Why is called Zero Day?
na cibersegurança, o termo “dia Zero” é usado porque o fornecedor de software não sabia de sua vulnerabilidade de software, e eles tiveram “0” dias para trabalhar em um patch de segurança ou uma atualização para corrigir o problema.
Uma vez que um patch foi liberado, a vulnerabilidade não é mais chamada de “zero-day”.”
What is a Zero-Day Attack?
um exploit de zero-day é uma vulnerabilidade de segurança desconhecida ou falha de software que um agente de ameaça pode atingir com código malicioso., Este buraco de segurança ou falha, também pode ser referido como uma vulnerabilidade de dia zero.
um ataque de dia zero ocorre quando um hacker libera malware para explorar a vulnerabilidade do software antes que o desenvolvedor de software tenha corrigido a falha.
quer ficar à frente dos adversários?baixe o relatório de ameaças globais de 2020 para descobrir tendências em táticas, técnicas e procedimentos sempre em evolução dos atacantes que nossas equipes observaram no ano passado.porque é que os ataques do dia Zero são tão perigosos?,ataques de dia Zero são extremamente perigosos para as empresas porque são desconhecidos e podem ser muito difíceis de detectar, tornando-os um sério risco de segurança. É como um ladrão a entrar pelas traseiras que foi acidentalmente deixado destrancado.
Saiba mais
Leia o nosso post no blog para saber como o CrowdStrike descobriu o Furacão Panda usando CVE-2014-4113, uma escalada de 64-bit de Zero-Day explore que causou estragos nas máquinas do Windows., Leia o Blog
exemplos de Dia Zero
Saiba mais
Leia o nosso post no blog para saber como o CrowdStrike descobriu o Furacão Panda usando CVE-2014-4113, uma escalada de 64-bit de Zero-Day explore que causou estragos nas máquinas do Windows., Leia o Blog
geralmente, quando uma vulnerabilidade de dia zero é descoberta, ela é adicionada à lista comum de Vulnerabilidades e exposições (CVE). CVE é um dicionário que fornece definições para vulnerabilidades de cibersegurança publicamente divulgadas.
O objetivo do CVE é tornar mais fácil compartilhar dados através de capacidades de vulnerabilidade separadas (ferramentas, bases de dados e serviços) com essas definições. Os registos DVCE são compostos por um número de identificação, uma descrição e, pelo menos, uma referência pública.,
Abaixo são apenas alguns exemplos de explorações de dia zero foram descobertas nos últimos anos:
Zerologon
Em 11 de agosto de 2020, a Microsoft lançou uma atualização de segurança, incluindo uma correção para uma vulnerabilidade crítica no NETLOGON protocolo (CVE-2020-1472) descoberto por Secura pesquisadores. Uma vez que não foram publicados detalhes técnicos iniciais, o CVE na atualização de segurança não recebeu muita atenção, apesar de ter recebido uma pontuação máxima CVSS de 10.,
esta vulnerabilidade permite que um atacante não autenticado com acesso à rede para um controlador de domínio, para estabelecer uma sessão vulnerável Netlogon e eventualmente ganhar privilégios de administrador de domínio. A vulnerabilidade é especialmente grave, uma vez que o único requisito para uma exploração bem sucedida é a capacidade de estabelecer uma conexão com um controlador de domínio.,
Leia nossa Zerologon Análise Técnica
NTLM Vulnerabilidade
Em junho de 2019 Patch terça-feira, a Microsoft disponibilizou patches para CVE-2019-1040 e CVE-2019-1019, duas vulnerabilidades descobertas por Antecipar (agora CrowdStrike) pesquisadores. As vulnerabilidades críticas consistem em três falhas lógicas no NTLM (protocolo de autenticação proprietário da Microsoft). Os pesquisadores Preempt foram capazes de contornar todos os principais mecanismos de proteção NTLM.,
estas vulnerabilidades permitem aos atacantes executar remotamente o código malicioso em qualquer máquina do Windows ou autenticar qualquer servidor HTTP que suporte a autenticação integrada do Windows (WIA), como o Exchange ou ADFS. Todas as versões do Windows que não aplicaram este patch são vulneráveis.
Saiba mais sobre como esta vulnerabilidade foi descoberta
vulnerabilidade CredSSP
na terça-feira de Março, a Microsoft lançou um patch para CVE-2018-0886, uma vulnerabilidade descoberta por pesquisadores Preempt (agora CrowdStrike)., A vulnerabilidade consiste numa falha lógica no Credential Security Support Provider protocol (CredSSP), que é usado pelo RDP (Remote Desktop Protocol) e Windows Remote Management (WinRM) e que cuida do encaminhamento seguro de credenciais para servidores de destino.
a vulnerabilidade pode ser explorada por atacantes empregando um ataque homem-no-meio para alcançar a capacidade de executar o código remotamente em máquinas anteriormente não infectadas na rede atacada., A vulnerabilidade, em muitos cenários do mundo real onde a rede vítima tem equipamentos de rede vulneráveis, pode resultar em que um atacante ganha a capacidade de se mover lateralmente na rede da vítima e até infectar controladores de domínio com software malicioso. Nenhum ataque foi detectado na natureza por Preempt no momento desta publicação original.
Leia mais sobre o CredSSP vulnerabilidade
Saiba Mais
Um dos mais conhecidos ataques de dia-zero é o Stuxnet, worm que se acredita ser responsável por causar danos consideráveis ao programa nuclear do Irã., Este worm explorou quatro vulnerabilidades de zero dias diferentes no sistema operacional Microsoft Windows.
detectando e defendendo contra ataques de Dia Zero
para detectar e mitigar eficazmente ataques de dia zero, é necessária uma defesa coordenada-uma que inclui tanto a tecnologia de prevenção como um plano de resposta completo Em caso de ataque., As organizações podem preparar-se para estes eventos furtivos e prejudiciais através da implantação de uma solução completa de segurança endpoint que combina tecnologias incluindo o Antivírus de próxima geração (NGAV), detecção e Resposta de endpoint (EDR) e inteligência de ameaça.
Uma vez que o software com vulnerabilidades pode estar no ambiente de qualquer empresa, uma tentativa de violação é inevitável, por isso é essencial ter a segurança do endpoint com capacidades anti-exploit e pós-exploit no lugar.,
para otimizar a defesa, as organizações devem implementar a melhor tecnologia de prevenção no ponto de ataque, ao mesmo tempo que têm um plano para os piores cenários. Então, se um atacante for bem sucedido em entrar na rede, a equipe de segurança terá as ferramentas, processos e tecnologia no lugar para mitigar o evento antes que os danos reais sejam feitos.
CrowdStrike Falcon® endpoint protection permite que as organizações bloqueiem as façanhas do dia zero no ponto de ataque, usando a aprendizagem de máquinas e análise comportamental., A plataforma Falcon também inclui a lógica de detecção automática e prevenção para as atividades pós-exploração, de modo que as equipes de segurança podem ganhar visibilidade imediata em um ataque, mesmo que ele contorne outras defesas.
<
assista o vídeo abaixo para ver como a plataforma Falcon pára um ataque de zero dias em suas faixas:
Falcon não só detecta indicadores de ataque (IOAs), ele também inclui a tecnologia de mitigação de exploração para evitar a exploração bem sucedida do sistema operacional subjacente., Como resultado, um adversário é impedido de usar técnicas de exploração comuns, porque a execução do código de exploração é parada no ponto final, em tempo real, bloqueando assim ataques de dia zero que usam malware previamente não descoberto.a combinação de tecnologia de prevenção baseada em IOA e técnicas de mitigação de exploração de Falcon é uma poderosa defesa contra ameaças desconhecidas e de dia zero.
para saber mais sobre o CrowdStrike® Falcon e solicitar um teste gratuito, clique no botão abaixo:
iniciar o teste gratuito