null-dagers sårbarhet

Zero-day-sårbarheter er protokoll-, programvare- og applikasjonssårbarheter som ennå ikke er kjent for allmennheten eller produktutviklerne der sårbarheten eksisterer. Siden en null-dagers sårbarhet er ukjent for publikum eller utviklerne, er patcher utilgjengelige.

I følge GPZ-undersøkelser kunne halvparten av de 18 zero-day-sårbarhetene som ble utnyttet av hackere i første halvdel av 2022 før en programvareoppdatering ble gjort tilgjengelig, vært forhindret hvis programvareleverandører hadde utført grundigere testing og laget mer omfattende patcher. Overraskende nok var minst fire av årets nulldagers sårbarheter variasjoner fra 2021.

Men hva er egentlig en null-dagers sårbarhet? Det er det du lærer i denne veiledningen. Men for å forstå definisjonen fullt ut, må vi først definere et par andre ting.

Hva er en null-dagers utnyttelse?

En nulldagers utnyttelse er en sikkerhetssårbarhet som ikke har blitt offentliggjort eller fikset. Begrepet refererer til både utnyttelsen i seg selv og pakken med kode som inkluderer utnyttelsen og relaterte verktøy.

Angripere bruker ofte nulldagers utnyttelser for å distribuere skadelig programvare på systemer som ikke er oppdatering. Forsvarere kan også bruke dem til å utføre penetrasjonstesting.

Du kan høre begrepene "zero-day sårbarheter", "zero-day exploits" eller "zero-day attacks" når du lærer om null-dagers utnyttelser. Disse begrepene har en avgjørende forskjell:

  • Måten hackere bruker for å målrette programvare er kjent som en "zero-day exploit", 
  • Defekten i systemet ditt er kjent som en "null-dagers sårbarhet."
  • "Zero-day attacks" er hva hackere gjør når de utnytter en sårbarhet for å infiltrere systemet ditt.

Når man snakker om null-dagers sårbarheter, er ordet "uoppdaget" essensielt fordi for å bli kalt en "null-dagers sårbarhet", må en feil være ukjent for systemets designere. Når en sikkerhetsfeil blir oppdaget, og en rettelse gjøres tilgjengelig, slutter den å være en "null-dagers sårbarhet."

Nulldagers utnyttelser kan brukes av angripere på forskjellige måter, inkludert:

  • Å utnytte upatchede systemer (dvs. uten å bruke sikkerhetsoppdateringer) for å installere skadelig programvare eller ta kontroll over datamaskiner eksternt;
  • For å gjennomføre phishing-kampanjer (dvs. sende e-poster som prøver å lure mottakere til å klikke på lenker eller vedlegg) ved å bruke ondsinnede vedlegg eller lenker som fører til utnyttelse av nettstedsvert; eller
  • For å utføre tjenestenektangrep (dvs. oversvømme servere med forespørsler slik at legitime forespørsler ikke kan komme gjennom).

Hvilke unike kjennetegn ved Zero-day Exploits gjør dem så farlige?

Det er to kategorier av nulldagssårbarheter:

Uoppdaget: Programvareleverandøren har ennå ikke lært om feilen. Denne typen er ekstremt sjelden fordi de fleste store selskaper har dedikerte team som jobber på heltid for å finne og fikse feilene i programvaren deres før hackere eller ondsinnede brukere oppdager dem.

Uoppdaget: Feilen har blitt funnet og fikset av programvareutvikleren - men ingen har rapportert det ennå fordi de ikke har lagt merke til noe galt med systemet deres. Denne sårbarheten kan være svært verdifull hvis du ønsker å starte et angrep mot andres system og ikke vil at de skal vite hva som skjer før etter at det er gjort!

Nulldagers utnyttelser er spesielt risikable siden de har større sjanse for å lykkes enn angrep på kjente feil. Når en sårbarhet blir offentliggjort på dag null, må bedrifter fortsatt lappe den, noe som gjør et angrep mulig.

Det faktum at visse sofistikerte nettkriminelle organisasjoner distribuerer nulldagers utnyttelser strategisk gjør dem mye mer risikable. Disse firmaene sparer nulldagers utnyttelser for høyverdimål, inkludert offentlige etater, finansinstitusjoner og helseinstitusjoner. Dette kan forlenge varigheten av angrepet og redusere sannsynligheten for at offeret finner en sårbarhet.

Brukere må fortsette å oppgradere systemene sine selv etter at en patch er opprettet. Hvis de ikke gjør det, før systemet er lappet, kan angripere fortsatt bruke en null-dagers utnyttelse.

Hvordan identifisere en Zero-day-sårbarhet?

Den vanligste måten å identifisere en nulldagssårbarhet på er å bruke en skanner som Nessus eller OpenVAS. Disse verktøyene skanner datamaskinen din for sårbarheter ved å bruke signaturer (kjente dårlige filer). Hvis en signatur samsvarer, kan skanneren fortelle deg hvilken fil den samsvarer med.

Imidlertid savner denne typen skanning ofte mange sårbarheter fordi signaturer bare noen ganger er tilgjengelige eller oppdateres ofte nok til å fange opp alle nye trusler etter hvert som de dukker opp.

En annen metode for å identifisere null dager er omvendt utvikling av programvarebinærfiler (kjørbare filer). Denne metoden kan være svært vanskelig, men er vanligvis unødvendig for de fleste fordi mange gratis skannere på nettet ikke krever noen teknisk kunnskap eller ekspertise for å bruke effektivt.

Eksempler på Zero-day sårbarheter

Noen eksempler på nulldagssårbarheter inkluderer:

Heartbleed Dette sikkerhetsproblemet, oppdaget i 2014, tillot angripere å trekke ut informasjon fra servere som bruker OpenSSL-krypteringsbiblioteker. Sårbarheten ble introdusert i 2011, men ble ikke oppdaget før 2 år senere da forskere fant ut at visse versjoner av OpenSSL var mottakelige for hjerteslag sendt av angripere. Hackere kan deretter få private nøkler fra servere som bruker dette krypteringsbiblioteket, slik at de kan dekryptere data som overføres av brukere.

Shellshock Denne sårbarheten ble oppdaget i 2014 og tillot angripere å få tilgang til systemer som kjører et operativsystem som er sårbart for angrep gjennom Bash shell-miljøet. Shellshock påvirker alle Linux-distribusjoner og Mac OS X 10.4 og tidligere versjoner. Selv om det er utgitt oppdateringer for disse operativsystemene, har noen enheter ennå ikke lappet mot denne utnyttelsen.

Equifax databrudd Equifax datainnbrudd var et stort nettangrep i 2017. Angrepet ble utført av en ukjent gruppe hackere som brøt Equifax sin nettside og stjal omtrent 145 millioner kunders personlige opplysninger, inkludert personnummer og fødselsdatoer.

WannaCry Ransomware WannaCry er et løsepengevirus som retter seg mot Microsoft Windows-operativsystemer; den krypterer brukernes filer og krever løsepenger gjennom Bitcoin for å dekryptere dem. Den spres gjennom nettverk ved hjelp av EternalBlue. En Windows-utnyttelse lekket fra NSA i april 2017. Ormen har påvirket over 300 000 datamaskiner over hele verden siden den ble lansert 12. mai 2017.

Malware-angrep på sykehus Malware-angrep har blitt stadig mer vanlig de siste årene ettersom hackere retter seg mot helseorganisasjoner av personlig vinning eller politiske årsaker. Et slikt angrep innebar at hackere fikk tilgang til pasientjournaler ved Hollywood Presbyterian Medical Center via phishing-e-poster sendt fra sykehusets administrasjon.

Siste ord

En nulldagers sårbarhet er en programvarefeil som er identifisert, men som ennå ikke er avslørt til programvareleverandøren. Det er «null dager» fra å bli kjent, i det minste av offentligheten. Med andre ord, det er en utnyttelse i naturen som ingen helt vet om – bortsett fra den som oppdaget og rapporterte det først.

Siste innlegg av Ahona Rudra ( se alle )