miért hívják nulla napnak?
a kiberbiztonságban a “nulla nap” kifejezést azért használják, mert a szoftvergyártó nem volt tisztában a szoftver sebezhetőségével, és “0” napjuk volt arra, hogy biztonsági javítást vagy frissítést végezzenek a probléma megoldásához.
a javítás felszabadítása után a sebezhetőséget már nem “nulla napnak” nevezik.”
mi a nulla napos támadás?
a nulla napos exploit egy ismeretlen biztonsági rés vagy szoftverhiba, amelyet a fenyegetési szereplő rosszindulatú kódokkal célozhat meg., Ez a biztonsági lyuk vagy hiba, nulla napos sebezhetőségnek is nevezhető.
nulla napos támadás akkor fordul elő, amikor egy hacker rosszindulatú programokat bocsát ki a szoftver sebezhetőségének kihasználására, mielőtt a szoftverfejlesztő kijavította a hibát.
szeretne maradni az ellenfelek előtt?
töltse le a 2020-as globális fenyegetésről szóló jelentést, hogy feltárja a támadók folyamatosan változó taktikáinak, technikáinak és eljárásainak tendenciáit, amelyeket csapataink megfigyeltek az elmúlt évben.
letöltés most
miért olyan veszélyesek a nulla napos támadások?,
a nulla napos támadások rendkívül veszélyesek a vállalatok számára, mert ismeretlenek, és nagyon nehéz észlelni őket, ami komoly biztonsági kockázatot jelent. Olyan, mint egy tolvaj, aki besurran egy hátsó ajtón, amelyet véletlenül nyitva hagytak.
Tudjon meg többet
olvassa el blogbejegyzésünket, hogy megtudja, hogyan fedezte fel a CrowdStrike a Panda hurrikánt a CVE-2014-4113 használatával, egy 64 bites nulla napos eszkalációs kihasználás, amely pusztítást okozott a Windows gépeken., Olvassa Blog
nulla napos példák
általában, amikor egy nulla napos sebezhetőséget fedeznek fel, hozzáadódik a közös sebezhetőségek és kitettségek (CVE) listához. CVE egy szótár, amely meghatározásokat nyilvánosan közzétett kiberbiztonsági réseket.
a CVE célja, hogy megkönnyítse az adatok megosztását a különböző sebezhetőségi képességeken (eszközök, adatbázisok és szolgáltatások) keresztül ezekkel a meghatározásokkal. A CVE-nyilvántartások azonosító számból, leírásból és legalább egy nyilvános hivatkozásból állnak.,
az Alábbiakban csak néhány példa a nulladik napi hasznosítja fedeztek fel az elmúlt pár évben:
Zerologon
augusztus 11, 2020-ra a Microsoft kiadott egy biztonsági frissítést, beleértve a patch egy kritikus biztonsági rés a NETLOGON jegyzőkönyv (CVE-2020-1472) által felfedezett Secura kutatók. Mivel kezdeti technikai részleteket nem tettek közzé, a biztonsági frissítésben szereplő CVE nem kapott nagy figyelmet, annak ellenére, hogy maximális CVSS-pontszámot kapott 10.,
Ez a biztonsági rés lehetővé teszi, hogy egy nem hitelesített támadó hálózati hozzáféréssel rendelkezzen egy tartományvezérlőhöz, létrehozzon egy sebezhető Netlogon munkamenetet, majd végül domain rendszergazdai jogosultságokat szerezzen. A sebezhetőség különösen súlyos, mivel a sikeres kihasználás egyetlen követelménye a tartományvezérlővel való kapcsolat létesítésének képessége.,
olvassa el a Zerologon MŰSZAKI elemzését
NTLM sebezhetőség
június 2019 Patch kedden a Microsoft kiadta a CVE-2019-1040 és a CVE-2019-1019 két sebezhetőséget, amelyeket a Preempt (most CrowdStrike) kutatók fedeztek fel. A kritikus sebezhetőségek három logikai hibából állnak az NTLM-ben (a Microsoft szabadalmaztatott hitelesítési protokollja). A Preempt kutatók képesek voltak megkerülni az összes főbb NTLM védelmi mechanizmust.,
Ezek a sebezhetőségek lehetővé teszik a támadók számára, hogy távolról végrehajtsák a rosszindulatú kódot bármely Windows gépen, vagy hitelesítsenek bármely olyan HTTP-kiszolgálót, amely támogatja a Windows integrált hitelesítést (WIA), például Exchange vagy ADFS. Minden olyan Windows verzió, amely nem alkalmazta ezt a javítást, sebezhető.
Tudjon meg többet arról, hogyan fedezték fel ezt a sebezhetőséget
CredSSP sebezhetőség
március Patch kedden a Microsoft kiadott egy javítást a CVE-2018-0886-ra, egy sebezhetőséget, amelyet a Preempt (most CrowdStrike) kutatók fedeztek fel., A biztonsági rés áll egy logikai hibát, hogy a Hitelesítő Biztonsági Támogatást Nyújtó protokoll (CredSSP), amely által használt RDP (Remote Desktop Protocol), valamint a Windows Remote Management (Wmserver), valamint gondoskodik a biztonságos hitelesítő adatok továbbítása a cél szerverek.
a sebezhetőséget a támadók kihasználhatják egy középső ember támadásával, hogy elérjék a kód távoli futtatását a korábban nem fertőzött gépeken a megtámadott hálózatban., A sebezhetőség, sok valós forgatókönyvben, ahol az áldozathálózat sebezhető hálózati eszközökkel rendelkezik, azt eredményezheti, hogy a támadó képes oldalirányban mozogni az áldozat hálózatán, sőt rosszindulatú szoftverekkel megfertőzni a tartományvezérlőket. Az eredeti kiadvány idején a vadonban nem észleltek támadásokat.
Tudjon meg többet a CredSSP sebezhetőségéről
Tudjon meg többet
az egyik legismertebb nulla napos támadás a Stuxnet, a féreg, amelyről úgy gondolják, hogy felelős az iráni nukleáris program jelentős károsodásáért., Ez a féreg négy különböző nulla napos sebezhetőséget használt ki a Microsoft Windows operációs rendszerben.
nulla napos támadások észlelése és védelme
a nulla napos támadások hatékony észlelése és enyhítése érdekében összehangolt védekezésre van szükség-amely magában foglalja mind a megelőzési technológiát, mind pedig egy alapos válasz tervet támadás esetén., A szervezetek felkészülhetnek ezekre a lopakodó és káros eseményekre egy teljes végpont-biztonsági megoldás telepítésével, amely egyesíti a technológiákat, beleértve a next-gen antivirus (NGAV), a végpont-felismerés és a válasz (EDR) és a fenyegetésintelligencia.
mivel a sebezhetőségekkel rendelkező szoftverek bármely vállalat környezetében lehetnek, elkerülhetetlen a megsértési kísérlet, ezért elengedhetetlen a végpontbiztonság a kihasználás elleni és utáni képességekkel.,
a védelem optimalizálása érdekében a szervezeteknek a támadás helyén végre kell hajtaniuk a legjobb megelőzési technológiát, miközben tervük van a legrosszabb esetekre is. Ha a támadó sikeresen bekerül a hálózatba, akkor a biztonsági csapat rendelkezésére állnak azok az eszközök, folyamatok és technológia, amelyek enyhítik az eseményt, mielőtt valódi károkat okoznának.
CrowdStrike Falcon® végpont védelem lehetővé teszi a szervezetek számára, hogy blokkolják a nulla napos kihasználásokat a támadás helyén, gépi tanulás és viselkedési elemzés segítségével., A Falcon platform magában foglalja a kizsákmányolás utáni tevékenységek automatikus észlelési és megelőzési logikáját is, hogy a biztonsági csapatok azonnali láthatóságot érjenek el egy támadás során, még akkor is, ha megkerüli a többi védelmet.
Nézd meg az alábbi videót, hogy lásd, hogy a Sólyom platform megáll egy nulladik napi támadás saját számokat:
Sólyom nem csak érzékeli mutatók a támadás (IOAs), ez is tartalmaz exploit-mérséklési technológia megakadályozza a sikeres kizsákmányolás, az alapul szolgáló operációs rendszer., Ennek eredményeként az ellenfél megakadályozza a közös kizsákmányolási technikák használatát, mivel az exploit kód végrehajtása a végponton, valós időben leáll, ezáltal blokkolja a korábban fel nem fedezett rosszindulatú programokat használó nulla napos támadásokat.
Falcon kombinációja az IOA-alapú megelőzési technológia és kihasználni enyhítő technikák egy erős védelem ellen ismeretlen, nulla napos fenyegetések.
Ha többet szeretne megtudni a CrowdStrike® Falcon-ról, és ingyenes próbaverziót szeretne kérni, kattintson az alábbi gombra:
ingyenes próbaverzió indítása