vulnérabilité de type zero-day

Les vulnérabilités de type "zero-day" sont des vulnérabilités de protocoles, de logiciels et d'applications qui ne sont pas encore connues du grand public ou des développeurs du produit où la vulnérabilité existe. Comme une vulnérabilité de type "zero-day" est inconnue du public ou des développeurs, les correctifs ne sont pas disponibles.

Selon l'étude de GPZ, la moitié des 18 vulnérabilités de type "zero-day" exploitées par les pirates au cours de l'année 2022 auraient pu être évitées. première moitié de 2022 avant la mise à disposition d'une mise à jour logicielle auraient pu être évitées si les fournisseurs de logiciels avaient effectué des tests plus approfondis et créé des correctifs plus complets. Étonnamment, au moins quatre des vulnérabilités du jour zéro de cette année étaient des variations de 2021.

Mais qu'est-ce qu'une vulnérabilité de type "zero-day" ? C'est ce que vous allez apprendre dans ce guide. Mais pour bien comprendre cette définition, nous devons d'abord définir quelques autres choses.

Qu'est-ce qu'un "Zero-day Exploit" ?

Un exploit de type "zero-day" est une vulnérabilité de sécurité qui n'a pas été publiquement divulguée ou corrigée. Ce terme désigne à la fois l'exploit lui-même et le paquet de code qui comprend l'exploit et les outils associés.

Les attaquants utilisent souvent des exploits de type "zero-day" pour déployer des des logiciels malveillants sur des systèmes qui n'ont pas été corrigés. Les défenseurs peuvent également les utiliser pour effectuer des tests de pénétration.

Vous pourriez entendre les termes "vulnérabilités de jour zéro", "exploits de jour zéro" ou "attaques de jour zéro" lorsque vous vous renseignez sur les exploits de jour zéro. Ces termes présentent une différence cruciale :

  • La méthode employée par les pirates pour cibler les logiciels est connue sous le nom de "exploit zero-day".
  • Le défaut dans votre système est connu sous le nom de "vulnérabilité de jour zéro".
  • "Les attaques de type "zéro jour" sont ce que font les pirates lorsqu'ils exploitent une vulnérabilité pour s'infiltrer dans votre système.

Lorsqu'on parle de vulnérabilité du jour zéro, le mot "non découverte" est essentiel car pour être appelée "vulnérabilité du jour zéro", une faille doit être inconnue des concepteurs du système. Lorsqu'une faille de sécurité est découverte et qu'un correctif est mis à disposition, elle cesse d'être une "vulnérabilité du jour zéro".

Les exploits de type "zero-day" peuvent être utilisés par les attaquants de diverses manières, notamment :

  • Exploiter des systèmes non corrigés (c'est-à-dire sans appliquer les mises à jour de sécurité) pour installer des logiciels malveillants ou prendre le contrôle d'ordinateurs à distance ;
  • mener des campagnes d'hameçonnage (c'est-à-dire envoyer des courriels en essayant d'inciter les destinataires à cliquer sur des liens ou des pièces jointes) en utilisant des pièces jointes malveillantes ou des liens menant à des exploits d'hébergement de sites web ; ou
  • Pour effectuer des attaques par déni de service (c'est-à-dire inonder les serveurs de demandes de sorte que les demandes légitimes ne puissent pas passer).

Quelles sont les caractéristiques uniques des exploits de type "zero-day" qui les rendent si dangereux ?

Il existe deux catégories de vulnérabilités de type "zero-day" :

Non découvert : le fournisseur du logiciel n'a pas encore pris connaissance de la faille. Ce type de faille est extrêmement rare car la plupart des grandes entreprises ont des équipes dédiées qui travaillent à plein temps pour trouver et corriger les failles de leurs logiciels avant que les pirates ou les utilisateurs malveillants ne les découvrent.

Non détectée : la faille a été découverte et corrigée par le développeur du logiciel, mais personne ne l'a encore signalée parce qu'il n'a rien remarqué d'anormal sur son système. Cette vulnérabilité peut être très utile si vous cherchez à lancer une attaque contre le système de quelqu'un d'autre et que vous ne voulez pas qu'il sache ce qui se passe avant que ce ne soit fait !

Les exploits de type "jour zéro" sont particulièrement risqués car ils ont plus de chances de réussir que les attaques sur des failles connues. Lorsqu'une vulnérabilité est rendue publique au jour zéro, les entreprises doivent encore la corriger, ce qui rend une attaque envisageable.

Le fait que certaines organisations cybercriminelles sophistiquées déploient des exploits de type "zero-day" de manière stratégique les rend beaucoup plus risquées. Ces entreprises réservent les exploits zero-day à des cibles de grande valeur, notamment les agences gouvernementales, les institutions financières et les établissements de santé. Cela peut allonger la durée de l'attaque et diminuer la probabilité que la victime trouve une vulnérabilité.

Les utilisateurs doivent continuer à mettre à jour leurs systèmes même après la création d'un correctif. S'ils ne le font pas, jusqu'à ce que le système soit corrigé, les attaquants peuvent toujours utiliser un exploit de type "zero-day".

Comment identifier une vulnérabilité de type "jour zéro" ?

La façon la plus courante d'identifier une vulnérabilité de type "zero-day" est d'utiliser un scanner tel que Nessus ou OpenVAS. Ces outils analysent votre ordinateur à la recherche de vulnérabilités à l'aide de signatures (mauvais fichiers connus). Si une signature correspond, le scanner peut vous dire à quel fichier elle correspond.

Cependant, ce type d'analyse passe souvent à côté de nombreuses vulnérabilités, car les signatures ne sont que parfois disponibles ou mises à jour assez fréquemment pour attraper toutes les nouvelles menaces dès leur apparition.

Une autre méthode d'identification des "zero days" est la rétro-ingénierie des binaires de logiciels (fichiers exécutables). Cette méthode peut s'avérer très difficile mais n'est généralement pas nécessaire pour la plupart des gens car de nombreux scanners gratuits en ligne ne nécessitent aucune connaissance technique ou expertise pour être utilisés efficacement.

Exemples de vulnérabilités de type "jour zéro

Voici quelques exemples de vulnérabilités de type "zero-day" :

Heartbleed - Cette vulnérabilité, découverte en 2014, a permis à des attaquants d'extraire des informations de serveurs utilisant les bibliothèques de chiffrement OpenSSL. La vulnérabilité a été introduite en 2011 mais n'a été découverte que 2 ans plus tard, lorsque des chercheurs ont découvert que certaines versions d'OpenSSL étaient sensibles aux battements de cœur envoyés par des attaquants. Les pirates pouvaient alors obtenir les clés privées des serveurs utilisant cette bibliothèque de chiffrement, ce qui leur permettait de déchiffrer les données transmises par les utilisateurs.

Shellshock - Cette vulnérabilité a été découverte en 2014 et permettait aux attaquants d'accéder aux systèmes exécutant un système d'exploitation vulnérable aux attaques via l'environnement shell Bash. Shellshock affecte toutes les distributions Linux et Mac OS X 10.4 et les versions antérieures. Bien que des correctifs aient été publiés pour ces systèmes d'exploitation, certains appareils n'ont pas encore été patchés contre cet exploit.

Violation de données d'Equifax - La violation de données d'Equifax a été une cyberattaque majeure en 2017. L'attaque a été perpétrée par un groupe inconnu de pirates informatiques qui ont violé le site Web d'Equifax et volé les informations personnelles d'environ 145 millions de clients, notamment les numéros de sécurité sociale et les dates de naissance.

Ransomware WannaCry - WannaCry est un virus ransomware qui cible les systèmes d'exploitation Microsoft Windows. Il crypte les fichiers des utilisateurs et exige le paiement d'une rançon en bitcoins pour les décrypter. Il se propage à travers les réseaux en utilisant EternalBlue. Un exploit Windows a fait l'objet d'une fuite de la NSA en avril 2017. Le ver a affecté plus de 300 000 ordinateurs dans le monde depuis sa diffusion le 12 mai 2017.

Attaques de logiciels malveillants contre les hôpitaux - Les attaques de logiciels malveillants sont devenues de plus en plus courantes ces dernières années, les pirates s'en prenant aux organismes de santé pour des raisons personnelles ou politiques. Dans l'une de ces attaques, des pirates ont eu accès aux dossiers de patients du Hollywood Presbyterian Medical Center par le biais de courriels envoyés par l'administration de l'hôpital. emails de phishing envoyés par l'administration de l'hôpital.

Le mot de la fin

Une vulnérabilité de type "jour zéro" est un bogue logiciel qui a été identifié mais qui n'a pas encore été divulgué au fournisseur du logiciel. Elle est à "zéro jour" d'être connue, du moins par le public. En d'autres termes, il s'agit d'un exploit dans la nature dont personne n'est au courant, à l'exception de celui qui l'a découvert et signalé en premier.

Derniers messages de Ahona Rudra (voir tous)