Varför kallas det Zero Day?
i cybersäkerhet används termen ”nolldag” eftersom programvaruleverantören var omedveten om deras programvarans sårbarhet, och de har haft ”0” dagar att arbeta med en säkerhetspatch eller en uppdatering för att åtgärda problemet.
När en patch har släppts kallas sårbarheten inte längre ”nolldag”.”
Vad är en Zero-Day Attack?
en nolldagsutnyttjande är en okänd säkerhetsproblem eller programvarufel som en hotaktör kan rikta sig mot med skadlig kod., Detta säkerhetshål eller fel kan också kallas en nolldagssårbarhet.
en nolldagsattack inträffar när en hacker släpper ut skadlig kod för att utnyttja programvarans sårbarhet innan mjukvaruutvecklaren har klappat felet.
vill du ligga steget före motståndarna?
ladda ner 2020 Global Threat Report för att avslöja trender i angriparnas ständigt föränderliga taktik, tekniker och förfaranden som våra team observerade det senaste året.
ladda ner nu
Varför är nolldagsattacker så farliga?,
nolldagsattacker är extremt farliga för företag eftersom de är okända och kan vara mycket svåra att upptäcka, vilket gör dem till en allvarlig säkerhetsrisk. Det är som en tjuv som smyger in genom en bakdörr som av misstag lämnades olåst.
Läs mer
Läs vårt blogginlägg för att lära dig hur CrowdStrike upptäckte orkanen Panda med hjälp av CVE-2014-4113, en 64-bitars noll-dagars eskalering utnyttja som orsakade förödelse på Windows-maskiner., Läs blogg
Nolldagsexempel
i allmänhet, när en nolldagssårbarhet upptäcks läggs den till i listan Common Vulnerabilities and Exposures (CVE). CVE är en ordbok som ger definitioner för offentligt avslöjad cybersäkerhet sårbarheter.
målet med CVE är att göra det lättare att dela data över separata sårbarhetsfunktioner (verktyg, databaser och tjänster) med dessa definitioner. CVE-poster består av ett identifikationsnummer, en beskrivning och minst en offentlig referens.,
nedan är bara några exempel på nolldagsutnyttjande som upptäcktes under de senaste åren:
Zerologon
den 11 augusti 2020 släppte Microsoft en säkerhetsuppdatering inklusive en patch för en kritisk sårbarhet i NETLOGON-protokollet (CVE-2020-1472) som upptäcktes av Secura-forskare. Eftersom inga ursprungliga tekniska detaljer publicerades misslyckades CVE i säkerhetsuppdateringen att få mycket uppmärksamhet, även om den fick en maximal CVSS-poäng på 10.,
denna sårbarhet tillåter en oautentiserad angripare med nätverksåtkomst till en domänkontrollant, att upprätta en sårbar Netlogonsession och så småningom få domänadministratörsbehörighet. Sårbarheten är särskilt allvarlig eftersom det enda kravet på ett framgångsrikt utnyttjande är möjligheten att upprätta en anslutning till en domänkontrollant.,
Läs vår Zerologon Teknisk Analys
NTLM Sårbarhet
På juni 2019 Patch tisdag, Microsoft släppt patchar för CVE-2019-1040 och CVE-2019-1019, två sårbarheter som upptäckts genom att Föregripa (nu CrowdStrike) forskare. De kritiska sårbarheterna består av tre logiska brister i NTLM (Microsofts proprietära autentiseringsprotokoll). Preempt forskare kunde kringgå alla stora NTLM skyddsmekanismer.,
dessa sårbarheter gör det möjligt för angripare att fjärrstyra skadlig kod på en Windows-dator eller autentisera till en HTTP-server som stöder Windows Integrated Authentication (WIA), såsom Exchange eller ADFS. Alla Windows-versioner som inte tillämpade denna patch är sårbara.
Läs mer om hur denna sårbarhet upptäcktes
CredSSP Vulnerability
på Mars Patch tisdag släppte Microsoft en patch för CVE-2018-0886, en sårbarhet som upptäcktes av Preempt (Now CrowdStrike) forskare., Sårbarheten består av ett logiskt fel i Referens Security Support Provider protokoll (CredSSP), som används av RDP (Remote Desktop Protocol) och Windows Remote Management (WinRM) och som tar hand om ordentligt vidarebefordran referenser till mål servrar.
sårbarheten kan utnyttjas av angripare genom att använda en man-in-the-middle attack för att uppnå förmågan att köra kod på distans på tidigare inte infekterade maskiner i det attackerade nätverket., Sårbarheten, i många verkliga scenarier där offrets nätverk har sårbar nätverksutrustning, kan leda till att en angripare får möjlighet att flytta i sidled i offrets nätverk och till och med infektera domänkontrollanter med skadlig programvara. Inga attacker har upptäckts i naturen av Preempt vid tidpunkten för denna ursprungliga publikation.
Läs mer om CredSSP-sårbarheten
Läs Mer
en av de mest kända nolldagsattackerna är Stuxnet, masken tros vara ansvarig för att orsaka betydande skador på Irans kärnprogram., Denna mask utnyttjade fyra olika nolldagssårbarheter i Microsoft Windows-operativsystemet.
upptäcka och försvara mot nolldagsattacker
för att effektivt upptäcka och mildra nolldagsattacker behövs ett samordnat försvar-ett som inkluderar både förebyggande teknik och en grundlig svarsplan vid en attack., Organisationer kan förbereda sig för dessa smygande och skadliga händelser genom att distribuera en komplett endpoint säkerhetslösning som kombinerar teknik inklusive nästa generations antivirus (NGAV), endpoint detection and response (EDR) och threat intelligence.
eftersom programvara med sårbarheter kan vara i ett företags miljö är ett försök till brott oundvikligt, så det är viktigt att ha Endpoint-säkerhet med anti-exploit och post-exploit-kapacitet på plats.,
för att optimera försvaret bör organisationer implementera den bästa förebyggande tekniken vid attackpunkten, samtidigt som de har en plan för värsta scenarier. Då, om en angripare lyckas komma in i nätverket, kommer säkerhetsteamet att ha verktygen, processerna och tekniken på plats för att mildra händelsen innan verklig skada görs.
CrowdStrike Falcon® Endpoint protection gör det möjligt för organisationer att blockera nolldagsutnyttjande vid attackpunkten, med hjälp av maskininlärning och beteendeanalys., Falcon-plattformen innehåller också automatisk detektering och förebyggande logik för efter exploatering så att säkerhetsgrupper kan få omedelbar synlighet i en attack, även om den kringgår andra försvar.
titta på videon nedan för att se hur Falcon-plattformen stoppar en nolldagsattack i sina spår:
Falcon upptäcker inte bara indikatorer på attack (IOAs), den innehåller också exploit mitigation technology för att förhindra ett framgångsrikt utnyttjande av det underliggande operativsystemet., Som ett resultat förhindras en motståndare från att använda vanliga exploateringstekniker eftersom utförandet av exploateringskoden stoppas vid slutpunkten, i realtid och därigenom blockerar nolldagsattacker som använder tidigare oupptäckt skadlig kod.
Falcon kombination av IOA-baserade förebyggande teknik och utnyttja begränsningstekniker är ett kraftfullt försvar mot okända, noll-dagars hot.
om du vill veta mer om CrowdStrike® Falcon och begära en gratis testperiod klickar du på knappen nedan:
starta gratis testversion