Hvorfor blir det kalt Zero Day?
I cybersecurity, begrepet «Zero-Day» er brukt fordi programvareleverandøren var uvitende om deres programvare sårbarhet, og at de har hatt «0» dager til å arbeide på en sikkerhetsoppdatering eller en oppdatering for å løse problemet.
Når en oppdatering har blitt lansert, og sårbarhet er ikke lenger kalles «zero-day.»
Hva er en Zero-Day-Angrep?
En zero-day exploit er en ukjent sikkerhetsproblem eller programvare feil som en trussel skuespiller målet med skadelig kode., Dette sikkerhetshullet eller feil, kan også bli referert til som en zero-day-sårbarheten.
En zero-day angrep skjer når en hacker utgivelser malware å utnytte programvaren sårbarhet før software developer har korrigert feilen.
Ønsker å ligge i Forkant av Fiender?
Last ned 2020 Global Threat Report for å avdekke trender i angripere’ i stadig utvikling, taktikk, teknikker og prosedyrer som våre lag observert det siste året.
Last ned Nå
Hvorfor er Zero-Day-Angrep så farlig?,
Zero-day-angrep er ekstremt farlig for selskaper fordi de er ukjent og kan være svært vanskelig å oppdage, og gjør dem til en alvorlig sikkerhetsrisiko. Det er som en tyv å snike inn gjennom en bakdør som ved et uhell ble venstre ulåst.
finn ut Mer
Les vårt blogginnlegg for å lære hvordan CrowdStrike Oppdaget Orkanen Panda Bruk av CVE-2014-4113, en 64-biters Zero-Day Eskalering Utnytte at wreaked kaos på Windows maskiner., Les Blogg
Zero-day Eksempler
Vanligvis, når en zero-day sårbarhet er oppdaget det blir lagt til Common Vulnerabilities and Exposures (CVE) listen. CVE er en ordbok som inneholder definisjoner for offentliggjort cybersecurity sårbarheter.
målet av CVE er å gjøre det enklere å dele data på tvers av egen sårbarhet evner (verktøy, databaser og tjenester) med disse definisjonene. CVE-Poster består av et id-nummer, en beskrivelse, og minst én offentlig referanse.,
Nedenfor er bare noen eksempler på zero-day exploits som ble oppdaget i løpet av de siste par årene:
Zerologon
On August 11, 2020 Microsoft har gitt ut en sikkerhetsoppdatering, inkludert en patch for en kritisk sårbarhet i NETLOGON-protokollen (CVE-2020-1472) oppdaget av Secura forskere. Siden ingen innledende tekniske detaljer ble offentliggjort, CVE i sikkerhetsoppdatering ikke klart å få mye oppmerksomhet, selv om den fikk en maksimal CVSS poeng av 10.,
Denne sårbarheten gjør det mulig for en ikke godkjent angriper med nettverket tilgang til en domenekontroller, å etablere en sårbar Netlogon-økten, og til slutt få domene administrator-rettigheter. Sårbarheten er spesielt alvorlig siden det eneste kravet for en vellykket utnytting er evnen til å etablere en forbindelse med en domenekontroller.,
Les våre Zerologon Teknisk Analyse
NTLM Sårbarhet
På juni 2019 Patch Tuesday, Microsoft gitt ut oppdateringer for CVE-2019-1040 og CVE-2019-1019, to sikkerhetsproblemer som er oppdaget ved å Utelukke (nå CrowdStrike) forskere. Den kritiske sårbarheter består av tre logiske brister i NTLM (Microsofts proprietære authentication protocol). Hindre forskere var i stand til å omgå alle de store NTLM-beskyttelse mekanismer.,
Disse sikkerhetsproblemene gjøre det mulig for angripere å fjernstyre kjøre skadelig kode på en Windows maskin eller godkjenne noen HTTP-server som støtter Windows-Integrert Godkjenning (WIA) for eksempel Exchange eller ADFS. Alle Windows-versjoner som ikke har brukt denne oppdateringen er sårbare.
finn ut mer om hvordan denne sårbarheten ble oppdaget
CredSSP Sårbarhet
På Mars Patch Tuesday, Microsoft ut en oppdatering for CVE-2018-0886, en sårbarhet oppdaget ved å Utelukke (nå CrowdStrike) forskere., Sårbarheten består av en logisk feil i Credential Security Support Provider protocol (CredSSP), som brukes av RDP (Remote Desktop Protocol) og Windows Remote Management (WinRM) og som tar vare på en sikker måte videresending av legitimasjon for å målrette servere.
sårbarheten kan bli utnyttet av angripere ved å ansette et man-in-the-middle-angrep for å oppnå evnen til å kjøre kode eksternt på tidligere ikke infiserte maskiner i angrepet nettverk., Sårbarheten i mange virkelige verden scenarioer der offeret nettverk er sårbare nettverk utstyr, kan resultere i en angriper å få muligheten til å bevege seg sidelengs i offerets nettverk og selv infisere domenekontrollere med ondsinnet programvare. Ingen angrep har blitt oppdaget i naturen ved å Utelukke på den tiden av denne opprinnelige publikasjonen.
Les mer om CredSSP sårbarhet
finn ut Mer
En av de mest kjente zero-day-angrep er Stuxnet, ormen som antas å være ansvarlig for å forårsake betydelig skade på irans kjernefysiske program., Denne ormen utnyttet fire forskjellige zero-day sårbarheter i Microsoft Windows-operativsystemet.
å Oppdage og å Forsvare deg Mot » Zero-day Angrep
for Å effektivt oppdage og redusere zero-day-angrep, en koordinert forsvar er nødvendig — en som omfatter både forebygging teknologi og en grundig svar plan i tilfelle et angrep., Organisasjoner kan forberede for disse smidige og skadelige hendelser ved å implementere en komplett endpoint security løsning som kombinerer teknologier, inkludert neste generasjons antivirus (NGAV), endepunkt deteksjon og reaksjon (EDR) og trussel intelligens.
Siden programvare med sikkerhetshull kan være i alle selskapets miljø, et forsøk på brudd er uunngåelig, så det er viktig å ha endpoint security med anti-utnytte og post-utnytte mulighetene i stedet.,
for Å optimalisere forsvar, organisasjoner bør implementere den beste forebygging teknologi på tidspunktet for angrep, samtidig som du har en plan for worst-case scenarier. Så, hvis en angriper er vellykket i å komme inn i nettverk, sikkerhet team vil få verktøy, prosesser og teknologi på plass for å dempe hendelsen før reell skade er gjort.
CrowdStrike Falcon® endpoint protection gjør at organisasjoner for å blokkere zero-day exploits på tidspunktet for angrepet, ved hjelp av maskinlæring og atferdsmessige analytics., Falcon plattformen inkluderer også automatisk oppdagelse og forebygging logikk for post-utnyttelse aktiviteter, slik at sikkerheten kan lagene få umiddelbar synlighet i et angrep, selv om det omgår andre reguleringer.
Se videoen under for å se hvordan Falcon plattformen stopper et zero-day-angrep i sitt spor:
Falcon ikke bare oppdager indikatorer for angrep (IOAs), det inkluderer også utnytte avbøtende teknologi for å hindre vellykket utnyttelse av det underliggende operativsystemet., Som et resultat, en fiende som er forhindret fra å bruke felles utnyttelse teknikker fordi utførelsen av skadelig kode er stoppet ved endepunkt, i sanntid, og dermed blokkerer zero-day-angrep som bruker tidligere uoppdagede malware.
Falcon ‘ s kombinasjon av IOA-basert forebygging teknologi og utnytte avbøtende teknikker er et kraftig forsvar mot ukjente, zero-day trusler.
for Å lære mer om CrowdStrike® Falcon og be om en gratis prøveversjon, klikk på knappen nedenfor:
Start Gratis Prøveversjon