Quina probabilitat tinc de ser afectat per un dia zero?

Per als usuaris normals, la majoria dels atacs de dia zero es dirigeixen a organitzacions d'alt valor o individus específics. Els esdeveniments d'explotació massiva (Log4Shell, ProxyShell) afecten a tothom mitjançant el programari a les seves vides, però la defensa s'està aplicant quan arriba la solució. Per als atacs dirigits contra vostè específicament, hauríeu de ser un objectiu de gran valor amb adversaris a nivell estatal.

M'he de preocupar per Pegasus o programari espia similar?

Si sou periodista, activista, dissident o polític d'interès per a un govern hostil, sí, preneu precaucions com ara el mode de bloqueig i la disciplina operativa. Per als usuaris corrents de les democràcies, el risc és prou baix perquè les defenses pràctiques (mantenir els dispositius actualitzats, evitar enllaços sospitosos, utilitzar maquinari dels principals proveïdors amb actualitzacions de seguretat) siguin suficients.

L'antivirus pot atrapar atacs de dia zero?

L'AV basat en signatures normalment no ho pot fer: no hi ha cap signatura per a un atac desconegut. L'EDR comportamental (CrowdStrike, Defender for Endpoint, SentinelOne) és més eficaç perquè té en compte el que fan els processos en lloc del que semblen. La taxa de detecció no és perfecta; fins i tot l'EDR sofisticat perd algunes explotacions sofisticades de dia zero.

Per què els venedors no solucionen tots els errors abans de l'enviament?

La complexitat del programari supera el pressupost d'auditoria. Els sistemes operatius moderns tenen centenars de milions de línies de codi. Una anàlisi exhaustiva és impossible; els venedors troben els errors que prioritzen trobar. A més, algunes categories d'errors (condicions de carrera, canals laterals) són inherents a les interaccions de maquinari i programari que cap auditoria detecta.

Hi ha maneres de lluitar contra els dies zero a nivell de plataforma?

Sí, estructuralment. Els idiomes segurs per a la memòria (Rust, Go) eliminen classes d'errors. Les mitigacions de maquinari (CET, MTE, ARM Pointer Authentication) dificulten l'explotació. Sandboxing limita els danys. La tendència dels darrers 15 anys ha estat l'enduriment progressiu; la tendència importa més que qualsevol dia zero específic.

Vulnerabilitats de dia zero explicades: què passa abans que existeixi un pegat

Un dia zero és una vulnerabilitat que el venedor encara no coneix. Fins que el venedor sàpiga i pugui emetre un pedaç, tots els sistemes que executen el codi vulnerable estan exposats. Els dies zero impulsen tant els atacs de major impacte com un mercat multimilionari de corredors d'explotació. Entendre el cicle de vida aclareix per què alguns atacs són tan devastadors.

El cos complet de l'article es proporciona en anglès a continuació.

A Vulnerabilitat zero-day és una fallada de seguretat que el venedor afectat no coneix: "zero dies" és el nombre de dies des que el venedor es va adonar. El terme de vegades significa específicament que la vulnerabilitat també s'està explotant activament (un "dia zero en estat salvatge"), altres vegades només el període abans que existeixi un pedaç. error.

Decision. El cercador tria què ha de fer: informar al venedor (divulgació responsable), vendre a un agent d'explotació, utilitzar l'explotació ells mateixos, seure-hi.

Període de divulgació prèvia. desenvolupar una solució. Si es manté privat, aquest període és indefinit.

Explotació activa, si escau. Atacants que utilitzen l'explotació contra objectius reals. Pot passar durant la divulgació prèvia o després.

Patchs del proveïdor. La correcció s'allibera, sovint amb un CVE assignat.

Disclosure. Els investigadors i el proveïdor publiquen detalls, permetent que altres defensors detectin i mitigate.

Explotació massiva. Els detalls públics ara el fan accessible per als atacants menys sofisticats; els sistemes sense pegats es converteixen en objectius en massa.

El període previ a la divulgació és el perillós. El venedor ho sap o no; els investigadors no tenen signatures de detecció; els defensors no poden prendre mitigacions específiques.

Quant valen els dies zero

Dos mercats:

Els programes de recompensa d'errors paguen entre 5.000 i 200.000 dòlars per vulnerabilitats crítiques típiques. Els primers nivells (Apple Security Research, programa de recompenses per a vulnerabilitats de Google) paguen fins a 1-2 milions de dòlars per explotacions de la cadena completa. sandbox escapes.

El preu del mercat gris per als dies zero seriosos supera substancialment les recompenses legítimes. El diferencial de preus crea un dilema ètic per als investigadors que els troben. Vendre als corredors significa que l'error continua explotat; informar al venedor significa que es soluciona. Diferents investigadors prenen decisions diferents per diferents motius.

Qui utilitza zero-days

agències d'intel·ligència de l'estat nacional. NSA, GCHQ, FSB, MSS i els seus equivalents mantenen equips cibernètics ofensius que compren o desenvolupen zero-days. La filtració de Vault 7 va revelar el conjunt d'eines TAO de la CIA; les revelacions de Snowden van revelar similars a escala de la NSA.
Cibermercenaris comercials. NSO Group (Pegasus), Cellebrite, Cyt rox, Candiru: venen exploits a clients governamentals. El govern dels EUA n'ha sancionat múltiples.
Grups de ransomware. Utilitzeu cada cop més els dies zero per a l'accés inicial. L'explotació Cl0p MOVEit del 2023 va afectar centenars d'organitzacions.
Grups d'amenaça persistent (APT) avançada. Equips afiliats a estats nacionals de llarga trajectòria que es preposicionen aprofitant els dies zero per a un ús futur.

XPLZPLZ18XXPLZ18Major dia zero incidents
Stuxnet (2010): quatre explotacions de Windows zero-days més Siemens PLC. S'utilitza contra l'enriquiment nuclear iranià.
Explotacions d'iOS de clic zero de Pegasus (múltiples, 2016-2024) — Les cadenes d'explotació d'iOS del grup NSO, utilitzades contra periodistes i activistes d'arreu del món.
3 —12X0X3 Atac a la cadena de subministrament que implica zero dies a la construcció.
ProxyLogon / ProxyShell (2021): vulnerabilitats de Microsoft Exchange Server explotades en massa abans que els pegats es desplegassin àmpliament.
ProxyLogon / ProxyShell (2021) (Crític Java) vulnerabilitat de la biblioteca de registre; explotació generalitzada en dies.
MOVEit Transfer (2023) — L'explotació del grup Cl0p va afectar milers d'organitzacions.
iOS Mode de bloqueig que desencadena esdeveniments (2022-2025) — introdueix les seves cadenes tan sofisticades, mode endurit.
La cursa de la finestra de pedaços
Després d'un dia zero s'ha revelat i pegat, l'explotació massiva sovint es produeix en hores a dies. Els atacants realitzen enginyeria inversa del pedaç, identifiquen la ruta del codi vulnerable i desenvolupen explotacions de treball. Els defensors que corren per aplicar pedaços s'enfronten a l'asimetria: els atacants només han de trobar sistemes sense pedaços, els defensors han de pegar tots els sistemes. ProxyShell va passar de la divulgació a l'explotació massiva en dies. Log4Shell s'estava explotant abans que molts administradors del sistema n'haguessin sentit a parlar.
Què poden fer els defensors
Defenses genèriques que redueixen l'impacte del dia zero:
Sandboxing. reach.
Defensa en profunditat. Cap vulnerabilitat única ofereix accés complet si l'arquitectura en capes és sòlida.
Segmentació de la xarxa. Un host compromès arriba a menys de la xarxa. Consulteu el nostre article de segmentació .
Detecció de comportament. L'EDR modern detecta comportaments maliciosos fins i tot sense signatures específiques. intrusion.
Mode de bloqueig d'Apple i equivalents. Per a persones d'alt risc (periodistes, activistes, executius), l'enduriment a nivell de plataforma desactiva les funcions d'alt risc. variable més gran.
El debat de divulgació
Les normes de divulgació responsable estan ben establertes, però estan impugnades als marges:
Google Project Zero utilitza un termini de 90 dies amb 14 dies de gràcia. La divulgació es produeix tant si el venedor l'ha pegat com si no.
Alguns investigadors afavoreixen terminis més curts (60 dies) o més llargs (180 dies) depenent de la gravetat.
La divulgació coordinada (proveïdor + investigador + parts afectades aigües avall) triga més temps, però redueix el dany col·lateral XXPLZ1104. divulgació" sense avís de vegades s'utilitza contra els venedors que no aborden els informes repetidament.
L'ètica difereix segons el context. La norma compartida: els venedors haurien de solucionar les vulnerabilitats ràpidament; els investigadors haurien de donar-los una oportunitat; la comunitat més àmplia hauria de saber-ho després que existeixi el pedaç.

Preguntes freqüents

Quina probabilitat tinc de ser afectat per un dia zero?: Per als usuaris normals, la majoria dels atacs de dia zero es dirigeixen a organitzacions d'alt valor o individus específics. Els esdeveniments d'explotació massiva (Log4Shell, ProxyShell) afecten a tothom mitjançant el programari a les seves vides, però la defensa s'està aplicant quan arriba la solució. Per als atacs dirigits contra vostè específicament, hauríeu de ser un objectiu de gran valor amb adversaris a nivell estatal.
M'he de preocupar per Pegasus o programari espia similar?: Si sou periodista, activista, dissident o polític d'interès per a un govern hostil, sí, preneu precaucions com ara el mode de bloqueig i la disciplina operativa. Per als usuaris corrents de les democràcies, el risc és prou baix perquè les defenses pràctiques (mantenir els dispositius actualitzats, evitar enllaços sospitosos, utilitzar maquinari dels principals proveïdors amb actualitzacions de seguretat) siguin suficients.
L'antivirus pot atrapar atacs de dia zero?: L'AV basat en signatures normalment no ho pot fer: no hi ha cap signatura per a un atac desconegut. L'EDR comportamental (CrowdStrike, Defender for Endpoint, SentinelOne) és més eficaç perquè té en compte el que fan els processos en lloc del que semblen. La taxa de detecció no és perfecta; fins i tot l'EDR sofisticat perd algunes explotacions sofisticades de dia zero.
Per què els venedors no solucionen tots els errors abans de l'enviament?: La complexitat del programari supera el pressupost d'auditoria. Els sistemes operatius moderns tenen centenars de milions de línies de codi. Una anàlisi exhaustiva és impossible; els venedors troben els errors que prioritzen trobar. A més, algunes categories d'errors (condicions de carrera, canals laterals) són inherents a les interaccions de maquinari i programari que cap auditoria detecta.
Hi ha maneres de lluitar contra els dies zero a nivell de plataforma?: Sí, estructuralment. Els idiomes segurs per a la memòria (Rust, Go) eliminen classes d'errors. Les mitigacions de maquinari (CET, MTE, ARM Pointer Authentication) dificulten l'explotació. Sandboxing limita els danys. La tendència dels darrers 15 anys ha estat l'enduriment progressiu; la tendència importa més que qualsevol dia zero específic.