なぜゼロデイと呼ばれていますか?
サイバーセキュリティでは、ソフトウェアベンダーがソフトウェアの脆弱性を認識せず、セキュリティパッチまたは問題を修正するための更新プログラムの作業に”0″日を要したため、”ゼロデイ”という用語が使用されています。
更新プログラムがリリースされると、この脆弱性は”ゼロデイ”と呼ばれなくなります。”
ゼロデイ攻撃とは何ですか?
ゼロデイエクスプロイトは、脅威アクターが悪意のあるコードで標的とする可能性のある未知のセキュリティ脆弱性またはソフトウェアの欠陥, このセキュリティホールまたは欠陥は、ゼロデイ脆弱性とも呼ばれます。
ゼロデイ攻撃は、ソフトウェア開発者が欠陥にパッチを適用する前に、ハッカーがソフトウェアの脆弱性を悪用するマルウェアをリリースしたとき
敵に先んじて滞在したいですか?
2020Global Threat Reportをダウンロードして、昨年私たちのチームが観察した攻撃者の進化し続ける戦術、技術、および手順の傾向を明らかにします。
今すぐダウンロード
なぜゼロデイ攻撃は危険なのですか?,
ゼロデイ攻撃は未知であり、検出が非常に困難であるため、企業にとって非常に危険であり、深刻なセキュリティリスクになります。 では盗人のように、潜入によりバックドアが誤って左解除されます。
詳細
CrowdStrikeがWINDOWSマシンに大混乱をもたらした64ビットのゼロデイエスカレーション悪用であるCVE-2014-4113を使用してHurricane Pandaを発見した方法については、私たちのブログ記事を読んでください。, ブログを読む
ゼロデイの例
一般的に、ゼロデイの脆弱性が発見されると、Common Vulnerabilities and Exposures(CVE)リストに追加されます。 CVEは、公開されているサイバーセキュリティの脆弱性の定義を提供する辞書です。
CVEの目標は、これらの定義と別々の脆弱性機能(ツール、データベース、およびサービス)間でデータを簡単に共有できるようにすることです。 CVEレコードは、識別番号、説明、および少なくとも一つの公開参照で構成されています。,
以下は、過去数年間に発見されたゼロデイ悪用のほんの一例です。
Zerologon
August11,2020Microsoftは、Securaの研究者によって発見されたNETLOGONプロトコル(CVE-2020-1472)の重大な脆弱性のためのパッチを含むセキュリティ更新プログラムをリリースしました。 最初の技術的詳細が公開されなかったため、セキュリティ更新プログラムのCVEは、最大CVSSスコア10を受け取ったにもかかわらず、多くの注目を集め,
この脆弱性により、認証されていない攻撃者がドメインコントローラにネットワークアクセスし、脆弱なNetlogonセッションを確立し、最終的にドメイン管理者権 この脆弱性は、悪用を成功させるための唯一の要件は、ドメインコントローラとの接続を確立する機能であるため、特に深刻です。,
Zerologonテクニカル分析を読む
NTLM脆弱性
2019年のパッチ火曜日に、マイクロソフトはCve-2019-1040およびCVE-2019-1019のパッチをリリースしました。 重大な脆弱性は、NTLM(マイクロソフト独自の認証プロトコル)の三つの論理的な欠陥で構成されています。 Preemptの研究者は、すべての主要なNTLM保護メカニズムを迂回することができました。,
これらの脆弱性により、攻撃者は任意のWindowsマシン上で悪意のあるコードをリモートで実行したり、ExchangeやADFSなどのWindows統合認証(WIA)をサポートするHTTPサーバーに対して認証を行うことができます。 すべてのWindowsのバージョンを適用されていないこのパッチに脆弱性がある。
この脆弱性がどのように発見されたかについての詳細をご覧ください
CredSSP脆弱性
March Patch火曜日に、MicrosoftはPreempt(現在CrowdStrike)の研究者によって発見されたcve-2018-0886のパッチをリリースしました。, この脆弱性は、資格情報セキュリティサポートプロバイダープロトコル(CredSSP)の論理的な欠陥で構成されており、RDP(Remote Desktop Protocol)およびWindows Remote Management(WinRM)で使用され、ターゲットサーバーに資格情報を安全に転送する処理が行われます。
この脆弱性は、攻撃者がman-in-the-middle攻撃を使用して、攻撃されたネットワーク内の以前に感染していないマシンでコードをリモートで実行できるようにすることによって悪用される可能性があります。, この脆弱性は、被害者のネットワークに脆弱なネットワーク機器がある多くの現実世界のシナリオでは、攻撃者が被害者のネットワーク内を横方向に移動 このオリジナルの出版時点では、Preemptによって野生での攻撃は検出されていません。
CredSSP脆弱性についての詳細を読む
詳細を読む
最もよく知られているゼロデイ攻撃の一つはStuxnetであり、このワームはイランの核計画に大きな損害を与えると考えられている。, このワームは、Microsoft Windowsオペレーティングシステムのゼロデイ脆弱性を悪用しました。
ゼロデイ攻撃の検出と防御
ゼロデイ攻撃を効果的に検出して軽減するには、防止技術と攻撃発生時の徹底的な対応計画の両方を含む協, 組織は、次世代ウイルス対策(NGAV)、エンドポイント検出と応答(EDR)、脅威インテリジェンスなどのテクノロジを組み合わせた完全なエンドポイントセキュリ
脆弱性を持つソフトウェアはどの企業の環境にも存在する可能性があるため、侵害の試みは避けられないため、エンドポイントセキュリティに対するアンチエクスプロイトおよびポストエクスプロイト機能を備えていることが不可欠です。,
防御を最適化するために、組織は攻撃の時点で最高の防止技術を実装すると同時に、最悪のシナリオに対する計画を立てる必要があります。 次に、攻撃者がネットワークに侵入することに成功した場合、セキュリティチームは、実際の被害が発生する前にイベントを軽減するためのツール、プロセス、
CrowdStrike Falcon®endpoint protectionを使用すると、組織は機械学習と行動分析を使用して、攻撃の時点でゼロデイの悪用をブロックできます。, Falconプラットフォームには、悪用された後のアクティビティの自動検出および防止ロジックも含まれているため、セキュリティチームは、他の防御をバイパ
Falconプラットフォームがゼロデイ攻撃をどのように停止するかについては、以下のビデオをご覧ください。
Falconは攻撃指標(IOAs)を検出するだけでなく、基になるオペレーティングシステムの悪用を防止するためのエクスプロイト緩和技術も含まれています。, その結果、エクスプロイトコードの実行がエンドポイントでリアルタイムで停止され、以前に発見されていなかったマルウェアを使用するゼロデイ攻撃
Falconのioaベースの防止技術と悪用の緩和技術の組み合わせは、未知のゼロデイ脅威に対する強力な防御です。
CrowdStrike®Falconの詳細と無料トライアルをリクエストするには、以下のボタンをクリックしてください。
無料トライアルを開始