Борьба вслепую: чем опасны уязвимости нулевого дня

Борьба со злоумышленниками в сфере кибербезопасности ведется беспрерывно, и иногда хакерам удается взять верх в этой борьбе. Им помогают в этом так называемые уязвимости нулевого дня.

Что такое уязвимости нулевого дня

В чем опасность Zero-day

- Эксплойты

- Атака нулевого дня

- - Известные атаки

Кто может обнаружить уязвимости нулевого дня

Как можно защититься

С точки зрения разработки, такие уязвимости ничем не отличаются от всех прочих. Главная проблема в том, что разработчик узнает о них не на стадии создания продукта, а в тот момент, когда ПО эксплуатируется в клиентских системах. В итоге на момент обнаружения уязвимости у специалистов нет готового решения и времени его искать — ноль дней на исправление. Но так как мгновенно исправить ситуацию невозможно, до выпуска соответствующих патчей проходит несколько дней. И все это время уязвимость может активно использоваться хакерами для атак.

По данным Google, в 2023 году хакеры использовали 97 уязвимостей нулевого дня. Большинство атак пришлись на корпоративное ПО, а не на массовые продукты для рядовых пользователей.

Ситуация осложняется тем, что иногда хакерам удается обнаружить уязвимость значительно раньше, чем безопасникам. А в такой ситуации даже небольшого временного промежутка может быть достаточно, чтобы провести массированную атаку с катастрофическими последствиями для критической инфраструктуры или корпоративного сектора.

Еще одна проблема в том, что даже после выхода обновления, в котором устранена уязвимость, далеко не все пользователи сразу его устанавливают, так что риск атак сохраняется.

Уязвимости нулевого дня могут иметь критические последствия

Уязвимости могут появляться по двум причинам. Первая — человеческий фактор.Человек допускает непреднамеренные ошибки в ходе разработки или не может спрогнозировать возможную нецелевую эксплуатацию какого-то из элементов кода. Влияние человеческого фактора можно снизить с помощью автоматизации или контроля со стороны профессионалов высокого класса, но, к сожалению, нельзя исключить полностью.

Вторая причина — сознательное создание уязвимости в ПО из-за корыстных целей конкретного разработчика.

Как уже было сказано, уязвимости Zero-day могут представлять угрозу для информационной безопасности из-за неожиданности и непредсказуемых последствий.

До того как уязвимость обнаружат и закроют разработчики, у злоумышленников есть время написать и внедрить эксплойт — вредоносный код, который позволяет воспользоваться уязвимостью. Эксплойты разрабатываются для заражения ПО вирусами или для вымогательства и шантажа. Хакеры используют эксплойт для неожиданной атаки или пытаются продать его заинтересованным лицам, спецслужбам, а иногда и разработчикам ПО. Разработчики обычно идут на это, чтобы избежать атаки и защитить свою репутацию и продукт.

В даркнете эксплойты на уязвимости нулевого дня ценятся очень высоко. Не так давно за $1 700 000 на продажу выставили эксплойт к Zero-day уязвимости для Microsoft Outlook.

Цели эксплойтов разные: перехват трафика, фишинг, SQL-инъекции и так далее. Обнаружить эксплойт можно только после первой атаки на систему.

После запуска эксплойта начинается атака, во время которой эксплойт внедряет в атакуемые системы вредоносные программы. Нередко эксплойт запускают через электронные письма, которые выдают за сообщения от известных пользователю отправителей. Когда пользователь откроет такое письмо, злоумышленники получат доступ к его файлам. Чаще всего атакуют браузеры, операционные системы, аппаратное обеспечение, офисные приложения и даже интернет вещей.

Проводят атаки не только хакеры с целью получить материальную выгоду, но и так называемые хактивисты. Это те же хакеры, и основной мотив их деятельности — возможность через атаку привлечь внимание к социальным или политическим вопросам.

Атаки нулевого дня бывают целевыми и нецелевыми. Целевые атаки проводят против значимых объектов. Это могут быть правительственные учреждения, крупные корпорации или высокопоставленные чиновники. Нецелевые атаки чаще всего направлены на рядовых пользователей уязвимых браузеров или операционных систем.

Результатом атаки нулевого дня может стать кража конфиденциальной информации, финансовые и репутационные потери, компрометация интеллектуальной собственности и даже прекращение деятельности компании.

Одна из самых известных и опасных атак нулевого дня — Stuxnet, вредоносный вирус, который нанес урон ядерной программе Ирана. В 2010 году он поразил более трети центрифуг на заводе по обогащению урана и сорвал сроки запуска АЭС в городе Бушере. Заказчик атаки до сих пор неизвестен, а вот исполнителем стал сотрудник, который вставил инфицированную флешку в свою рабочую станцию.

В 2019 году хакеры воспользовались уязвимостью Microsoft Windows, которая позволяла получить высокий уровень привилегий. К тому моменту, когда уязвимость обнаружили, хакеры активно тестировали атаки, направленные против госучреждений в странах Восточной Европы.

В 2020 году атаке подвергся Zoom. В результате злоумышленники получили доступ к компьютерам пользователей, на которых была установлена Windows 7 или более ранние версии. Пользователю достаточно было выполнить некое типичное действие, например открыть файл документа, и атака начиналась. Предупреждения безопасности при этом не было.

В этом же году произошла масштабная атака на смартфоны iPhone, которые принадлежали журналистам информационного агентства Al Jazeera. Хакерский инструмент, получивший название Kismet, загружал в айфоны шпионскую программу Pegasus. Сама программа получила доступ к учетным данным, паролям, местоположению, камере и микрофонам всех зараженных устройств. Для атаки использовался эксплойт «нулевого клика», жертвам даже не нужно было переходить по ссылкам, чтобы загрузить вредоносный код.

В 2023 году в сетевых экранах Cisco обнаружили две критичные уязвимости, которые использовались хакерами для атаки на системы госучреждений по всему миру.

Обнаружением уязвимостей нулевого дня занимаются как сами разработчики ПО, так и хакеры всех мастей. Белые хакеры ищут уязвимости, чтобы помочь разработать соответствующую защиту. Они могут работать в штате компании или предлагать свои услуги по договору, передавая производителю информацию об обнаруженных уязвимостях.

Черные хакеры ищут уязвимости для реализации своих корыстных целей. Они не информируют производителей о результатах и каждую обнаруженную уязвимость используют для собственной выгоды.

Атаки нулевого дня сложно предотвратить из-за их неожиданности. Но от них можно защититься.

Использовать принцип наименьших привилегий: каждый пользователь должен иметь только те доступы, которые необходимы для выполнения его функций.
Сегментировать сеть. Это поможет контролировать сетевой трафик и уменьшит площадь атаки для вероятных угроз.
Отслеживать аномалии. Специальные системы мониторинга могут обнаружить подозрительную активность на конечных устройствах или в сети. Это поможет быстрее обнаружить атаку.
Использовать системы защиты. Антивирусы и средства обнаружения вторжений в некоторых случаях способны найти и заблокировать вредоносные действия даже при использовании уязвимости нулевого дня. Кроме того, рекомендуется применять инструменты защиты от внедрения кода и инструменты защиты данных, например шифрование.
Обновлять программное обеспечение. Обновления включают патчи от обнаруженных уязвимостей. Если обновлять ПО регулярно, вероятность атак существенно снизится.
Использовать только необходимые для работы программы. Чем больше ПО, тем больше вероятность использования уязвимостей.
Обучить сотрудников методам соблюдения кибербезопасности. Не открывать подозрительные письма, не переходить по неизвестным ссылкам, не использовать сторонние флешки и так далее.

Уязвимости нулевого дня не новое явление в кибербезопасности, но в последнее время случаи атак участились. Хакеры становятся более изворотливыми, и пользователям нужно быть начеку. Пока система или сервис функционируют, они уязвимы для атак, а значит, постоянный мониторинг защищенности должен стать одной из главных задач политики кибербезопасности любой компании.

Staffcop Enterprise может контролировать, а также блокировать внешние устройства, выявлять уязвимости системы, расследовать инциденты информационной безопасности. Это не исключит риск атаки нулевого дня полностью, но существенно снизит такую вероятность.

#узвимостьнулевогодня #zeroday #zerodayуязвимость #атаканулевогодня

С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней — оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.

Оставить заявку