Vulnérabilités zéro jour
Une vulnérabilité zéro jour est un bug dans un logiciel . Bien sûr, tous les logiciels compliqués ont des bugs, alors pourquoi une journée nulle devrait-elle recevoir un nom spécial? Un bogue de jour zéro est celui qui a été découvert par les cybercriminels, mais les auteurs et les utilisateurs du logiciel ne le savent pas encore. Et, cruciale, une journée nulle est un bug qui donne lieu à une vulnérabilité exploitable.
Ces facteurs se combinent pour faire une arme dangereuse nulle jour dans les mains des cybercriminels. Ils connaissent une vulnérabilité que personne d'autre ne le sait. Cela signifie qu'ils peuvent exploiter que la vulnérabilité n'est pas congultée, compromettant tous les ordinateurs qui exécutent ce logiciel. Et parce que personne d'autre ne connaît le jour zéro, il n'y aura pas de correctifs ni de correctifs pour le logiciel vulnérable.
Donc, pour la courte période entre les premiers exploits qui se produisent - et être détectés - et les éditeurs de logiciels répondant aux correctifs, les cybercriminels peuvent exploiter que la vulnérabilité décochée. Quelque chose de manifestation comme une attaque ransomware n'est pas incontournable, mais si le compromis est une surveillance secrète, cela pourrait être très long avant que la journée nulle soit découverte. L'attaque de Solarwinds infâme est un excellent exemple.
EN RELATION: Solarwinds Hack: Qu'est-il arrivé et comment se protéger
Les jours de zéro ont trouvé leur moment
Les jours de zéro ne sont pas nouveaux. Mais ce qui est particulièrement alarmant est l'augmentation significative du nombre de jours zéro découverts. Plus que le double ont été trouvés en 2021 qu'en 2020. Les chiffres finaux sont toujours rassemblés pour 2021 - nous avons encore quelques mois à partir, après tout - mais les indications sont qu'environ 60 à 70 vulnérabilités nulnées ont été détectés par l'année.
Les jours de zéro ont une valeur pour les cybercriminels comme un moyen d'entrée non autorisée aux ordinateurs et aux réseaux. Ils peuvent les monétiser en exécutant des attaques de ransomware et en extorquant de l'argent des victimes.
Mais zéro jours eux-mêmes ont une valeur. Ce sont des produits vendables et peuvent valoir d'énormes sommes d'argent à ceux qui les découvrent. La valeur marchande noire du bon type d'exploit zéro peut facilement atteindre plusieurs centaines de milliers de dollars, et certains exemples ont dépassé 1 million de dollars. Les courtiers zéro jour seront acheter et vendre des exploits zéro jour .
Les vulnérabilités zéro jour sont très difficiles à découvrir. À une époque, ils n'étaient trouvés que par des équipes de hackers bien équipées et bien qualifiées, telles que menace persistante avancée parrainée par l'État Groupes (apt). La création de nombreux jours nulles armes dans le passé a été attribuée aux APT en Russie et en Chine.
Bien sûr, avec suffisamment de connaissances et de dévouement, tout pilier ou programmeur suffisamment accompli peut trouver des jours de zéro. Les pirates blanches font partie des bons achats qui essaient de les trouver avant les cybercriminels. Ils livrent leurs conclusions au logiciel concerné, qui travaillera avec le chercheur en sécurité qui a trouvé le problème pour le fermer.
De nouveaux correctifs de sécurité sont créés, testés et mis à disposition. Ils sont déployés comme des mises à jour de sécurité. Le jour zéro n'est annoncé que lorsque toute la remise est en place. Au moment où il devient public, le correctif est déjà sorti dans la nature. La journée nulle a été annulée.
Les jours de zéro sont parfois utilisés dans les produits. Le groupe NSO Produit d'espionnage controversé Pegasus est utilisé par les gouvernements pour lutter contre le terrorisme et maintenir la sécurité nationale. Il peut s'installer sur des appareils mobiles avec peu ou pas d'interaction de l'utilisateur. Un scandale s'est enfreint en 2018 lorsque Pegasus aurait été utilisé par plusieurs États faisant autorité pour mener une surveillance contre ses propres citoyens. Dissidents, activistes et Les journalistes étaient ciblés .
Aussi récemment que le 20 septembre 2021, une journée nulle affectant Apple iOS, MacOS et Watchos, qui était exploitée par Pegasus, a été détectée et analysée par Le laboratoire citoyen de l'Université de Toronto . Pomme libéré une série de patchs Le 13 septembre 2021.
Pourquoi la poussée soudaine en jours zéro?
Un patch d'urgence est généralement la première indication qu'un utilisateur reçoit qu'une vulnérabilité zéro jour a été découverte. Les fournisseurs de logiciels ont des calendriers pour les correctifs de sécurité, les corrections de bugs et les mises à niveau seront publiés. Mais parce que les vulnérabilités nulles doivent être correctes dans les meilleurs délais, en attendant que la prochaine version du patch planifiée n'est pas une option. Ce sont les correctifs d'urgence hors cycle qui traitent des vulnérabilités zéro jour.
Si vous avez envie de voir plus de ces récentes récemment, c'est parce que vous avez. Tous les systèmes d'exploitation traditionnels, de nombreuses applications telles que les navigateurs, les applications de smartphone et les systèmes d'exploitation de smartphones ont tous reçu des correctifs d'urgence reçus en 2021.
Il y a plusieurs raisons pour l'augmentation. Sur le côté positif, les fournisseurs de logiciels éminents ont mis en œuvre de meilleures politiques et procédures de travail avec des chercheurs de sécurité qui les abordent avec des preuves d'une vulnérabilité nulle jour. Il est plus facile pour le chercheur de sécurité de signaler ces défauts et les vulnérabilités sont prises au sérieux. Fait important, la personne signalant que la question est traitée professionnellement.
Il y a aussi plus de transparence. Apple et Android ajoutent maintenant plus de détails aux bulletins de sécurité, notamment si un problème était une journée nulle et s'il y a une probabilité que la vulnérabilité soit exploitée.
Peut-être que la sécurité est reconnue comme une fonction critique d'entreprise - et est traitée en tant que tel avec le budget et les attentats-ressources - les attaques doivent être plus intelligentes pour entrer dans des réseaux protégés. Nous savons que toutes les vulnérabilités de tous les jours ne sont pas exploitées. Compter tous les trous de sécurité de jour zéro n'est pas la même chose que de compter les vulnérabilités de jour zéro découvertes et patchées avant que les cybercriminels découvrent à leur sujet.
Mais toujours, des groupes de piratage puissants, organisés et bien financés - beaucoup d'entre eux peuvent-ils travailler intégralement pour essayer de découvrir des vulnérabilités nulles. Ils les vendent soit, soit ils les exploitent eux-mêmes. Souvent, un groupe vendra une journée nulle après avoir été traits eux-mêmes, car il s'approche de la fin de sa vie utile.
Parce que certaines entreprises n'appliquent pas les correctifs de sécurité et les mises à jour de manière opportune, la journée nulle peut profiter d'une vie prolongée, même si les patchs qui le neutralisent sont disponibles.
Les estimations suggèrent qu'un tiers des exploits de tous les jours zéro sont utilisés pour ransomware . Les grandes rations peuvent facilement payer pour de nouveaux jours nulles pour les cybercriminels à utiliser lors de leur prochaine série d'attaques. Les gangs de Ransomware gagnent de l'argent, les créateurs de jour zéro gagnent de l'argent et rondent.
Une autre école de pensée affirme que les groupes cybercriminaux ont toujours été plats pour essayer de découvrir des jours nulles, nous constatons simplement des chiffres plus élevés car il existe de meilleurs systèmes de détection au travail. Microsoft Centre de renseignement des menaces et google Groupe d'analyse des menaces Parallèlement aux autres possédant des compétences et des ressources qui rivalisent des capacités des agences de renseignement visant à détecter les menaces sur le terrain.
Avec le Migration de sur place au cloud Il est plus facile pour ces types de groupes de surveillance pour identifier des comportements potentiellement malveillants sur de nombreux clients à la fois. C'est encourageant. Nous pourrions nous améliorer pour les trouver, et c'est pourquoi nous voyons plus de jours-zéro et au début de leur cycle de vie.
Les auteurs de logiciels sont-ils enlevés? La qualité du code est-elle tombée? Si quelque chose devrait se lever avec l'adoption de Pipelines CI / CD , automatique Test de l'unité et une plus grande conscience de la sécurité doit être planifiée de dès le départ et non boulonnée lors d'une suite après coup.
Open source Les bibliothèques et les outils à outils sont utilisés dans presque tous les projets de développement non trivial. Cela peut entraîner une introduction de vulnérabilités dans le projet. Il y a plusieurs initiatives En cours pour essayer de résoudre le problème des trous de sécurité dans des logiciels open-source et de vérifier l'intégrité des actifs logiciels téléchargés.
Comment défendre
Protection des points de fin Les logiciels peuvent aider avec des attaques de jour nulle. Même avant que l'attaque de jour zéro a été caractérisée et les signatures antivirus et anti-malveillants mis à jour et envoyées, un comportement anormal ou préoccupé par le logiciel d'attaque peut déclencher les routines de détection heuristique du logiciel de protection final du marché, piégeant et mettant en quarantaine l'attaque Logiciel.
Gardez tous les logiciels et Systèmes d'exploitation à jour et patché. N'oubliez pas de corriger également les périphériques réseau, y compris routeurs et commutateur .
Réduire votre surface d'attaque. Installez uniquement les packages logiciels requis et vérifiez la quantité de logiciels open source que vous utilisez. Envisager de favoriser des applications open-source qui ont signé les programmes de signature et de vérification des artefact, tels que le Secure Open Source initiative.
Il va sans dire, utiliser un pare-feu et utilisez sa suite de garantie de passerelle s'il en en a une.
Si vous êtes administrateur réseau, limitez les utilisateurs de logiciels installer sur leurs machines d'entreprise. Éduquer vos membres du personnel. De nombreuses attaques de jour nulle exploitent un moment d'inattention humaine. Fournir des sessions de formation de sensibilisation à la cybersécurité et mettez-les de la mise à jour et de les répéter fréquemment.
EN RELATION: Windows Firewall: la meilleure défense de votre système
