ช่องโหว่แบบ Zero-Day

A ช่องโหว่ที่เป็นศูนย์วัน เป็นข้อบกพร่องด้านความปลอดภัยที่ผู้จำหน่ายที่ได้รับผลกระทบไม่ทราบ — "ศูนย์วัน" คือจำนวนวันนับตั้งแต่ที่ผู้จำหน่ายทราบ บางครั้งคำนี้หมายความโดยเฉพาะเจาะจงว่าช่องโหว่นั้นกำลังถูกโจมตีอย่างจริงจัง (หรือที่เรียกว่า "ศูนย์วันในป่า") หรือบางครั้งก็เป็นเพียงช่วงเวลาก่อนที่จะมีแพตช์

วงจรชีวิต

1. Discovery. บางคน — นักวิจัย ผู้โจมตี และหน่วยข่าวกรอง — ค้นพบ bug.
2. Decision. ผู้ค้นหาเลือกสิ่งที่ต้องทำ: รายงานต่อผู้ขาย (การเปิดเผยข้อมูลอย่างมีความรับผิดชอบ) ขายให้กับนายหน้าหาช่องโหว่ ใช้ช่องโหว่ด้วยตนเอง นั่งลงบนนั้น
3. ระยะเวลาก่อนการเปิดเผยข้อมูล หากมีการรายงาน ผู้จำหน่ายมีเวลา (โดยทั่วไปคือ 90 วัน บางครั้งมีการเจรจา) เพื่อพัฒนาโปรแกรมแก้ไข หากเก็บไว้เป็นส่วนตัว ช่วงเวลานี้จะเป็นแบบปลายเปิด
4. การแสวงหาผลประโยชน์ที่ใช้งานอยู่ ถ้ามี ผู้โจมตีที่ใช้การแสวงหาประโยชน์กับเป้าหมายจริง อาจเกิดขึ้นในระหว่างการเปิดเผยก่อนหรือหลังการเปิดเผย
5. ผู้จำหน่ายแพตช์ Fix ได้รับการเผยแพร่ โดยมักจะมี CVE กำหนดไว้
6. Disclosure. นักวิจัยและผู้ขายเผยแพร่รายละเอียด เพื่อให้ผู้ปกป้องรายอื่นสามารถตรวจจับและบรรเทาผลกระทบได้
7. Mass การแสวงหาประโยชน์ รายละเอียดที่เปิดเผยต่อสาธารณะทำให้ผู้โจมตีที่มีความซับซ้อนน้อยกว่าสามารถเข้าถึงได้ ระบบที่ไม่ได้รับการติดตั้งจะกลายเป็นเป้าหมายจำนวนมาก

ช่วงก่อนการเปิดเผยข้อมูลถือเป็นช่วงที่อันตราย ผู้ขายรู้หรือไม่; ผู้วิจัยไม่มีลายเซ็นการตรวจจับ กองหลังไม่สามารถดำเนินการบรรเทาผลกระทบที่เฉพาะเจาะจงได้

มูลค่าของศูนย์วันคือเท่าไร

สองตลาด:

• Bug Bounty Program จ่ายเงิน 5K-$200K สำหรับช่องโหว่ร้ายแรงทั่วไป ระดับสูงสุด (การวิจัยความปลอดภัยของ Apple, โปรแกรมรางวัลช่องโหว่ของ Google) จ่ายเงินสูงถึง 1M-2M สำหรับการหาประโยชน์จากเครือข่ายเต็มรูปแบบ
• Exploit โบรกเกอร์ เช่น Zeroodium, Crowdfense และกลุ่มวิจัยของ NSO Group จ่ายเงิน 500K-2.5 ล้านเหรียญสหรัฐ สำหรับหมวดหมู่ที่มีมูลค่ามากที่สุด — RCE เครือข่ายเต็มรูปแบบของ iOS, เทียบเท่ากับ Android, แซนด์บ็อกซ์ของเบราว์เซอร์ หนี

ราคาตลาดสีเทาสำหรับศูนย์วันที่ร้ายแรงนั้นสูงกว่าค่าหัวที่ถูกต้องตามกฎหมายอย่างมาก ส่วนต่างของราคาทำให้เกิดปัญหาทางจริยธรรมสำหรับนักวิจัยที่พบราคาเหล่านี้ การขายให้กับนายหน้าหมายความว่าจุดบกพร่องยังคงถูกนำไปใช้ประโยชน์ การรายงานไปยังผู้ขายหมายความว่าได้รับการแก้ไขแล้ว นักวิจัยที่แตกต่างกันมีทางเลือกที่แตกต่างกันด้วยเหตุผลที่แตกต่างกัน

ใครใช้ Zero-days

• หน่วยงานข่าวกรองระดับประเทศ NSA, GCHQ, FSB, MSS และหน่วยงานที่เทียบเท่าคอยดูแลทีมไซเบอร์แนวรุกที่ซื้อหรือพัฒนา Zero-Day การรั่วไหลของ Vault 7 เปิดเผยชุดเครื่องมือ TAO ของ CIA; การเปิดเผยข้อมูลของ Snowden เผยให้เห็นความคล้ายคลึงกันในระดับ NSA
• ทหารรับจ้างในโลกไซเบอร์เชิงพาณิชย์ NSO Group (Pegasus), Cellebrite, Cyt rox, Candiru — ขายการหาประโยชน์ให้กับลูกค้าภาครัฐ รัฐบาลสหรัฐฯ คว่ำบาตรหลายรายการ กลุ่ม
• Ransomware ใช้ศูนย์วันเพิ่มมากขึ้นสำหรับการเข้าถึงครั้งแรก การแสวงหาผลประโยชน์จาก Cl0p MOVEit ในปี 2023 ส่งผลกระทบต่อองค์กรหลายร้อยแห่ง
• กลุ่มภัยคุกคามถาวรขั้นสูง (APT) ทีมในเครือรัฐชาติที่ทำงานมายาวนานซึ่งกำหนดตำแหน่งล่วงหน้าด้วยการใช้ประโยชน์จากศูนย์วันสำหรับการใช้งานในอนาคต

ศูนย์วันหลัก เหตุการณ์

• Stuxnet (2010) — สี่ Windows แบบ Zero-Day บวกกับช่องโหว่ของ Siemens PLC ใช้ต่อต้านการเสริมสมรรถนะนิวเคลียร์ของอิหร่าน
• Pegasus การการหาประโยชน์จาก iOS แบบคลิกเป็นศูนย์ (หลายครั้ง 2016-2024) — กลุ่มการหาประโยชน์จาก iOS ของกลุ่ม NSO ใช้กับนักข่าวและนักเคลื่อนไหวทั่วโลก
• SolarWinds (2020) — การโจมตีห่วงโซ่อุปทานที่เกี่ยวข้องกับ ศูนย์วันในไปป์ไลน์การ build
• ProxyLogon / ProxyShell (2021) — ช่องโหว่ของ Microsoft Exchange Server ถูกโจมตีเป็นจำนวนมากก่อนที่แพทช์จะถูกปรับใช้อย่างกว้างขวาง
• Log4Shell (2021) — ช่องโหว่ไลบรารีการบันทึก Java ที่สำคัญ; การแสวงหาผลประโยชน์อย่างกว้างขวางในเวลาไม่กี่วัน
• MOVEit Transfer (2023) — การแสวงหาผลประโยชน์ของกลุ่ม Cl0p ส่งผลกระทบต่อองค์กรหลายพันแห่ง
• iOS Lockdown Mode ทำให้เกิดเหตุการณ์ (2022-2025) — พบเครือข่ายที่ซับซ้อนหลายเครือข่าย ส่งผลให้ Apple เปิดตัวระบบที่แข็งแกร่งยิ่งขึ้น mode.

The patch-window race

หลังจากที่มีการเปิดเผยและแพตช์ Zero-day การแสวงหาประโยชน์จำนวนมากมักจะตามมาภายในไม่กี่ชั่วโมงต่อวัน ผู้โจมตีจะวิศวกรรมย้อนกลับแพตช์ ระบุเส้นทางโค้ดที่มีช่องโหว่ และพัฒนาช่องโหว่ที่ใช้งานได้ ผู้ปกป้องที่เร่งรีบเพื่อแพทช์เผชิญกับความไม่สมมาตร: ผู้โจมตีเพียงแต่ค้นหาระบบที่ไม่ได้รับแพตช์ ส่วนผู้พิทักษ์จำเป็นต้องแพตช์ทุกระบบ

หน้าต่างการหาประโยชน์จากแพตช์ที่เปิดเผยต่อการโจมตีจำนวนมากได้หดตัวลง ProxyShell เปลี่ยนจากการเปิดเผยไปสู่การแสวงหาผลประโยชน์จำนวนมากในเวลาไม่กี่วัน Log4Shell ถูกโจมตีก่อนที่ผู้ดูแลระบบจำนวนมากจะเคยได้ยินเรื่องนี้

สิ่งที่ผู้พิทักษ์สามารถทำได้

การป้องกันทั่วไปที่ลดผลกระทบแบบซีโรเดย์:

• Sandboxing แม้แต่การใช้ประโยชน์จากส่วนประกอบแบบแซนด์บ็อกซ์ที่ประสบความสำเร็จ (เบราว์เซอร์ โปรแกรมดูเอกสาร) ก็มีข้อจำกัด เข้าถึง
• ป้องกันในเชิงลึก ไม่มีช่องโหว่เดียวที่ให้การเข้าถึงแบบเต็มหากสถาปัตยกรรมแบบเลเยอร์มีเสียง
• การแบ่งส่วนเครือข่าย โฮสต์ที่ถูกบุกรุกเข้าถึงเครือข่ายได้น้อยกว่า ดูบทความการแบ่งกลุ่ม .
• Behavioral Detection Modern EDR จับพฤติกรรมที่เป็นอันตรายได้แม้ไม่มีลายเซ็นเฉพาะ
• ฟีดข่าวกรองภัยคุกคาม เมื่อมีการเผยแพร่ตัวบ่งชี้ของการประนีประนอม องค์กรต่างๆ สามารถตรวจสอบข้อมูลก่อนหน้าได้ การบุกรุก
• Apple Lockdown Mode และสิ่งที่เทียบเท่า สำหรับบุคคลที่มีความเสี่ยงสูง (นักข่าว นักเคลื่อนไหว ผู้บริหาร) การเสริมความแข็งแกร่งระดับแพลตฟอร์มจะปิดใช้คุณสมบัติที่มีความเสี่ยงสูง
• แพทช์ทันทีเมื่อมีแพทช์มาถึง การลดหน้าต่างของการสัมผัสที่ไม่ได้รับแพตช์นั้นใหญ่ที่สุดเพียงครั้งเดียว ตัวแปร

การอภิปรายเรื่องการเปิดเผยข้อมูล

บรรทัดฐานการเปิดเผยข้อมูลอย่างมีความรับผิดชอบเป็นที่ยอมรับกันดีแต่มีข้อโต้แย้งอยู่ที่ระยะขอบ:

• Google Project Zero ใช้กำหนดเวลา 90 วันโดยมีเวลาผ่อนผัน 14 วัน การเปิดเผยข้อมูลเกิดขึ้นไม่ว่าผู้จำหน่ายจะได้ทำการแพตช์หรือไม่
• นักวิจัยบางคนชอบไทม์ไลน์ที่สั้นกว่า (60 วัน) หรือนานกว่านั้น (180 วัน) ขึ้นอยู่กับความรุนแรง
• การเปิดเผยข้อมูลแบบประสานงาน (ผู้จำหน่าย + นักวิจัย + ฝ่ายที่ได้รับผลกระทบขั้นปลาย) ใช้เวลานานกว่าแต่ลดความเสียหายของหลักประกัน
• "การเปิดเผยข้อมูลอย่างเปิดเผย" โดยไม่มีคำเตือนบางครั้งใช้กับผู้จำหน่ายที่ ไม่สามารถจัดการรายงานซ้ำแล้วซ้ำอีก

จริยธรรมแตกต่างกันตามบริบท บรรทัดฐานที่ใช้ร่วมกัน: ผู้ขายควรแก้ไขช่องโหว่ทันที นักวิจัยควรให้โอกาสพวกเขา ชุมชนในวงกว้างควรรู้หลังจากมีแพตช์แล้ว