de ce se numește Zero Day?
în domeniul securității cibernetice, termenul ” Zero-Day „este folosit deoarece furnizorul de software nu știa de vulnerabilitatea software-ului său și a avut la dispoziție” 0 ” zile pentru a lucra la o corecție de securitate sau la o actualizare pentru a remedia problema.
odată ce un patch a fost lansat, vulnerabilitatea nu mai este numită „zero-day.”
ce este un atac de zero zile?
un exploit zero-day este o vulnerabilitate de securitate necunoscută sau un defect software pe care un actor de amenințare îl poate viza cu cod rău intenționat., Această gaură de securitate sau defect, poate fi, de asemenea, menționată ca o vulnerabilitate zero-day.un atac zero-day apare atunci când un hacker lansează malware pentru a exploata vulnerabilitatea software-ului înainte ca dezvoltatorul de software să remedieze defectul.
vrei să rămâi în fața adversarilor?descărcați raportul Global Threat 2020 pentru a descoperi tendințele tacticii, tehnicilor și procedurilor în continuă evoluție ale atacatorilor pe care echipele noastre le-au observat anul trecut. Descărcați acum
de ce sunt atacurile Zero-Day atât de periculoase?,atacurile Zero-day sunt extrem de periculoase pentru companii, deoarece sunt necunoscute și pot fi foarte dificil de detectat, ceea ce le face un risc serios de securitate. E ca și cum un hoț s-ar strecura printr-o ușă din spate care a fost lăsată din greșeală deblocată.
Afla Mai multe
Citiți blog-ul nostru pentru a afla cum CrowdStrike a Descoperit Uragan Panda Folosind CVE-2014-4113, un 64-bit Zero-Day Escaladarea Exploit care a făcut ravagii pe mașini Windows., Citiți blogul
Exemple Zero-day
Afla Mai multe
Citiți blog-ul nostru pentru a afla cum CrowdStrike a Descoperit Uragan Panda Folosind CVE-2014-4113, un 64-bit Zero-Day Escaladarea Exploit care a făcut ravagii pe mașini Windows., Citiți blogul
În general, atunci când este descoperită o vulnerabilitate zero-day, aceasta este adăugată la lista comună de vulnerabilități și expuneri (CVE). CVE este un dicționar care oferă definiții pentru vulnerabilitățile de securitate cibernetică dezvăluite public.scopul CVE este de a facilita partajarea datelor între capacități separate de vulnerabilitate (instrumente, baze de date și servicii) cu aceste definiții. Înregistrările CVE sunt alcătuite dintr-un număr de identificare, o descriere și cel puțin o referință publică.,
mai Jos sunt doar câteva exemple de zero-day exploit care au fost descoperite în ultimii doi ani:
Zerologon
Pe 11 August, în 2020, Microsoft a lansat o actualizare de securitate, inclusiv un patch pentru o vulnerabilitate critică în the protocol (CVE-2020-1472) descoperit de Secura cercetători. Deoarece nu au fost publicate detalii tehnice inițiale, CVE din actualizarea de securitate nu a primit prea multă atenție, chiar dacă a primit un scor CVSS maxim de 10.,
această vulnerabilitate permite unui atacator neauthenticat cu acces la rețea la un controler de domeniu, să stabilească o sesiune Netlogon vulnerabilă și, în cele din urmă, să obțină privilegii de administrator de domeniu. Vulnerabilitatea este deosebit de severă, deoarece singura cerință pentru o exploatare reușită este capacitatea de a stabili o conexiune cu un controler de domeniu.,în iunie 2019 Patch marți, Microsoft a lansat patch-uri pentru CVE-2019-1040 și CVE-2019-1019, două vulnerabilități descoperite de cercetătorii Preempt (acum CrowdStrike). Vulnerabilitățile critice constau în trei defecte logice în NTLM (Protocolul de autentificare proprietar Microsoft). Cercetătorii Preempt au reușit să ocolească toate mecanismele majore de protecție NTLM.,aceste vulnerabilități permit atacatorilor să execute de la distanță cod rău intenționat pe orice computer Windows sau să se autentifice pe orice server HTTP care acceptă autentificarea integrată Windows (WIA), cum ar fi Exchange sau ADFS. Toate versiunile de Windows care nu au aplicat acest patch sunt vulnerabile.
Aflați mai multe despre modul în care această vulnerabilitate a fost descoperit
CredSSP Vulnerabilitate
Pe Martie Patch marți, Microsoft a lansat un patch pentru CVE-2018-0886, o vulnerabilitate descoperită de Prevină (acum CrowdStrike) cercetători., Vulnerabilitatea constă într-un defect logic în Credential Security support Provider protocol (CredSSP), care este utilizat de RDP (Remote Desktop Protocol) și Windows Remote Management (WinRM) și care are grijă să redirecționeze în siguranță acreditările către serverele țintă.vulnerabilitatea poate fi exploatată de atacatori prin angajarea unui atac man-in-the-middle pentru a obține capacitatea de a rula codul de la distanță pe mașinile care nu au fost infectate anterior în rețeaua atacată., Vulnerabilitatea, în multe scenarii reale în cazul în care victima rețea are vulnerabile echipamente de rețea, ar putea duce la un atacator obține posibilitatea de a muta lateral victimei de rețea și chiar infecta controlere de domeniu cu software rău-intenționat. Nu au fost detectate atacuri în sălbăticie de Preempt la momentul acestei publicații originale.
citiți mai multe despre vulnerabilitatea CredSSP
Aflați mai multe
unul dintre cele mai cunoscute atacuri zero-day este Stuxnet, viermele considerat a fi responsabil pentru a provoca daune considerabile programului nuclear al Iranului., Acest vierme a exploatat patru vulnerabilități zero-day diferite în sistemul de operare Microsoft Windows. pentru a detecta și atenua în mod eficient atacurile zero-day, este necesară o apărare coordonată — una care include atât tehnologia de prevenire, cât și un plan de răspuns aprofundat în cazul unui atac., Organizațiile pot pregăti pentru aceste ascuns și deteriorarea evenimente prin implementarea completă de soluții de securitate endpoint, care combină tehnologii, inclusiv next-gen antivirus (NGAV), efect de detectare și răspuns (EDR) și informații amenințare.deoarece software-ul cu vulnerabilități poate fi în mediul oricărei companii, o încercare de încălcare este inevitabilă, deci este esențial să aveți securitate finală cu capabilități anti-exploatare și post-exploatare.,pentru a optimiza apărarea, organizațiile ar trebui să implementeze cea mai bună tehnologie de prevenire în punctul de atac, având în același timp un plan pentru scenariile cele mai nefavorabile. Apoi, dacă un atacator are succes în a intra în rețea, echipa de securitate va avea instrumentele, procesele și tehnologia în vigoare pentru a atenua evenimentul înainte de a se face daune reale.CrowdStrike Falcon ® endpoint protection permite organizațiilor să blocheze exploatările zero-day în punctul de atac, utilizând învățarea automată și analiza comportamentală., Platforma Falcon include, de asemenea, logica de detectare și prevenire automată pentru activitățile post-exploatare, astfel încât echipele de securitate să poată obține vizibilitate imediată asupra unui atac, chiar dacă acesta ocolește alte mijloace de apărare.
Uita-te la video de mai jos pentru a vedea cum Șoimul platforma se oprește un atac zero-day în piesele sale:
Falcon detectează nu numai indicatori de atac (IOAs), acesta include, de asemenea, exploit de atenuare tehnologie pentru a preveni exploatarea cu succes a sistemului de operare., Drept urmare, un adversar este împiedicat să utilizeze tehnici comune de exploatare, deoarece executarea codului de exploatare este oprită la punctul final, în timp real, blocând astfel atacurile zero-day care utilizează malware nedescoperit anterior.combinația Falcon de tehnologie de prevenire bazată pe IOA și tehnici de atenuare a exploatării este o apărare puternică împotriva amenințărilor necunoscute, zero-day.pentru a afla mai multe despre CrowdStrike ® Falcon și a solicita o încercare gratuită, Faceți clic pe butonul de mai jos:
începeți încercarea gratuită