Day0since disclosureno patch yetvendor unaware → exploitation possible

Vulnerabilități Zero Day

11 min citireSecuritate

O zi zero este o vulnerabilitate despre care furnizorul nu știe încă. Până când furnizorul știe și poate emite un patch, fiecare sistem care rulează codul vulnerabil este expus. Zero-days alimentează atât atacurile cu cel mai mare impact, cât și o piață de mai multe milioane de dolari a brokerilor de exploatare. Înțelegerea ciclului de viață clarifică de ce unele atacuri sunt atât de devastatoare.

Întregul articol al articolului este oferit în limba engleză mai jos.

A Vulnerabilitatea zi zero este o defecțiune de securitate despre care furnizorul afectat nu știe - „zero zile” fiind numărul de zile de când vânzătorul a luat cunoștință. Termenul uneori înseamnă în mod specific că vulnerabilitatea este de asemenea exploatată în mod activ (o „zi zero în sălbăticie”), alteori doar perioada de dinaintea existenței unui patch. bug.

  • Decizie. Găsitorul alege ce să facă: raportează vânzătorului (dezvăluire responsabilă), vinde unui broker de exploatare, folosește singur exploitul, sta pe el.
  • Perioada de pre-dezvăluire. dezvolta o remediere. Dacă este păstrată privată, această perioadă este deschisă.
  • Exploatarea activă, dacă este cazul. Atacatorii care folosesc exploit împotriva țintelor reale. Se poate întâmpla în timpul dezvăluirii preliminare sau după.
  • Patch-uri ale furnizorului. Fix este lansat, adesea cu un CVE alocat.
  • Disclosure. Cercetătorii și furnizorul publică detalii, permițând altor apărători să detecteze și atenuare.
  • Exploatare în masă. Detaliile publice acum îl fac accesibil atacatorilor mai puțin sofisticați; sistemele nepattchizate devin ținte în masă.

    • Perioada de pre-dezvăluire este cea periculoasă. Vânzătorul știe sau nu; cercetătorii nu au semnături de detectare; apărătorii nu pot lua anumite atenuări.

    Cât valorează zero-days

    Două piețe:

    • Programele de recompense pentru erori plătesc 5.000-200.000 USD pentru vulnerabilități critice tipice. Cel mai înalt nivel (Apple Security Research, programul de recompensă pentru vulnerabilități de la Google) plătesc până la 1-2 milioane USD pentru exploatările lanțului complet. sandbox escapes.

    Prețul de pe piața gri pentru zile zero serioase depășește substanțial recompensele legitime. Diferența de preț creează o dilemă etică pentru cercetătorii care le găsesc. Vânzarea către brokeri înseamnă că bug-ul rămâne exploatat; raportarea către vânzător înseamnă că se remediază. Cercetători diferiți fac alegeri diferite din motive diferite.

    Cine folosește zero-days

    • Agenții de informații naționale. NSA, GCHQ, FSB, MSS și echivalente mențin echipe cibernetice ofensive care cumpără sau dezvoltă zero-days. Scurgerea Vault 7 a dezvăluit setul de instrumente TAO al CIA; dezvăluirile Snowden au dezvăluit similare la scara NSA.
    • Mercenarii cibernetici comerciali. NSO Group (Pegasus), Cellebrite, Cyt rox, Candiru — vinde exploit-uri clienților guvernamentali. Mai multe au fost sancționate de guvernul SUA.
    • Grupuri de ransomware. Utilizați din ce în ce mai multe zile zero pentru accesul inițial. Exploatarea Cl0p MOVEit din 2023 a lovit sute de organizații.
    • Grupuri avansate de amenințări persistente (APT). incidente
      • Stuxnet (2010) — Patru Windows zero-days plus exploit-uri Siemens PLC. Folosit împotriva îmbogățirii nucleare iraniene.
      • exploatații iOS cu clic zero Pegasus (multiple, 2016-2024) — Lanțurile de exploatare iOS ale grupului NSO, utilizate împotriva jurnaliştilor și activiștilor din întreaga lume.
      • 31 — Atac în lanțul de aprovizionare care implică zero-zile în curs de construcție.
      • ProxyLogon / ProxyShell (2021) — vulnerabilitățile Microsoft Exchange Server exploatate în masă înainte ca corecțiile să fie implementate pe scară largă. vulnerabilitatea bibliotecii de jurnalizare; exploatare larg răspândită în câteva zile.
      • MOVEit Transfer (2023) — Exploatarea grupului Cl0p a lovit mii de organizații.
      • iOS Lockdown Mode declanșează evenimente (2022-2025) — lanțurile Apple găsite atât de mult modul întărit.

      Cursa cu fereastră de corecție

      După ce o zi zero este dezvăluită și corectată, exploatarea în masă urmează adesea în câteva ore la zile. Atacatorii efectuează inginerie inversă a patch-ului, identifică calea vulnerabilă a codului și dezvoltă exploit-uri funcționale. Apărătorii care se întrec pentru a corecta se confruntă cu asimetria: atacatorii trebuie să găsească doar sisteme necorecte, apărătorii trebuie să corecteze toate sistemele. ProxyShell a trecut de la dezvăluire la exploatare în masă în câteva zile. Log4Shell a fost exploatat înainte ca mulți administratori de sistem să fi auzit de el.

      Ce pot face apărătorii

      Apărări generice care reduc impactul zero-day:

      • Sandboxing.
      • Sandbox. atinge.
      • Apărare în profunzime. Nici o singură vulnerabilitate nu oferă acces deplin dacă arhitectura stratificată este solidă.
      • Segmentarea rețelei. O gazdă compromisă ajunge la mai puțină rețea. Consultați articolul nostru de segmentare .
      • Detecție comportamentală. EDR modern prinde comportament rău intenționat chiar și fără semnături specifice.
      • Feduri de informații despre amenințări. intruziune.
      • Mod de blocare Apple și echivalente. Pentru persoanele cu risc ridicat (jurnalişti, activiști, directori), întărirea la nivel de platformă dezactivează funcțiile cu risc ridicat. cea mai mare variabilă.

      Dezbaterea dezvăluirii

      Normele de divulgare responsabilă sunt bine stabilite, dar contestate la margine:

      • Google Project Zero folosește un termen limită de 90 de zile cu grație 14. Dezvăluirea are loc indiferent dacă furnizorul a corectat sau nu.
      • Unii cercetători preferă termene mai scurte (60 de zile) sau mai lungi (180 de zile), în funcție de gravitate.
      • Dezvăluirea coordonată (vânzător + cercetător + părțile afectate din aval) durează mai mult, dar reduce daunele colaterale XXPLZ1103. dezvăluirea” fără avertisment este uneori folosită împotriva vânzătorilor care nu reușesc în mod repetat să abordeze rapoartele.

      Etica diferă în funcție de context. Norma comună: vânzătorii ar trebui să remedieze cu promptitudine vulnerabilitățile; cercetătorii ar trebui să le dea o șansă; comunitatea mai largă ar trebui să știe după ce patch-ul există.

    Întrebări frecvente

    Cât de probabil sunt să fiu afectat de o zi zero?
    Pentru utilizatorii obișnuiți, cele mai multe atacuri zero-day vizează organizații cu valoare ridicată sau anumite persoane. Evenimentele de exploatare în masă (Log4Shell, ProxyShell) afectează pe toată lumea prin intermediul software-ului din viața lor, dar apărarea este corectată când sosește remedierea. Pentru atacurile direcționate împotriva dvs. în mod specific, ar trebui să fiți o țintă de mare valoare cu adversari la nivel de stat.
    Ar trebui să-mi fac griji pentru Pegasus sau spyware similar?
    Dacă sunteți jurnalist, activist, dizident sau politician de interes pentru un guvern ostil - da, luați măsuri de precauție precum Modul Lockdown și disciplina operațională. Pentru utilizatorii obișnuiți din democrații, riscul este suficient de mic încât apărările practice (menținerea dispozitivelor actualizate, evitarea legăturilor suspecte, utilizarea hardware-ului furnizorilor majori cu actualizări de securitate) să fie suficiente.
    Poate antivirusul să prindă atacuri zero-day?
    AV bazat pe semnătură, de obicei, nu poate - nu există nicio semnătură pentru un atac necunoscut. EDR comportamental (CrowdStrike, Defender for Endpoint, SentinelOne) este mai eficient deoarece se uită la ceea ce fac procesele, mai degrabă decât la ceea ce arată. Rata de detectare nu este perfectă; chiar și EDR sofisticat ratează unele exploit-uri sofisticate zero-day.
    De ce vânzătorii nu remediază toate erorile înainte de expediere?
    Complexitatea software-ului depășește bugetul de audit. Sistemele de operare moderne au sute de milioane de linii de cod. Analiza cuprinzătoare este imposibilă; vânzătorii găsesc erorile pe care le prioritizează. În plus, unele categorii de erori (condiții de cursă, canale laterale) sunt inerente interacțiunilor hardware și software pe care niciun audit nu le prinde.
    Există modalități de a lupta cu zero-days la nivel de platformă?
    Da, structural. Limbile sigure pentru memorie (Rust, Go) elimină clasele de erori. Atenuările hardware (CET, MTE, ARM Pointer Authentication) îngreunează exploatarea. Sandboxing limitează daunele. Tendința din ultimii 15 ani a fost întărirea progresivă; tendința contează mai mult decât orice zi zero specifică.
    Vulnerabilitățile zero-day explicate: ce se întâmplă înainte ca un patch să existe