Attacchi Zero-Day Explained

Perché si chiama Zero Day?

Nella sicurezza informatica, il termine “Zero-Day” viene utilizzato perché il fornitore del software non era a conoscenza della vulnerabilità del software e ha avuto “0” giorni per lavorare su una patch di sicurezza o un aggiornamento per risolvere il problema.

Una volta rilasciata una patch, la vulnerabilità non viene più chiamata “zero-day.”

Che cos’è un attacco Zero-Day?

Un exploit zero-day è una vulnerabilità di sicurezza sconosciuta o una falla software che un attore di minacce può indirizzare con codice dannoso., Questo buco di sicurezza o difetto, può anche essere indicato come una vulnerabilità zero-day.

Un attacco zero-day si verifica quando un hacker rilascia malware per sfruttare la vulnerabilità del software prima che lo sviluppatore del software ha patchato il difetto.

Vuoi stare davanti agli avversari?

Scarica il Global Threat Report 2020 per scoprire le tendenze nelle tattiche, nelle tecniche e nelle procedure in continua evoluzione degli aggressori osservate dai nostri team lo scorso anno.

Scarica ora

Perché gli attacchi Zero-Day sono così pericolosi?,

Gli attacchi zero-day sono estremamente pericolosi per le aziende perché sono sconosciuti e possono essere molto difficili da rilevare, rendendoli un serio rischio per la sicurezza. È come un ladro che si intrufola attraverso una backdoor che è stata accidentalmente lasciata aperta.

Per saperne di più

Leggi il nostro post sul blog per scoprire come CrowdStrike ha scoperto Hurricane Panda Usando CVE-2014-4113, un exploit di escalation Zero-Day a 64 bit che ha devastato le macchine Windows., Leggi Blog

Esempi Zero-day

Generalmente, quando viene scoperta una vulnerabilità zero-day, viene aggiunta all’elenco CVE (Common Vulnerabilities and Exposures). CVE è un dizionario che fornisce definizioni per le vulnerabilità di sicurezza informatica divulgate pubblicamente.

L’obiettivo di CVE è quello di rendere più facile la condivisione dei dati attraverso funzionalità di vulnerabilità separate (strumenti, database e servizi) con queste definizioni. I record CVE sono costituiti da un numero di identificazione, una descrizione e almeno un riferimento pubblico.,

Di seguito sono riportati solo alcuni esempi di exploit zero-day scoperti negli ultimi due anni:

Zerologon

L ‘ 11 agosto 2020 Microsoft ha rilasciato un aggiornamento di sicurezza che include una patch per una vulnerabilità critica nel protocollo NETLOGON (CVE-2020-1472) scoperto dai ricercatori di Secura. Poiché non sono stati pubblicati dettagli tecnici iniziali, il CVE nell’aggiornamento della sicurezza non ha ricevuto molta attenzione, anche se ha ricevuto un punteggio massimo CVSS di 10.,

Questa vulnerabilità consente a un utente malintenzionato non autenticato con accesso di rete a un controller di dominio, di stabilire una sessione Netlogon vulnerabile e di ottenere i privilegi di amministratore del dominio. La vulnerabilità è particolarmente grave in quanto l’unico requisito per un exploit di successo è la capacità di stabilire una connessione con un controller di dominio.,

Leggi la nostra analisi tecnica Zerologon

Vulnerabilità NTLM

A giugno 2019 Patch Martedì, Microsoft ha rilasciato le patch per CVE-2019-1040 e CVE-2019-1019, due vulnerabilità scoperte dai ricercatori di Preempt (ora CrowdStrike). Le vulnerabilità critiche consistono in tre difetti logici in NTLM (protocollo di autenticazione proprietario di Microsoft). I ricercatori Preempt sono stati in grado di bypassare tutti i principali meccanismi di protezione NTLM.,

Queste vulnerabilità consentono agli aggressori di eseguire in remoto codice dannoso su qualsiasi computer Windows o autenticarsi su qualsiasi server HTTP che supporta l’autenticazione integrata di Windows (WIA) come Exchange o ADFS. Tutte le versioni di Windows che non hanno applicato questa patch sono vulnerabili.

Scopri di più su come è stata scoperta questa vulnerabilità

Vulnerabilità CredSSP

Martedì scorso, Microsoft ha rilasciato una patch per CVE-2018-0886, una vulnerabilità scoperta dai ricercatori di Preempt (ora CrowdStrike)., La vulnerabilità consiste in un difetto logico nel CredSSP (Credential Security Support Provider Protocol), che viene utilizzato da RDP (Remote Desktop Protocol) e Windows Remote Management (WinRM) e che si occupa di inoltrare in modo sicuro le credenziali ai server di destinazione.

La vulnerabilità può essere sfruttata dagli aggressori impiegando un attacco man-in-the-middle per ottenere la possibilità di eseguire codice in remoto su macchine precedentemente non infette nella rete attaccata., La vulnerabilità, in molti scenari del mondo reale in cui la rete vittima ha apparecchiature di rete vulnerabili, potrebbe comportare un utente malintenzionato guadagnando la capacità di muoversi lateralmente nella rete della vittima e persino infettare i controller di dominio con software dannoso. Nessun attacco è stato rilevato in natura da Preempt al momento di questa pubblicazione originale.

Per saperne di più sulla vulnerabilità CredSSP

Per saperne di più

Uno degli attacchi zero-day più noti è Stuxnet, il worm ritenuto responsabile di aver causato danni considerevoli al programma nucleare iraniano., Questo worm sfruttava quattro diverse vulnerabilità zero-day nel sistema operativo Microsoft Windows.

Rilevamento e difesa dagli attacchi Zero-day

Per rilevare e mitigare efficacemente gli attacchi zero-day, è necessaria una difesa coordinata, che includa sia la tecnologia di prevenzione che un piano di risposta completo in caso di attacco., Le organizzazioni possono prepararsi a questi eventi furtivi e dannosi implementando una soluzione completa per la sicurezza degli endpoint che combina tecnologie tra cui next-gen antivirus (NGAV), endpoint Detection and response (EDR) e threat intelligence.

Poiché il software con vulnerabilità può trovarsi in qualsiasi ambiente aziendale, un tentativo di violazione è inevitabile, quindi è essenziale disporre della sicurezza degli endpoint con funzionalità anti-exploit e post-exploit.,

Per ottimizzare la difesa, le organizzazioni dovrebbero implementare la migliore tecnologia di prevenzione nel punto di attacco, pur avendo un piano per gli scenari peggiori. Quindi, se un utente malintenzionato riesce a entrare nella rete, il team di sicurezza avrà gli strumenti, i processi e la tecnologia in atto per mitigare l’evento prima che venga fatto un danno reale.

CrowdStrike Falcon® endpoint protection consente alle organizzazioni di bloccare exploit zero-day nel punto di attacco, utilizzando l’apprendimento automatico e l’analisi comportamentale., La piattaforma Falcon include anche la logica di rilevamento e prevenzione automatica per le attività di post-sfruttamento in modo che i team di sicurezza possano ottenere visibilità immediata in un attacco, anche se bypassa altre difese.

Guarda il video qui sotto per vedere come la piattaforma Falcon ferma un attacco zero-day nelle sue tracce:

Falcon non solo rileva gli indicatori di attacco (IOAs), ma include anche la tecnologia exploit mitigation per prevenire lo sfruttamento di successo del sistema operativo sottostante., Di conseguenza, a un avversario viene impedito di utilizzare tecniche di sfruttamento comuni perché l’esecuzione del codice di exploit viene interrotta all’endpoint, in tempo reale, bloccando così gli attacchi zero-day che utilizzano malware precedentemente non scoperti.

La combinazione di Falcon di tecnologia di prevenzione basata su IOA e tecniche di mitigazione degli exploit è una potente difesa contro minacce sconosciute e zero-day.

Per saperne di più su CrowdStrike® Falcon e richiedere una prova gratuita, fai clic sul pulsante qui sotto:

Inizia la prova gratuita

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Vai alla barra degli strumenti