Waarom wordt het Zero Day genoemd?
in cybersecurity wordt de term “Zero-Day” gebruikt omdat de softwareleverancier niet op de hoogte was van de kwetsbaarheid van de software en ze “0” dagen hebben gehad om aan een beveiligingspatch of een update te werken om het probleem op te lossen.
zodra een patch is vrijgegeven, wordt de kwetsbaarheid niet langer “zero-day” genoemd.”
Wat is een Zero-Day aanval?
een zero-day exploit is een onbekende beveiligingsprobleem of software fout die een bedreiging actor kan richten met kwaadaardige code., Dit beveiligingslek of-fout, kan ook worden aangeduid als een zero-day kwetsbaarheid.
een zero-day-aanval treedt op wanneer een hacker malware vrijmaakt om de kwetsbaarheid van de software te exploiteren voordat de softwareontwikkelaar de fout heeft gepatcht.
wilt u tegenstanders voorblijven?
Download het 2020 Global Threat Report om trends te ontdekken in de steeds evoluerende tactieken, technieken en procedures van aanvallers die onze teams het afgelopen jaar hebben waargenomen.
Download nu
Waarom zijn Zero-Day aanvallen zo gevaarlijk?,
Zero-day aanvallen zijn extreem gevaarlijk voor bedrijven omdat ze onbekend zijn en zeer moeilijk te detecteren zijn, waardoor ze een ernstig veiligheidsrisico vormen. Het is als een dief die binnen sluipt via een achterdeur die per ongeluk open is gelaten.
meer informatie
Lees onze blogpost om te leren hoe CrowdStrike Hurricane Panda ontdekte met behulp van CVE-2014-4113, een 64-bit Zero-Day Escalation Exploit die ravage aanrichtte op Windows-machines., Lees Blog
Zero-day voorbeelden
over het algemeen wordt een zero-day kwetsbaarheid toegevoegd aan de Common Vulnerabilities and Exposures (CVE) lijst. CVE is een woordenboek dat definities voor openbaar gemaakte cybersecurity kwetsbaarheden biedt.
Het doel van CVE is om het gemakkelijker te maken om gegevens te delen over afzonderlijke kwetsbaarheidsmogelijkheden (tools, databases en services) met deze definities. CVE-Records bestaan uit een identificatienummer, een beschrijving en ten minste één openbare referentie.,
hieronder zijn slechts een paar voorbeelden van zero-day exploits die werden ontdekt in de afgelopen paar jaar:
Zerologon
Op 11 augustus 2020 Microsoft heeft een beveiligingsupdate met inbegrip van een patch voor een kritieke kwetsbaarheid in het Netlogon protocol (CVE-2020-1472) ontdekt door Secura onderzoekers. Omdat er geen initiële technische details werden gepubliceerd, kreeg de CVE in de beveiligingsupdate niet veel aandacht, hoewel het een maximale CVSS-score van 10 kreeg.,
deze kwetsbaarheid staat een niet-geverifieerde aanvaller met netwerktoegang tot een domeincontroller toe, om een kwetsbare Netlogon-sessie op te zetten en uiteindelijk domeinbeheerdersrechten te krijgen. De kwetsbaarheid is vooral ernstig omdat de enige vereiste voor een succesvolle exploit is de mogelijkheid om een verbinding tot stand te brengen met een domeincontroller.,
Lees onze Zerologon technische analyse
NTLM kwetsbaarheid
op Juni 2019 Patch Tuesday heeft Microsoft patches uitgebracht voor CVE-2019-1040 en CVE-2019-1019, twee kwetsbaarheden ontdekt door Preempt (nu CrowdStrike) onderzoekers. De kritieke kwetsbaarheden bestaan uit drie logische fouten in NTLM (Microsoft ‘ s proprietary authentication protocol). Preempt onderzoekers waren in staat om alle belangrijke NTLM beschermingsmechanismen te omzeilen.,
met deze kwetsbaarheden kunnen aanvallers op afstand kwaadaardige code uitvoeren op een Windows-machine of zich aanmelden bij een HTTP-server die WIA (Windows Integrated Authentication) ondersteunt, zoals Exchange of ADFS. Alle Windows-versies die deze patch niet hebben toegepast, zijn kwetsbaar.
leer meer over hoe deze kwetsbaarheid werd ontdekt
CredSSP kwetsbaarheid
op Maart Patch dinsdag, Microsoft bracht een patch voor CVE-2018-0886, een kwetsbaarheid ontdekt door Preempt (nu CrowdStrike) onderzoekers., De kwetsbaarheid bestaat uit een logische fout in CredSSP (Credential Security Support Provider protocol), die wordt gebruikt door RDP (Remote Desktop Protocol) en Windows Remote Management (WinRM) en dat zorgt voor het veilig doorsturen van referenties naar doelservers.
de kwetsbaarheid kan worden uitgebuit door aanvallers door het gebruik van een man-in-the-middle aanval om de mogelijkheid te bereiken om code op afstand uit te voeren op eerder niet geïnfecteerde machines in het aangevallen netwerk., De kwetsbaarheid, in veel real-world scenario ‘ s waar het slachtoffer netwerk heeft kwetsbare netwerkapparatuur, kan resulteren in een aanvaller het verkrijgen van de mogelijkheid om zijdelings te bewegen in het netwerk van het slachtoffer en zelfs infecteren domeincontrollers met kwaadaardige software. Geen aanvallen zijn gedetecteerd in het wild door Preempt op het moment van deze originele publicatie.
Lees meer over de CredSSP kwetsbaarheid
leer meer
een van de meest bekende zero-day aanvallen is Stuxnet, de worm die vermoedelijk verantwoordelijk is voor het veroorzaken van aanzienlijke schade aan het nucleaire programma van Iran., Deze worm uitgebuit vier verschillende zero-day kwetsbaarheden in het Microsoft Windows-besturingssysteem.
detecteren en verdedigen tegen Zero-day-aanvallen
om zero — day-aanvallen effectief te detecteren en te beperken, is een gecoördineerde verdediging nodig-een die zowel preventietechnologie als een grondig reactieplan in het geval van een aanval omvat., Organisaties kunnen zich voorbereiden op deze heimelijke en schadelijke gebeurtenissen door een complete endpoint security-oplossing te implementeren die technologieën combineert, waaronder next-gen antivirus (NGAV), endpoint detection and response (EDR) en threat intelligence.
aangezien software met kwetsbaarheden zich in de omgeving van elk bedrijf kan bevinden, is een poging tot inbreuk onvermijdelijk, dus is het essentieel om endpoint security te hebben met anti-exploit en post-exploit mogelijkheden.,
om de verdediging te optimaliseren, moeten organisaties de beste preventietechnologie implementeren op het punt van aanval, terwijl ze ook een plan hebben voor worst-case scenario ‘ s. Vervolgens, als een aanvaller succesvol is in het krijgen in het netwerk, het beveiligingsteam zal de tools, processen en technologie op zijn plaats om de gebeurtenis te beperken voordat echte schade wordt gedaan.
CrowdStrike Falcon ® endpoint protection stelt organisaties in staat om zero-day exploits te blokkeren op het punt van aanval, met behulp van machine learning en gedragsanalyse., Het Falcon-platform bevat ook automatische detectie-en preventielogica voor activiteiten na exploitatie, zodat beveiligingsteams onmiddellijk zicht kunnen krijgen op een aanval, zelfs als deze andere verdedigingswerken omzeilt.
bekijk onderstaande video om te zien hoe het Falcon-platform een zero-day-aanval stopt:
Falcon detecteert niet alleen indicators of attack (IOAs), het bevat ook exploit mitigation-technologie om succesvolle exploitatie van het onderliggende besturingssysteem te voorkomen., Als gevolg hiervan wordt een tegenstander verhinderd om gemeenschappelijke exploitatietechnieken te gebruiken omdat de uitvoering van exploit code wordt gestopt op het eindpunt, in real time, waardoor zero-day aanvallen die eerder onontdekte malware gebruiken worden geblokkeerd.
Falcon ‘ s combinatie van IOA-gebaseerde preventietechnologie en exploit mitigatietechnieken is een krachtige verdediging tegen onbekende zero-day dreigingen.
voor meer informatie over CrowdStrike® Falcon en een gratis proefperiode aanvragen, klikt u op de onderstaande knop:
Start gratis proefperiode