Що таке вразливість нульового дня?
April 12, 2023
Чому вразливості нульового дня такі страшні й небезпечні? На перший погляд може здаватися, що вони практично не відрізняються від інших загроз. І щойно їх розкривають для публіки, їх головна відмінність зникає. Іншим може здаватися протилежне — що немає жодних причин для встановлення будь-якої безпеки, оскільки запобігання атаки нульового дня буде однаково неефективним незалежно від того, користуєтеся ви EDR-рішенням найвищого ґатунку чи зламаною версією звичайного антивірусного засобу. То ж яка точка зору є правильною? І, врешті, як захистити себе і свою компанію від атак нульового дня, якщо це взагалі можливо?
Що таке атака нульового дня?
Уразливості нульового дня або експлойти нульового дня — це порушення безпеки в програмах, які ще ніколи не були виявлені. Власне, це їхня головна небезпека. В той час як відомі порушення перераховані та докладно описані в спеціалізованих джерелах, ви можете лише вгадати, де саме прихована загроза нульового дня. Аналітики кібербезпеки з усього світу намагаються створити рішення, яке принаймні зможе запобігти цій проблемі. Тим часом постачальники програмного забезпечення запускають програми пошуку помилок (BugBounty), де ініціативним користувачам надають значну суму грошей за виявлення порушень.
Кінцеві наслідки порушення нульових днів такі самі, як і в будь-якому іншому випадку експлойтингу вразливості. Кіберзлочинці використовують злами для ескалації привілеїв або для віддаленого виконання потрібного їм коду. Це дає їм розширені можливості для здійснення втручання в корпорацію, яку вони атакували. Можна сказати, що експлойтинг вразливостей - незалежно від того, чи є вони нульового дня чи ні - є основою для кібератаки. Не кожен кіберзлочин здійснюється за їх використання, але їх частка постійно зростає.
Але чим небезпечна атака нульового дня? Чи є причина так хвилюватися, якщо вона надає шахраям ті ж здібності, що й звичайний експлойт? Так, якщо ви використовуєте будь-яке рішення безпеки та знаєте ціну витоку даних. У більшості випадків, протистояння вразливостям нульового дня потребує значно більшого комплексу дій та перевірок. Загалом, коли ми говоримо про рішення EDR, вони застосовують різні реалізації політики довіри, в залежності від очікуваних загроз. Спеціаліст, який налаштовує захист ендпоінту, вибирає, яким програмам довіряти, а які варто перевірити двічі. Ви можете налаштувати його параноїдальним способом – аж до моделі квазінульової довіри, але це сповільнить роботу захисного ПЗ на усіх рівнях. Звичайно, є варіант «не вибирати взагалі» - використання належної системи безпеки зі вбудованою нульовою довірою, яка не буде значно впливати на продуктивність. Однак коштують вони значно дорожче.
Визначення атаки нульового дня
Атаки нульового дня – це, як вже можна було зрозуміти, кібератаки, які включають використання вразливостей нульового дня. Рівень серйозності цих атак і вплив на ціль можуть бути різними, але їх непередбачуваність є основною характеристикою таких кібератак. Хоча ви можете захистити свою систему або мережу від класичних атак за допомогою відомих хаків або недоліків ПЗ, неможливо передбачити атаку нульового дня.
Точна дорожня карта атаки може відрізнятися. Шахраї можуть використати злам, щоб одноразово підвищити привілеї та запустити своє шкідливе програмне забезпечення. Інший варіант, який переважно використовується, коли шахраї намагаються заразити всю мережу або розгорнути APT, це створення нового облікового запису із правами адміністратора на комп’ютері. Після цього шахраї зазвичай приховують цей обліковий запис і використовують його одночасно з використанням початкових. Маючи обліковий запис адміністратора, вони можуть робити все, що їм заманеться – від збору інформації з інфікованого комп’ютера до брутфорсу інших комп’ютерів у мережі чи навіть контролер домену.
Саме на етапі брутфорсу або поширення шкідливого програмного забезпечення в мережі досить легко виявити наявність проникнення ззовні, якщо безпековий фахівець розуміє, що щось відбувається. Проте шахраї, які роблять більше, ніж просто шифрують файли за допомогою програм-вимагачів, знають, як обійти можливість виявлення. Обфускація, маскування активності під законну програму, відволікаючі маневри - це лише декілька прикладів дій, які шахраї можуть застосувати, щоб досягти своєї мети.
Попередження атак нульового дня: як заздалегідь виявити небезпеку
Як і все, що пов’язано з функціоналом певної програми, ви можете знайти вразливості нульового дня за допомогою аналізу коду. Головне питання в тому, хто проводить цей аналіз - шахраї, розробники чи багхантери. Так склалося, що кіберзлочинці та багхантери мають набагато більшу матеріальну винагороду за свою діяльність у пошуку експлойтів. В першому випадку, вони отримують викуп і велику суму за продаж даних у Darknet, у другому - гроші за кожне знайдене порушення. Тим часом розробники отримують лише нематеріальні речі - наприклад, визнання їх програмного забезпечення безпечним для використання. Репутаційні втрати, які призводять до втрати користувачів, не відчуваються так явно, як пачка банкнот.
Глибинного аналізу інколи недостатньо, щоб виявити потенційне слабке місце. Дивлячись на рядки коду неможливо передбачити, як саме шахраї можуть використовувати вразливість і які переваги вона принесе. Ось чому набір інструментів для багхантерів і хакерів майже однаковий. Експерти, які працюють з цими речима, знають основні слабкі точки - місця, де програма отримує доступ до мережі або запитує підвищені привілеї. Вони є найчастішими місцями для зламу. Тим не менш, навіть виявлення можливого хаку та визначення того, як шахраї можуть ним скористатися, недостатньо, щоб використовувати його в дикій природі. Армія програмістів з Darknet-ринків готова написати унікальну шкідливу програму-експлойт всього за 10 доларів, і звичайні антивіруси навряд чи зможуть її зупинити за допомогою виявлення на основі сигнатур.
Чому з'являються вразливості у программах?
Аналітики з кібербезпеки не можуть назвати єдиної причини появи вразливостей. Більшість із них є ненавмисними помилками – такі з’являються через непрофесіоналізм або відсутність аналогів для порівняння кодової бази. Іноді розробники створюють функцію, яку можна використовувати для поточних потреб. Наприклад, існує можливість віддалено редагувати реєстр Windows, що було дуже корисно в 90-х. У часи Windows 95/98 було багато причин налаштувати щось у реєстрі, і можливість зробити це для всіх комп’ютерів одним клацанням миші була манною небесною для системних адміністраторів. Нажаль, кіберзлочинці швидко навчилися користати цю «функцію», аж поки її не було встановлено як «вимкнено» за замовчуванням. Однак іноді цей функціонал вмикають - це корисно для створення багатофункціонального бекдор-доступу.
У деяких рідкісних випадках порушення створюються навмисно, насамперед, щоб використовувати їх для потреб розробника. Таке порушення трапляється рідко, і його наявність зазвичай досить важко виявити. Однак скандал вибухає в геометричній прогресії, коли його розкривають. Хоча звичайні вразливості не настільки критичні для репутації компанії, навмисні вразливості — це нищівний удар по репутації компанії.
Список найбільш вразливих програм:
- Microsoft Outlook
- Microsoft Word
- Microsoft Excel
- Adobe Premiere
- Adobe Creative Cloud
- Adobe Photoshop
- Apache Struts 2
- Pulse Connect Secure
Приклади вразливостей нульового дня
Світ кібербезпеки став свідком численних прикладів експлойтів нульового дня. Деякі з них були успішно використані кіберзлочинцями, але більшість було виявлено та виправлено до того, як це зробили шахраї. Давайте розглянемо найгучніші випадки.
- Log4 Shell. Сумнозвісна вразливість, яка була виявлена наприкінці 2022 року та була успішно використана кіберзлочинцями в різних атаках. Уразливість у механізмі журналювання дозволила зловмиснику змусити сервер виконати шкідливий код під час читання журналів. Шахраям вдалося помістити цей код у журнали під час взаємодії з додатками на основі Java. Незважаючи на те, що початкову вразливість - CVE-2021-44228 – було виправлено швидким патчем, інша з'явилася у тому ж патчі – CVE-2021-45046. Ця вразливість уже призвела до збитків сотень компаній і, ймовірно, буде циркулювати протягом кількох років. Вона по праву заслуговує на оцінку серйозності вразливостей CVSS 10/10.
- Витік даних LinkedIn через CVE-2021-1879. Уразливість у ланцюжку програмних продуктів Apple, зокрема iOS 12.4-13.7 і watchOS 7.3.3, дозволила виконання кросс-сайт скриптінгу (XSS). Цей злам був використаний для викрадення інформації близько 700 мільйонів користувачів. Значна частина цих даних – 500 мільйонів – була виставлена на продаж. Витік інформації включав електронні адреси, записи в соціальних мережах, номери телефонів і деталі геолокації. Така інформація може стати в нагоді для фішингу з використанням підроблених профілів у соціальних мережах.
- Уразливість віддаленого виконання коду у Zoom Video. Злам, через який було можливо виконати код на пристроях, підключених до конференції, було виявлено та використано під час першої хвилі пандемії. Оскільки Zoom став надпопулярним рішенням для відеоконференцій і освіти, потенційна поверхня для атаки виявилася необмеженою. CVE-2020-6110< /a> торкнувся Zoom версії 4.6.10 і більш ранніх.
Як запобігти атакам і вразливостям нульового дня?
Відсутність здатності передбачити, звідки може виникнути небезпека, робить більшість порад набагато менш ефективними. Знаючи, куди ворог намагатиметься прорватися, можна припустити, як він це зробить і як від цього захиститися. А протидія зеро-дей загрозам відомими методами більше схожа на боротьбу з вітряними млинами. Небагато методів дозволяють захиститися саме проти таких загроз. Тому ми наведемо лише найефективніші способи протидії зеро-дей атакам.
- Користуйтеся розширеною EDR із політикою нульової довіри. Багато рішень EDR пропонують гнучку модель, де ви встановлюєте, яким програмам довіряти. Однак іншого способу, окрім максимальної недовіри, у захисті від атаки нульового дня немає. Якщо ви хочете бути впевнені, що ані відомі програми, ані утиліти з GitHub не стануть частиною атаки, краще контролювати кожен елемент з максимальною ретельністю. Майже 74% кібератак з використання вразливостей нульового дня успішно обійшли «звичайні» антивіруси.
- Оновлюйте програмне забезпечення якомога частіше. Зломи нульового дня стають регулярними після їх виявлення, але ніколи не втрачають ефективності. Згідно з фактичною статистикою, у 1 кварталі 2021 р. майже 25% компаній все ще були вразливі до вірусу WannaCry – зловмисного програмного забезпечення, яке стало всесвітньо відомим у 2017 (!) році. Компанії затримують оновлення програмного забезпечення з різних причин – апаратна несумісність, скарги на інтерфейс нових версій та загальна продуктивність програми. Однак краще змиритися з цими проблемами або знайти інше програмне забезпечення, ніж продовжувати використовувати застарілі речі, які можна легко експлойтити.
