什么是零日漏洞?
May 07, 2023
为什么零日漏洞如此可怕和危险?乍一看,一些人说它们与其他威胁几乎没有什么区别。但是,一旦它们被公开揭露,它们的主要差异就会消失。其他人可能会持相反的观点 - 说根本没有必要建立任何安全措施,因为零日攻击的入侵效果将是相同的,无论是一款顶级的EDR解决方案还是一个被黑客攻破的普通防病毒工具。那么,中间在哪里呢?最后,如何保护您和您的公司免受零日攻击的影响,如果可能的话?
什么是零日攻击?
零日漏洞或零日攻击是那些从未被揭示过的程序安全漏洞,这也是它们的主要危险所在。已知漏洞在专门的来源中都有详细的列表和描述,但你只能猜测零日威胁的位置。来自世界各地的网络安全分析员试图创建至少能够防止此问题的解决方案。同时,软件供应商启动漏洞猎人计划,鼓励积极用户发现漏洞并给予丰厚的奖励。
零日漏洞的最终影响与任何其他漏洞利用的情况相同。网络犯罪分子利用漏洞,远程提升权限或执行所需的代码。这为他们在攻击的公司进行干预提供了先进的能力。可以说,被利用的意义 - 无论是否为零日 - 是网络攻击的基础。虽然并非每个人都会使用零日漏洞,但它们的份额不断增长。
但是零日攻击的危险在哪里?如果你使用任何类型的安全解决方案,并且知道数据泄露的代价,那么肯定需要担心。通常,当我们谈论EDR解决方案时,它们采用不同的信任策略实现。设置终端保护的专家选择哪些应用程序值得信任,并进行两次检查。你可以以偏执狂的方式设置它 - 直到准零信任模型,但那会减慢操作速度。当然,还有一个“根本不选择”的选项 - 使用适当的零信任安全系统,它不会对性能产生太大影响,但价格要贵得多。
零日攻击定义
零日攻击是指利用零日漏洞进行攻击的网络攻击。这些攻击的严重程度和对目标的影响可能不同,但其不可预测性是此类攻击的主要特征。虽然您可以使用已知漏洞或设计缺陷保护系统或网络免受经典攻击,但预测零日攻击是不可能的。
确切的攻击路线可能不同。骗子可以利用漏洞一次性升级权限并执行恶意软件。当骗子试图感染整个网络或部署高级持续性威胁时,通常使用的另一种选项是在本地机器上创建具有管理员特权的新帐户。之后,骗子通常会隐藏该帐户,并与初始帐户同时使用。拥有管理员帐户,他们可以自由地做任何事情 - 从收集受感染的计算机中的信息到对网络中甚至域控制器进行暴力破解。
确切地说,在进行暴力破解或在网络中传播恶意软件的阶段,如果安全专家知道有些事情正在发生,则很容易检测到恶意软件的存在。但是,不只是通过使用勒索软件加密文件并索要赎金的骗子,他们知道如何规避被检测的可能性。混淆、伪装活动,将其伪装成合法程序的活动,创造分散注意力的方法 - 这些仅仅是骗子可能采取的基本行动,以达到其目标。
零日攻击的预防:如何提前发现危险
像任何与应用程序功能相关的东西一样,您可以通过代码分析找到零日漏洞。主要问题是谁进行分析 -骇客、开发者还是漏洞猎手。事情的发展方式是,网络罪犯和漏洞猎手在漏洞搜索活动中获得了更实质性的回报。首先,他们会收到赎金和一大笔在暗网上出售数据的报酬,其次他们会因为每个发现的漏洞而得到报酬。同时,开发者只能获得非物质的东西 - 例如将其软件识别为安全使用的东西。由于声誉损失导致失去用户并不像一堆钞票那么准确。
深入分析不足以检测潜在的弱点。盯着代码行看并不会说明骇客如何使用漏洞以及它会带来哪些好处。这就是为什么漏洞猎手和黑客的工具包几乎相同。与这些工具打交道的专家了解主要的“应力集中器”-程序访问网络或请求增加权限的地方-通常是漏洞的地方。尽管如此,即使发现了漏洞并确定了骇客可以如何使用它,也不足以在野外使用它。暗网市场的程序员大军随时准备为仅价值10美元的唯一漏洞编写专门的恶意软件利用程序,而普通的反病毒软件仅能以基于签名的检测方式勉强阻止它。
为什么会出现漏洞?
网络安全分析员没有考虑漏洞出现的单一原因。其中大部分是非故意的错误 - 这些错误来自于非专业或代码库缺乏同行的情况。有时,开发人员会创建一个可利用的函数来满足当前需求。例如,有一种能力可以远程编辑Windows注册表,在90年代非常有用。在Windows 95/98时代,您有很多理由在注册表中设置某些内容,并且在一次点击中为所有计算机执行此操作的可能性对于系统管理员来说是一场灾难。不幸的是,黑客很快利用了这个“功能”,直到该功能默认为“禁用”。但是,他们有时会启用它 - 这对于创建多功能后门访问非常有用。
在一些罕见的情况下,攻击是有意制造的,主要是为了满足开发人员的需求。这种漏洞很少见,通常很难检测到它的存在。但是,一旦被发现,丑闻会呈指数级爆发。虽然普通的漏洞对公司的声誉影响不大,但有意制造的漏洞就像是对公司声誉的核弹。
最易受攻击的程序列表:
- Microsoft Outlook
- Microsoft Word
- Microsoft Excel
- Adobe Premiere
- Adobe Creative Cloud
- Adobe Photoshop
- Apache Struts 2
- Pulse Connect Secure
零日漏洞的示例
网络安全界目睹了许多零日漏洞的例子。其中一些被网络犯罪分子成功利用,但大多数在罪犯实施之前就被发现和修复了。让我们来看看最臭名昭著的案例。
- Log4 Shell。 一个臭名昭著的漏洞,于 2022 年年底 出现,并被网络犯罪分子成功用于各种攻击中。日志机制中的漏洞允许攻击者在读取日志时强制服务器执行恶意代码。罪犯能够在与基于 Java 的应用程序交互时将该代码放入日志中。 尽管最初的漏洞 - CVE-2021-44228 - 已经通过即时补丁修复,但在该补丁中出现了另一个漏洞 - CVE-2021-45046。该漏洞已经导致数百家公司损失了大量资金,并且可能会流传多年。然而,它却值得获得 10/10 的 CVSS 比率。
- 通过CVE-2021-1879泄漏LinkedIn。这是一个 Apple 软件产品链中的漏洞,特别是 iOS 12.4-13.7 和 watchOS 7.3.3,允许普适性跨站脚本攻击 (XSS)。这个漏洞被用来窃取约 7 亿用户的信息。其中 5 亿的信息被设定为出售对象。泄漏的信息包括电子邮件地址、社交媒体记录、电话号码和地理位置详细信息。这些信息可能会通过在社交网络中伪造的个人资料进行钓鱼攻击而变得方便。
- Zoom Video RCE漏洞。在冠状病毒大流行的第一波期间,揭示了能够在连接到会议的设备上执行代码的漏洞。由于Zoom成为了一种病毒式的视频会议和教育解决方案,潜在攻击面似乎是无限的。CVE-2020-6110 影响Zoom 4.6.10及更早版本。
如何避免零日漏洞和攻击?
缺乏预测危险来源的能力使得大部分建议变得不那么有效。当你知道敌人将试图从哪里攻击时,你可以推断它将如何攻击以及如何进行防御。而对付0天漏洞则更像是在打风车。对于这些威胁,你所能做的不多。因此,我们仅列出了最有效的零日恶意软件对抗方法。
- 应用具有零信任策略的高级EDR。许多EDR解决方案提供了灵活的模型,您可以设置哪些应用程序受信任。然而,在零日漏洞保护方面,除了偏执狂之外,别无选择。如果您想确保既没有众所周知的程序也没有来自GitHub的奇怪东西成为攻击的一部分,最好以最大的勤勉程度控制每一个应用程序。几乎74%的零日相关网络攻击成功地规避了“常规”防病毒软件。
- 尽可能经常更新您的软件。 零日漏洞在被发现后变得普遍,但从未失去效力。实际统计数据显示,在2021年第一季度,近25%的公司仍然容易受到 WannaCry 病毒攻击,这是一种在2017年爆发的恶意软件,因其影响范围而在全球范围内得到了广泛认识。公司推迟软件更新的原因各不相同,包括硬件不兼容、对新版本界面的抱怨以及应用程序的整体性能等。然而,与那些问题相处或寻找其他软件相比,使用过时的东西很容易被利用,所以最好更新软件。
