0
0
O dia zero é uma falha em software, hardware ou firmware que é desconhecida para a(s) parte(s) responsável(eis) por corrigir ou corrigir a falha. O termo dia zero pode se referir à vulnerabilidade em si, ou a um ataque que tem zero dias entre o momento em que a vulnerabilidade é descoberta e o primeiro ataque. Uma vez que uma vulnerabilidade de dia zero tenha sido tornada pública, ela é conhecida como vulnerabilidade de n ou um dia.
Normalmente, quando alguém detecta que um programa de software contém um possível problema de segurança, essa pessoa ou empresa notificará a empresa de software (e às vezes o mundo em geral) para que possam ser tomadas medidas. Com o tempo, a empresa de software pode corrigir o código e distribuir um patch ou atualização de software. Mesmo que potenciais atacantes ouçam sobre a vulnerabilidade, pode levar algum tempo para explorá-la; enquanto isso, esperamos que a correção fique disponível primeiro. Às vezes, no entanto, um hacker pode ser o primeiro a descobrir a vulnerabilidade. Como a vulnerabilidade não é conhecida antecipadamente, não há como se proteger contra a façanha antes que ela aconteça. As empresas expostas a tais explorações podem, no entanto, instituir procedimentos para detecção precoce.
Pesquisadores de segurança cooperam com fornecedores e geralmente concordam em reter todos os detalhes de vulnerabilidades de dia zero por um período razoável antes de publicar esses detalhes. O Google Project Zero, por exemplo, segue as diretrizes do setor que dão aos fornecedores até 90 dias para corrigir uma vulnerabilidade antes que o localizador da vulnerabilidade divulgue publicamente a falha. Para vulnerabilidades consideradas “críticas”, o Project Zero permite apenas sete dias para o fornecedor corrigir antes de publicar a vulnerabilidade; se a vulnerabilidade estiver sendo ativamente explorada, o Project Zero pode reduzir o tempo de resposta para menos de sete dias.
Detecção de exploração de dia zero
Explorações de dia zero tendem a ser muito difíceis de detectar. Software antimalware e alguns sistemas de detecção de intrusão (IDSes) e sistemas de prevenção de intrusão (IPSes) geralmente são ineficazes porque ainda não existe assinatura de ataque. É por isso que a melhor maneira de detectar um ataque de dia zero é a análise do comportamento do usuário. A maioria das entidades autorizadas a acessar redes exibe certos padrões de uso e comportamento que são considerados normais. Atividades fora do escopo normal das operações podem ser um indicador de um ataque de dia zero.
Por exemplo, um servidor de aplicações web normalmente responde a solicitações de maneiras específicas. Se pacotes de saída forem detectados saindo da porta atribuída a essa aplicação web, e esses pacotes não corresponderem a nada que normalmente seria gerado pela aplicação, é uma boa indicação de que um ataque está acontecendo.
Período de exploração de dia zero
Alguns ataques de dia zero foram atribuídos a atores avançados de ameaças persistentes (APT), grupos de hackers ou crimes cibernéticos afiliados ou parte dos governos nacionais. Acredita-se que atacantes, especialmente APTs ou grupos organizados de crimes cibernéticos, reservem suas façanhas de dia zero para alvos de alto valor.
Vulnerabilidades de n dias continuam vivas e estão sujeitas a explorações muito depois que as vulnerabilidades foram corrigidas ou corrigidas pelos fornecedores. Por exemplo, a agência de crédito Equifax foi violada em 2017 por atacantes usando uma exploração contra o framework web Apache Struts. Os atacantes exploraram uma vulnerabilidade no Apache Struts que foi relatada e corrigida no início do ano; a Equifax não corrigiu a vulnerabilidade e foi violada por atacantes que exploravam a vulnerabilidade não corrigida.
Da mesma forma, os pesquisadores continuam encontrando vulnerabilidades de dia zero no protocolo Server Message Block, implementado no sistema operacional Windows por muitos anos. Uma vez que a vulnerabilidade de dia zero seja tornada pública, os usuários devem corrigir seus sistemas, mas os atacantes continuam a explorar as vulnerabilidades enquanto os sistemas não corrigidos permanecerem expostos na internet.
Defendendo contra ataques de dia zero
Explorações de dia zero são difíceis de se defender porque são tão difíceis de detectar. O software de varredura de vulnerabilidade depende de verificadores de assinatura de malware para comparar códigos suspeitos com assinaturas de malware conhecidos; quando o malware usa uma exploração de dia zero que não foi encontrada anteriormente, esses scanners de vulnerabilidade não bloquearão o malware.
Como uma vulnerabilidade de dia zero não pode ser conhecida com antecedência, não há como se proteger contra uma façanha específica antes que ela aconteça. No entanto, há algumas coisas que as empresas podem fazer para reduzir seu nível de exposição ao risco.
- Use redes locais virtuais para segregar algumas áreas da rede ou use segmentos de rede físicos ou virtuais dedicados para isolar o tráfego sensível que flui entre servidores.
- Implemente o IPsec, o protocolo de segurança IP, para aplicar criptografia e autenticação ao tráfego de rede.
- Implante um IDS ou IPS. Embora os produtos de segurança IDS e IPS baseados em assinatura possam não ser capazes de identificar o ataque, eles podem ser capazes de alertar os defensores sobre atividades suspeitas que ocorrem como efeito colateral do ataque.
- Use o controle de acesso à rede para evitar que máquinas desonestas tenham acesso a partes cruciais do ambiente corporativo.
- Bloqueie pontos de acesso sem fio e use um esquema de segurança como o Wi-Fi Protected Access 2 para máxima proteção contra ataques baseados em wireless.
- Mantenha todos os sistemas corrigidos e atualizados. Embora os patches não parem um ataque de dia zero, manter os recursos de rede totalmente corrigidos pode dificultar o sucesso de um ataque. Quando um patch de dia zero estiver disponível, aplique-o o mais rápido possível.
- Execute a verificação regular de vulnerabilidades em redes corporativas e bloqueie quaisquer vulnerabilidades descobertas.
Embora manter um alto padrão de segurança da informação possa não impedir todas as explorações de dia zero, ela pode ajudar a derrotar ataques que usam explorações de dia zero após as vulnerabilidades terem sido corrigidas.
Exemplos de ataques de dia zero
Vários ataques de dia zero geralmente ocorrem a cada ano. Em 2016, por exemplo, houve um ataque de dia zero (CVE-2016-4117) que explorou uma falha anteriormente desconhecida no Adobe Flash Player. Também em 2016, mais de 100 organizações sucumbiram a um bug de dia zero (CVE-2016-0167) que foi explorado para uma elevação de ataque de privilégios visando o Microsoft Windows.
Em 2017, uma vulnerabilidade de dia zero (CVE-2017-0199) foi descoberta na qual um documento do Microsoft Office em formato rich text mostrou ser capaz de acionar a execução de um script básico visual contendo comandos do PowerShell ao ser aberto. Outro exploit de 2017 (CVE-2017-0261) usou PostScript encapsulado como plataforma para iniciar infecções por malware.
O worm Stuxnet foi uma exploração devastadora de dia zero que visava sistemas de controle de supervisão e aquisição de dados (SCADA) atacando primeiro computadores que executam o sistema operacional Windows. O Stuxnet explorou quatro vulnerabilidades diferentes do Windows de dia zero e se espalhou por unidades USB infectadas, tornando possível infectar sistemas Windows e SCADA remotamente sem atacá-los através de uma rede. O verme Stuxnet tem sido amplamente divulgado como o resultado de um esforço conjunto de agências de inteligência dos EUA e de Israel para interromper o programa nuclear do Irã.
FONTE: TECHTARGET