Sårbarhet av nolldagskaraktär

Zero-day-sårbarheter är sårbarheter i protokoll, programvara och program som ännu inte är kända för allmänheten eller produktutvecklarna där sårbarheten finns. Eftersom allmänheten eller utvecklarna inte känner till en zero-day-sårbarhet finns det inga patchar att tillgå.

Enligt GPZ Research kommer hälften av de 18 nolldagssårbarheter som hackare utnyttjade under första halvåret 2022 innan en mjukvaruuppdatering gjordes tillgänglig hade kunnat förhindras om programvaruleverantörerna hade genomfört grundligare tester och skapat mer omfattande patchar. Överraskande nog var minst fyra av årets nolldagssårbarheter variationer från 2021.

Men vad är egentligen en zero-day-sårbarhet? Det får du veta i den här guiden. Men för att förstå definitionen fullt ut måste vi först definiera några andra saker.

Vad är en Zero-day-exploit?

En zero-day-exploit är en säkerhetssårbarhet som inte har offentliggjorts eller åtgärdats offentligt. Termen avser både själva exploateringen och det kodpaket som innehåller exploateringen och tillhörande verktyg.

Angripare använder ofta zero-day-exploits för att sprida skadlig kod på system som inte har blivit patchade. Försvarare kan också använda dem för att utföra penetrationstester.

Du kan höra uttrycken "zero-day vulnerabilities", "zero-day exploits" eller "zero-day attacks" när du lär dig om zero-day exploits. Dessa termer har en avgörande skillnad:

  • Det sätt som hackare använder sig av för att rikta in sig på mjukvara kallas "zero-day exploit".
  • Felet i ditt system är känt som en "zero-day-sårbarhet".
  • "Zero-day-attacker" är vad hackare gör när de utnyttjar en sårbarhet för att infiltrera ditt system.

När man talar om nolldagssårbarheter är ordet "oupptäckt" viktigt, för för att kunna kallas en nolldagssårbarhet måste felet vara okänt för systemets konstruktörer. När en säkerhetsbrist upptäcks och en lösning görs tillgänglig upphör den att vara en "zero-day vulnerability".

Zero-day-exploits kan användas av angripare på olika sätt, bland annat:

  • Utnyttja system som inte är uppdaterade (dvs. utan att säkerhetsuppdateringar används) för att installera skadlig kod eller ta kontroll över datorer på distans;
  • För att genomföra phishing-kampanjer (dvs. skicka e-postmeddelanden som försöker lura mottagarna att klicka på länkar eller bilagor) med hjälp av skadliga bilagor eller länkar som leder till exploateringar av webbhotell, eller
  • För att utföra överbelastningsattacker (dvs. översvämma servrar med förfrågningar så att legitima förfrågningar inte kan komma fram).

Vilka unika egenskaper hos nolldagsexploateringar gör dem så farliga?

Det finns två kategorier av zero-day-sårbarheter:

Ej upptäckt: Programvaruleverantören har ännu inte fått kännedom om felet. Denna typ är extremt sällsynt eftersom de flesta stora företag har dedikerade team som arbetar heltid med att hitta och åtgärda brister i programvaran innan hackare eller illasinnade användare upptäcker dem.

Oupptäckt: Felet har upptäckts och rättats av programvaruutvecklaren - men ingen har rapporterat det ännu eftersom de inte har märkt något fel på sitt system. Den här sårbarheten kan vara mycket värdefull om du vill inleda en attack mot någon annans system och inte vill att de ska veta vad som händer förrän efter att det är gjort!

Zero-day-exploits är särskilt riskabla eftersom de har större chans att lyckas än angrepp på kända brister. När en sårbarhet offentliggörs på dag noll måste företagen fortfarande lappa den, vilket gör det möjligt att genomföra en attack.

Det faktum att vissa sofistikerade cyberkriminella organisationer använder zero-day-exploits strategiskt gör dem mycket mer riskfyllda. Dessa företag sparar zero-day-exploits för mål av högt värde, däribland statliga myndigheter, finansinstitut och sjukvårdsinrättningar. Detta kan förlänga angreppets varaktighet och minska sannolikheten för att offret ska hitta en sårbarhet.

Användarna måste fortsätta att uppgradera sina system även efter att en patch har skapats. Om de inte gör det kan angriparna fortfarande använda en zero-day-exploit tills systemet är patchat.

Hur identifierar man en Zero-day-sårbarhet?

Det vanligaste sättet att identifiera en zero-day-sårbarhet är att använda en skanner som Nessus eller OpenVAS. Dessa verktyg söker efter sårbarheter i din dator med hjälp av signaturer (kända dåliga filer). Om en signatur stämmer överens kan skannern tala om vilken fil den stämmer överens med.

Den här typen av skanning missar dock ofta många sårbarheter eftersom signaturer bara ibland är tillgängliga eller uppdateras tillräckligt ofta för att fånga upp alla nya hot när de dyker upp.

En annan metod för att identifiera noll dagar är att göra en reverse engineering av binärfiler (körbara filer). Denna metod kan vara mycket svår men är vanligtvis onödig för de flesta eftersom det finns många gratis skannrar på nätet som inte kräver någon teknisk kunskap eller expertis för att användas effektivt.

Exempel på Zero-day-sårbarheter

Några exempel på zero-day-sårbarheter är:

Heartbleed - Den här sårbarheten, som upptäcktes 2014, gjorde det möjligt för angripare att utvinna information från servrar som använder OpenSSL-krypteringsbibliotek. Sårbarheten introducerades 2011 men upptäcktes inte förrän två år senare när forskare upptäckte att vissa versioner av OpenSSL var känsliga för hjärtslag som skickades av angripare. Hackare kunde då få tag på privata nycklar från servrar som använder detta krypteringsbibliotek, vilket gjorde att de kunde dekryptera data som överfördes av användare.

Shellshock - Den här sårbarheten upptäcktes 2014 och gjorde det möjligt för angripare att få tillgång till system som kör ett operativsystem som är sårbart för angrepp via skalmiljön Bash. Shellshock påverkar alla Linux-distributioner och Mac OS X 10.4 och tidigare versioner. Även om det har släppts patchar för dessa operativsystem har vissa enheter ännu inte patchat mot denna exploatering.

Equifax dataintrång - Equifax dataintrång var en stor cyberattack under 2017. Attacken utfördes av en okänd grupp hackare som bröt sig in på Equifax webbplats och stal cirka 145 miljoner kunders personuppgifter, inklusive personnummer och födelsedatum.

WannaCry Ransomware - WannaCry är ett utpressningsvirus som riktar sig mot Microsoft Windows-operativsystem. Det krypterar användarnas filer och kräver en lösensumma i Bitcoin för att dekryptera dem. Det sprids via nätverk med hjälp av EternalBlue. En Windows-exploatering som läckte ut från NSA i april 2017. Masken har påverkat över 300 000 datorer världen över sedan den släpptes den 12 maj 2017.

Malware-attacker mot sjukhus - Malware-attacker har blivit allt vanligare de senaste åren då hackare riktar in sig på sjukvårdsorganisationer för personlig vinning eller av politiska skäl. I en sådan attack fick hackare tillgång till patientjournaler på Hollywood Presbyterian Medical Center via phishing e-post som skickades från sjukhusets administration.

Slutord

En zero-day-sårbarhet är en programvarufel som har identifierats men som programvaruleverantören ännu inte har fått reda på. Den är "noll dagar" från att bli känd, åtminstone av allmänheten. Med andra ord är det en exploatering i naturen som ingen känner till - förutom den som upptäckte och rapporterade den först.

Senaste inlägg av Ahona Rudra (se alla)