu’un correctif a été publié, la vulnérabilité n’est plus appelée « zero-day.”
qu’est Ce qu’un « Jour Zéro » Attaque?
un exploit zero-day est une vulnérabilité de sécurité inconnue ou une faille logicielle qu’un acteur de menace peut cibler avec du code malveillant., Cette faille ou faille de sécurité peut également être qualifiée de vulnérabilité zero-day.
une attaque zero-day se produit lorsqu’un pirate libère un logiciel malveillant pour exploiter la vulnérabilité du logiciel avant que le développeur du logiciel n’ait corrigé la faille.
vous Voulez Rester en Avance sur les Adversaires?
Téléchargez le rapport sur les menaces mondiales 2020 pour découvrir les tendances des tactiques, techniques et procédures en constante évolution des attaquants que nos équipes ont observées l’année dernière.
Télécharger maintenant
pourquoi les attaques Zero-Day sont-elles si dangereuses?,
Les attaques Zero-day sont extrêmement dangereuses pour les entreprises car elles sont inconnues et peuvent être très difficiles à détecter, ce qui en fait un risque sérieux pour la sécurité. C’est comme un voleur se faufilant par une porte dérobée qui a été accidentellement laissée déverrouillée.
en savoir plus
lisez notre article de blog pour savoir comment CrowdStrike a découvert Hurricane Panda en utilisant CVE-2014-4113, un Exploit D’escalade Zéro jour 64 bits qui a fait des ravages sur les machines Windows., Read Blog
exemples de Zero-day
généralement, lorsqu’une vulnérabilité zero-day est découverte, elle est ajoutée à la liste des vulnérabilités et expositions courantes (CVE). CVE est un dictionnaire qui fournit des définitions pour les vulnérabilités de cybersécurité divulguées publiquement.
l’objectif de CVE est de faciliter le partage de données entre des fonctionnalités de vulnérabilité distinctes (outils, bases de données et services) avec ces définitions. Les enregistrements CVE comprennent un numéro d’identification, une description et au moins une référence publique.,
Voici quelques exemples d’exploits zero-day découverts au cours des deux dernières années:
Zerologon
Le 11 août 2020, Microsoft a publié une mise à jour de sécurité comprenant un correctif pour une vulnérabilité critique dans le protocole NETLOGON (CVE-2020-1472) découvert par les chercheurs de Secura. Comme aucun détail technique initial n’a été publié, Le CVE dans la mise à jour de sécurité n’a pas reçu beaucoup d’attention, même s’il a reçu un score CVSS maximum de 10.,
cette vulnérabilité permet à un attaquant non authentifié ayant un accès réseau à un contrôleur de domaine, d’établir une session Netlogon vulnérable et éventuellement d’obtenir des privilèges d’administrateur de domaine. La vulnérabilité est particulièrement grave car la seule exigence pour un exploit réussi est la capacité d’établir une connexion avec un contrôleur de domaine.,
lisez notre analyse technique Zerologon
vulnérabilité NTLM
Le juin 2019 Patch Tuesday, Microsoft a publié des correctifs pour CVE-2019-1040 et CVE-2019-1019, deux vulnérabilités découvertes par des chercheurs de Preempt (maintenant CrowdStrike). Les vulnérabilités critiques consistent en trois failles logiques dans NTLM (protocole d’authentification propriétaire de Microsoft). Les chercheurs préemptés ont pu contourner tous les principaux mécanismes de protection NTLM.,
ces vulnérabilités permettent aux attaquants d’exécuter à distance du code malveillant sur n’importe quel ordinateur Windows ou de s’authentifier auprès de n’importe quel serveur HTTP prenant en charge L’authentification intégrée Windows (WIA), comme Exchange ou ADFS. Toutes les versions de Windows qui n’ont pas appliqué ce correctif sont vulnérables.
En savoir plus sur la découverte de cette vulnérabilité
vulnérabilité CredSSP
Le Mardi de Mars, Microsoft a publié un correctif pour CVE-2018-0886, une vulnérabilité découverte par les chercheurs de Preempt (maintenant CrowdStrike)., La vulnérabilité consiste en une faille logique dans le protocole CredSSP (Credential Security Support Provider protocol), qui est utilisé par RDP (Remote Desktop Protocol) et Windows Remote Management (WinRM) et qui prend en charge le transfert sécurisé des informations d’identification vers les serveurs cibles.
la vulnérabilité peut être exploitée par les attaquants en utilisant une attaque man-in-the-middle pour obtenir la possibilité d’exécuter du code à distance sur des machines précédemment non infectées dans le réseau attaqué., La vulnérabilité, dans de nombreux scénarios du monde réel où le réseau de la victime dispose d’équipements réseau vulnérables, pourrait permettre à un attaquant de se déplacer latéralement dans le réseau de la victime et même d’infecter les contrôleurs de domaine avec des logiciels malveillants. Aucune attaque N’a été détectée dans la nature par Preempt au moment de cette publication originale.
En savoir plus sur la vulnérabilité CredSSP
en savoir plus
L’une des attaques zero-day les plus connues est Stuxnet, le ver considéré comme responsable des dommages considérables causés au programme nucléaire iranien., Ce ver exploitait quatre vulnérabilités zero-day différentes dans le système D’exploitation Microsoft Windows.
détection et défense contre les attaques Zero-day
pour détecter et atténuer efficacement les attaques zero-day, une défense coordonnée est nécessaire, qui comprend à la fois une technologie de prévention et un plan de réponse complet en cas d’attaque., Les entreprises peuvent se préparer à ces événements furtifs et dommageables en déployant une solution complète de sécurité des terminaux qui combine des technologies telles que L’antivirus de nouvelle génération (NGAV), la détection et la réponse des terminaux (EDR) et l’intelligence des menaces.
étant donné que les logiciels avec des vulnérabilités peuvent être dans l’environnement de n’importe quelle entreprise, une tentative de violation est inévitable, il est donc essentiel d’avoir une sécurité des terminaux avec des capacités anti-exploit et post-exploit en place.,
pour optimiser la défense, les organisations doivent mettre en œuvre la meilleure technologie de prévention au point d’attaque, tout en ayant un plan pour les pires scénarios. Ensuite, si un attaquant parvient à pénétrer dans le réseau, l’équipe de sécurité aura les outils, les processus et la technologie en place pour atténuer l’événement avant que des dommages réels ne soient causés.
CrowdStrike Falcon® endpoint protection permet aux entreprises de bloquer les exploits zero-day au point d’attaque, en utilisant l’apprentissage automatique et l’analyse comportementale., La plate-forme Falcon comprend également une logique de détection et de prévention automatique pour les activités de post-exploitation afin que les équipes de sécurité puissent obtenir une visibilité immédiate sur une attaque, même si elle contourne d’autres défenses.
regardez la vidéo ci-dessous pour voir comment la plate-forme Falcon arrête une attaque zero-day sur ses traces:
Falcon détecte non seulement les indicateurs D’attaque (IOAs), mais inclut également une technologie d’atténuation des exploits pour empêcher l’exploitation réussie du système d’exploitation sous-jacent., En conséquence, un adversaire est empêché d’utiliser des techniques d’exploitation courantes car l’exécution du code d’exploitation est arrêtée au point de terminaison, en temps réel, bloquant ainsi les attaques zero-day utilisant des logiciels malveillants non découverts auparavant.
la combinaison de la technologie de prévention basée sur L’IOA et des techniques d’atténuation des exploits constitue une défense puissante contre les menaces inconnues et zero-day.
pour en savoir plus sur CrowdStrike ® Falcon et demander un essai gratuit, cliquez sur le bouton ci-dessous:
Démarrer L’essai gratuit