Why is it called Zero Day?
w cyberbezpieczeństwie termin ” Zero-Day „jest używany, ponieważ producent oprogramowania nie był świadomy swojej luki w oprogramowaniu i miał” 0 ” dni na pracę nad poprawką bezpieczeństwa lub aktualizacją, aby rozwiązać problem.
Po wydaniu Poprawki luka nie jest już nazywana „zero-day.”
Co to jest atak Zero-Day?
exploit zero-day to nieznana luka w zabezpieczeniach lub wada oprogramowania, na którą podmiot zagrożenia może skierować złośliwy kod., Ta luka lub wada bezpieczeństwa może być również określana jako Luka zero-day.
atak typu zero-day ma miejsce, gdy haker wypuści złośliwe oprogramowanie, aby wykorzystać lukę oprogramowania, zanim programista naprawi tę lukę.
chcesz wyprzedzić przeciwników?
Pobierz raport Global Threat Report 2020, aby odkryć trendy w ciągle zmieniających się taktykach, technikach i procedurach atakujących, które nasze zespoły zaobserwowały w ubiegłym roku.
Pobierz teraz
dlaczego ataki Zero-Day są tak niebezpieczne?,
ataki typu Zero-day są niezwykle niebezpieczne dla firm, ponieważ są nieznane i mogą być bardzo trudne do wykrycia, co czyni je poważnym zagrożeniem bezpieczeństwa. To jak złodziej zakradający się przez tylne drzwi, które przypadkowo zostawiono otwarte.
dowiedz się więcej
przeczytaj nasz wpis na blogu, aby dowiedzieć się, jak CrowdStrike odkrył Huragan Panda za pomocą CVE-2014-4113, 64-bitowego exploita eskalacji Zero-Day, który siał spustoszenie na komputerach z systemem Windows., Czytaj Blog
przykłady Zero-day
Ogólnie rzecz biorąc, gdy luka w zabezpieczeniach dnia zerowego zostanie odkryta, zostanie dodana do listy Common Vulnerabilities and Exposures (CVE). CVE to słownik, który zawiera definicje publicznie ujawnionych luk w zabezpieczeniach cybernetycznych.
celem CVE jest ułatwienie udostępniania danych w ramach odrębnych funkcji luk (narzędzi, baz danych i usług) z tymi definicjami. Rejestry CVE składają się z numeru identyfikacyjnego, opisu i co najmniej jednego publicznego odniesienia.,
poniżej przedstawiamy kilka przykładów exploitów zero-day, które zostały odkryte w ciągu ostatnich kilku lat:
Zerologon
11 sierpnia 2020 roku Microsoft opublikował aktualizację zabezpieczeń zawierającą łatkę dla krytycznej luki w protokole NETLOGON (CVE-2020-1472) odkrytą przez badaczy Secura. Ponieważ nie opublikowano żadnych wstępnych szczegółów technicznych, CVE w aktualizacji zabezpieczeń nie cieszyło się dużą uwagą, mimo że otrzymało maksymalny wynik CVSS wynoszący 10.,
Ta luka pozwala nieautoryzowanemu atakującemu z dostępem do sieci do kontrolera domeny, na ustanowienie wrażliwej sesji Netlogon i ostatecznie uzyskanie uprawnień administratora domeny. Luka ta jest szczególnie dotkliwa, ponieważ jedynym wymogiem udanego exploita jest możliwość nawiązania połączenia z kontrolerem domeny.,
przeczytaj naszą analizę techniczną Zerologon
luka w zabezpieczeniach NTLM
we wtorek, w czerwcu 2019 r., Microsoft opublikował łatki dla CVE-2019-1040 i CVE-2019-1019, dwie luki wykryte przez badaczy Preempt (obecnie CrowdStrike). Krytyczne luki składają się z trzech logicznych wad NTLM (zastrzeżonego protokołu uwierzytelniania firmy Microsoft). Preempt naukowcy byli w stanie ominąć wszystkie główne mechanizmy ochrony NTLM.,
te luki umożliwiają atakującym zdalne wykonanie złośliwego kodu na dowolnym komputerze z systemem Windows lub uwierzytelnienie na dowolnym serwerze HTTP obsługującym zintegrowane uwierzytelnianie systemu Windows (WIA), takim jak Exchange lub ADFS. Wszystkie wersje systemu Windows, które nie zastosowały tej poprawki, są podatne na ataki.
Dowiedz się więcej o tym, jak ta luka została odkryta
luka w zabezpieczeniach CredSSP
we wtorek, w marcu, Microsoft udostępnił łatkę dla CVE-2018-0886, luki wykrytej przez badaczy Preempt (obecnie CrowdStrike)., Luka składa się z logicznej luki w protokole CredSSP (Credential Security Support Provider protocol) używanym przez RDP (Remote Desktop Protocol) i Windows Remote Management (WinRM), która zapewnia bezpieczne przekazywanie poświadczeń do serwerów docelowych.
luka może być wykorzystana przez atakujących, wykorzystując atak typu man-in-the-middle, aby uzyskać możliwość zdalnego uruchamiania kodu na wcześniej nie zainfekowanych maszynach w zaatakowanej sieci., Luka ta, w wielu rzeczywistych scenariuszach, w których sieć ofiary ma wrażliwy sprzęt sieciowy, może spowodować, że atakujący uzyska możliwość poruszania się w sieci ofiary, a nawet zainfekowania kontrolerów domeny złośliwym oprogramowaniem. Nie wykryto żadnych ataków na wolności przez Preempt w czasie tej oryginalnej publikacji.
Dowiedz się więcej
dowiedz się więcej
jednym z najbardziej znanych ataków zero-day jest Stuxnet, robak, który uważa się za odpowiedzialny za wyrządzenie znacznych szkód irańskiemu programowi jądrowemu., Robak ten wykorzystał cztery różne luki w zabezpieczeniach systemu operacyjnego Microsoft Windows.
wykrywanie i obrona przed atakami Zero-day
aby skutecznie wykrywać i łagodzić ataki zero-day, potrzebna jest skoordynowana obrona — taka, która obejmuje zarówno technologię zapobiegania, jak i dokładny plan reagowania w przypadku ataku., Organizacje mogą przygotować się na te ukryte i szkodliwe zdarzenia, wdrażając kompletne rozwiązanie do ochrony punktów końcowych, które łączy technologie, w tym antywirusy nowej generacji (NGAV), wykrywanie i reagowanie punktów końcowych (EDR) oraz analizę zagrożeń.
ponieważ oprogramowanie z lukami w zabezpieczeniach może znajdować się w środowisku każdej firmy, próba naruszenia jest nieunikniona, dlatego niezbędne jest zapewnienie bezpieczeństwa punktów końcowych z funkcjami anty-exploit i post-exploit.,
aby zoptymalizować obronę, organizacje powinny wdrożyć najlepszą technologię zapobiegania w punkcie ataku, mając jednocześnie plan najgorszych scenariuszy. Następnie, jeśli atakującemu uda się dostać do sieci, zespół ds. bezpieczeństwa będzie dysponował narzędziami, procesami i technologią, aby złagodzić Zdarzenie, zanim wyrządzi się prawdziwe szkody.
CrowdStrike Falcon® endpoint protection umożliwia organizacjom blokowanie exploitów zero-day w punkcie ataku, przy użyciu uczenia maszynowego i analizy behawioralnej., Platforma Falcon zawiera również automatyczną logikę wykrywania i zapobiegania działaniom po eksploatacji, dzięki czemu zespoły bezpieczeństwa mogą uzyskać natychmiastowy wgląd w atak, nawet jeśli omija on inne mechanizmy obronne.
obejrzyj poniższy film, aby zobaczyć, jak Platforma Falcon zatrzymuje atak zero-day na swoich torach:
Falcon nie tylko wykrywa wskaźniki ataku (Ioas), ale także zawiera technologię łagodzenia wykorzystania, aby zapobiec udanej eksploatacji bazowego systemu operacyjnego., W rezultacie przeciwnik nie może używać popularnych technik eksploatacji, ponieważ wykonywanie kodu exploita jest zatrzymywane w punkcie końcowym, w czasie rzeczywistym, blokując w ten sposób ataki typu zero-day, które wykorzystują wcześniej nieodkryte złośliwe oprogramowanie.
połączenie technologii zapobiegania opartej na IOA i technik łagodzenia wykorzystania firmy Falcon stanowi potężną obronę przed nieznanymi zagrożeniami typu zero-day.
aby dowiedzieć się więcej o CrowdStrike® Falcon i poprosić o bezpłatną wersję próbną, kliknij przycisk poniżej:
rozpocznij bezpłatną wersję próbną