O que é um ataque de Zero-Day? - Definição e Explicação

Vulnerabilidades de Zero-Day tornam impossível ter um estágio adequado de prontidão para o ataque cibernético. Isso torna o possível vetor de invasão aleatório e provavelmente o atingirá com bastante força se você ignorar que algo está acontecendo.

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, Trojan Scanner.

Ataques de Zero-Day e explora√ß√Ķes de Zero-Day. O que eles s√£o? | Gridinsoft

Ataque de Zero-Day

October 17, 2022

A coisa que todas as pessoas mais temem é o suspense. Ao falar sobre segurança cibernética, a coisa mais imprevisível que você pode encontrar é um ataque de Zero-Day. Você nunca sabe onde eles aparecem e não pode estar pronto para reagir.

Por que as vulnerabilidades de Zero-Day s√£o t√£o assustadoras e perigosas? √Ä primeira vista, alguns dizem que t√™m pouca ou nenhuma diferen√ßa em rela√ß√£o √†s outras amea√ßas. E assim que eles s√£o revelados ao p√ļblico, sua principal alteridade evapora. Outras pessoas podem agir de forma contr√°ria - dizendo que n√£o h√° raz√£o para estabelecer qualquer seguran√ßa porque as viola√ß√Ķes de ataque de Zero-Day ser√£o igualmente nulas a solu√ß√£o EDR de primeira linha e um ataque hackeado vers√£o de uma ferramenta antiv√≠rus comum. Ent√£o, onde est√° o intermedi√°rio? Ent√£o, onde est√° o intermedi√°rio? E, finalmente, como proteger voc√™ e sua empresa contra ataques de Zero-Day, se poss√≠vel?

O que é um ataque de Zero-Day?

As vulnerabilidades de Zero-Day, ou explora√ß√Ķes de Zero-Day, s√£o as brechas de seguran√ßa nos programas que nunca foram descobertas. Exatamente, √© o seu principal perigo. Embora as viola√ß√Ķes conhecidas sejam listadas e descritas em todos os detalhes nas fontes especializadas, voc√™ pode esperar apenas onde est√° a amea√ßa de Zero-Day. Analistas de seguran√ßa cibern√©tica de todo o mundo tentam criar uma solu√ß√£o que pelo menos seja capaz de evitar esse problema. Enquanto isso, os fornecedores de software lan√ßam programas de ca√ßadores de bugs, nos quais os usu√°rios da iniciativa recebem uma quantia substancial de dinheiro para encontrar as viola√ß√Ķes.

Zero-day violação ciclo de vida
O ciclo de vida de uma vulnerabilidade de Zero-Day

Os efeitos finais da viola√ß√£o de Zero-Day s√£o os mesmos que em qualquer outro caso de explora√ß√£o de vulnerabilidade. Os cibercriminosos usam as viola√ß√Ķes para escalar privil√©gios ou para executar o c√≥digo de que precisam remotamente. Isso lhes d√° recursos avan√ßados para realizar a interven√ß√£o na corpora√ß√£o que atacaram. Pode-se dizer que o significado explorado - sejam eles de Zero-Day ou n√£o - √© a base para o ataque cibern√©tico. Nem todos est√£o comprometidos com o uso deles, mas sua participa√ß√£o cresce continuamente.

Mas qual √© o perigo de um ataque de Zero-Day? Existe uma raz√£o para se preocupar tanto se ele conceder aos bandidos as mesmas habilidades de um exploit regular? Sim, se voc√™ usa uma solu√ß√£o de seguran√ßa de qualquer tipo e sabe o pre√ßo do vazamento de dados. Geralmente, quando falamos sobre as solu√ß√Ķes EDR, elas aplicam diferentes realiza√ß√Ķes de pol√≠tica de confian√ßa. O especialista que configura a prote√ß√£o de endpoint escolhe em quais aplicativos confiar e deve ser verificado duas vezes. Voc√™ pode configur√°-lo de maneira paran√≥ica - at√© um modelo de confian√ßa quase zero, mas isso retardar√° as opera√ß√Ķes. Claro, existe uma op√ß√£o ‚Äún√£o escolher nada‚ÄĚ - usando um sistema de seguran√ßa zero-trust adequado, que n√£o afetar√° tanto o desempenho. No entanto, eles s√£o muito mais caros.

Definição de ataque de Zero-Day

Os ataques de Zero-Day s√£o, aparentemente, os ataques cibern√©ticos que incluem o uso de vulnerabilidades de Zero-Day. O n√≠vel de gravidade desses ataques e o impacto no alvo podem diferir, mas sua imprevisibilidade √© a principal caracter√≠stica desses ataques. Embora voc√™ possa proteger seu sistema ou rede de ataques cl√°ssicos usando viola√ß√Ķes conhecidas ou falhas de projeto, √© imposs√≠vel prever o ataque de Zero-Day.

O roteiro de ataque exato pode ser diferente. Os bandidos podem usar a viola√ß√£o para escalar privil√©gios uma vez e executar seu malware. Outra op√ß√£o que √© usada principalmente quando os golpistas tentam infectar toda a rede ou implantar a amea√ßa persistente avan√ßada √© criar uma nova conta com privil√©gios de administrador na m√°quina local . Depois disso, os bandidos costumam esconder essa conta e us√°-la simultaneamente com o uso das iniciais. Tendo a conta de administrador, eles s√£o livres para fazer o que quiserem - desde coletar as informa√ß√Ķes do PC infectado at√© for√ßar bruta os outros computadores na rede ou at√© mesmo o controlador de dom√≠nio.

Exatamente, no est√°gio em que a for√ßa bruta ou o malware se espalhando na rede, √© muito f√°cil detectar a presen√ßa do malware se o especialista em seguran√ßa souber que algo est√° acontecendo. No entanto, os criminosos que fazem mais do que apenas cifrando os arquivos com ransomware e pedindo o resgate sabem como contornar a possibilidade de serem detectados. Ofusca√ß√£o, disfar√ßando a atividade como uma de um programa leg√≠timo, criando a distra√ß√£o - essas s√£o apenas as a√ß√Ķes b√°sicas que os bandidos podem aplicar para atingir seu alvo.

Prevenção de ataque de Zero-Day: como descobrir o perigo com antecedência

Como tudo relacionado √†s fun√ß√Ķes de qualquer aplicativo, voc√™ pode encontrar vulnerabilidades de Zero-Day por meio da an√°lise de c√≥digo. A quest√£o principal √© quem faz essa an√°lise - criminosos, desenvolvedores ou ca√ßadores de bugs. Do jeito que as coisas aconteceram, os cibercriminosos e ca√ßadores de bugs t√™m uma recompensa muito mais material por sua atividade na busca de exploits. Primeiro, receba resgates e um grande furo por vender os dados na Darknet e, segundo, seja pago por cada viola√ß√£o encontrada. Enquanto isso, os desenvolvedores recebem apenas as coisas n√£o materiais - como reconhecer seu software como seguro de usar. As perdas de reputa√ß√£o que resultam na perda de usu√°rios n√£o parecem t√£o precisas quanto um pacote de notas.

Detecção de vulnerabilidades de Zero-Day
A forma como as vulnerabilidades de Zero-Day s√£o detectadas

A an√°lise profunda √© insuficiente para detectar o potencial ponto fraco. Olhar para as linhas de c√≥digo n√£o indicar√° exatamente como os criminosos podem usar a vulnerabilidade e quais benef√≠cios ela trar√°. √Č por isso que o kit de instrumentos para ca√ßadores de bugs e hackers √© quase o mesmo. Os especialistas que trabalham com essas coisas conhecem os principais ‚Äúconcentradores de estresse‚ÄĚ ‚Äď locais onde o programa acessa a rede ou solicita privil√©gios maiores ‚Äď na maioria das vezes locais de viola√ß√£o. No entanto, mesmo descobrir a brecha e determinar quais bandidos podem us√°-la n√£o √© suficiente para us√°-la na natureza. Um ex√©rcito de programadores dos mercados da Darknet est√° pronto para escrever um malware de explora√ß√£o exclusivo por apenas US$ 10, e os antiv√≠rus comuns dificilmente o impedir√£o com detec√ß√Ķes baseadas em assinatura.

Por que as vulnerabilidades aparecem?

Os analistas de seguran√ßa cibern√©tica n√£o consideraram um √ļnico motivo para o aparecimento de vulnerabilidades. A maioria deles s√£o erros n√£o intencionais - esses aparecem por falta de profissionalismo ou pela falta de pares para comparar a base de c√≥digo. √Äs vezes, os desenvolvedores criam uma fun√ß√£o explor√°vel para atender a algumas necessidades atuais. Por exemplo, existe a capacidade de editar o Registro do Windows remotamente, o que foi bastante √ļtil nos anos 90. Na √©poca do Windows 95/98, voc√™ tinha muitos motivos para configurar algo no registro, e a possibilidade de fazer isso para todos os computadores em um clique era uma bagun√ßa para os administradores de sistema. Infelizmente, os cibercriminosos aproveitaram esse ‚Äúrecurso‚ÄĚ rapidamente at√© que essa fun√ß√£o fosse definida como ‚Äúdesativada‚ÄĚ por padr√£o. No entanto, √†s vezes eles o habilitam - √© √ļtil para criar acesso de backdoor multifuncional.

Em alguns casos raros, as viola√ß√Ķes s√£o criadas intencionalmente, principalmente para us√°-las de acordo com as necessidades do desenvolvedor. Essa viola√ß√£o √© rara e sua presen√ßa geralmente √© muito dif√≠cil de detectar. No entanto, o esc√Ęndalo explode exponencialmente √† medida que √© descoberto. Embora as vulnerabilidades comuns n√£o sejam t√£o cr√≠ticas para a reputa√ß√£o da empresa, as intencionais s√£o como uma bomba nuclear para a reputa√ß√£o da empresa.

A lista dos programas mais explor√°veis:

  • Microsoft Outlook
  • Microsoft Word
  • Microsoft Excel
  • Adobe Premiere
  • Adobe Creative Cloud
  • Adobe Photoshop
  • Apache Struts 2
  • Pulse Connect Secure

Exemplos de explora√ß√Ķes de Zero-Day

O mundo da seguran√ßa cibern√©tica testemunhou v√°rios exemplos de explora√ß√Ķes de Zero-Day. Alguns deles foram usados ‚Äč‚Äčcom sucesso por cibercriminosos, mas a maioria foi detectada e corrigida antes que os criminosos o fizessem. Vamos verificar os casos mais not√≥rios.

  • Log4 Shell. Uma vulnerabilidade infame que surgiu no in√≠cio de 2022, e foi usado com sucesso por cibercriminosos em v√°rios ataques. A vulnerabilidade no mecanismo de log permitiu que o invasor for√ßasse o servidor a executar o c√≥digo malicioso enquanto lia os logs. Os bandidos conseguiram colocar esse c√≥digo nos logs enquanto interagiam com aplicativos baseados em Java.
  • Mesmo que a vulnerabilidade inicial - CVE-2021-44228 - foi corrigido com um patch instant√Ęneo, o outro apareceu nesse patch - CVE-2021-45046. Essa vulnerabilidade j√° levou centenas de empresas a perdas de dinheiro e provavelmente circular√° por v√°rios anos. No entanto, merece a rela√ß√£o CVSS de 10/10.
  • LinkedIn vazou atrav√©s de CVE-2021-1879. A vulnerabilidade em uma cadeia de produtos de software da Apple, em particular iOS 12.4-13.7 e watchOS 7.3.3, permitiu o universal script entre sites (XSS). Essa viola√ß√£o foi usada para roubar as informa√ß√Ķes de cerca de 700 milh√Ķes de usu√°rios. Uma grande parte dos - 500 milh√Ķes - foi colocada √† venda. As informa√ß√Ķes vazadas inclu√≠am endere√ßos de e-mail, registros de m√≠dia social, n√ļmeros de telefone e detalhes de geolocaliza√ß√£o. Essas informa√ß√Ķes podem ser √ļteis para spear phishing com o uso de perfis falsificados em redes sociais.
  • Vulnerabilidade do Zoom Video RCE. A viola√ß√£o que possibilitou a execu√ß√£o do c√≥digo nos dispositivos conectados a uma confer√™ncia foi descoberta e utilizada em meio √† primeira onda da pandemia de coronav√≠rus. Desde que o Zoom se tornou uma solu√ß√£o viral de videoconfer√™ncia e educa√ß√£o, a potencial superf√≠cie de ataque parecia ser ilimitada. CVE-2020-6110 tocou nas vers√Ķes 4.6.10 e anteriores do Zoom.

Como evitar explora√ß√Ķes e ataques de Zero-Day?

A ausência da capacidade de prever de onde o perigo pode vir torna a maioria dos conselhos muito menos eficazes. Quando você sabe onde o inimigo tentará invadir, você pode presumir como ele fará isso e como se defender. Enquanto isso, contrariar os dias 0 com métodos bem conhecidos é mais como lutar contra moinhos de vento. Não há muito que você possa fazer precisamente contra esses tipos de ameaças. Portanto, listaremos apenas as formas mais eficazes de combate a malware de Zero-Day.

  • Aplique o uso de EDR avan√ßado com pol√≠tica de confian√ßa zero. Muitas solu√ß√Ķes de EDR oferecem um modelo flex√≠vel, onde voc√™ configura em quais aplicativos confiar. No entanto, n√£o h√° outro caminho al√©m do paran√≥ico na prote√ß√£o contra viola√ß√£o de Zero-Day. Se voc√™ quiser ter certeza de que nem programas conhecidos nem coisas estranhas do GitHub far√£o parte do ataque, √© melhor controlar cada um com o m√°ximo de dilig√™ncia. Quase 74% de 0 ciberataques relacionados ao dia contornaram com sucesso os antiv√≠rus "regulares".
  • Atualize seu software com a maior frequ√™ncia poss√≠vel. As viola√ß√Ķes de Zero-Day tornam-se regulares ap√≥s serem descobertas, mas nunca perdem a efic√°cia. Como dizem as estat√≠sticas reais, no T1 2021 quase 25% das empresas ainda estavam vulner√°veis ‚Äč‚Äčao v√≠rus WannaCry - um malware que se tornou mundialmente conhecido quando foi lan√ßado em 2017. As empresas est√£o atrasando as atualiza√ß√Ķes de software por diferentes motivos - incompatibilidade de hardware, reclama√ß√Ķes sobre a interface de novas vers√Ķes e o desempenho geral do aplicativo. No entanto, √© melhor tolerar esses problemas ou encontrar outro software do que continuar usando coisas desatualizadas que podem ser facilmente exploradas.