O que uma ameaça Zero Day e porquê é tão importante?

O que uma ameaça Zero Day e porquê é tão importante? Saiba mais sobre este conceito e como você pode se proteger.

Zero-day ou 0day é uma expressão recorrente quando o assunto é vulnerabilidade grave em softwares e sistemas operacionais. O termo costuma ser aplicado em duas situações: quando brechas graves de segurança são encontradas e quando ataques de hackers explorando essas brechas são identificados. Entenda melhor o significado do termo e veja como se manter protegido de falhas desse tipo.

Falhas do tipo zero-day referem-se brechas de segurança que atingem softwares. Trata-se de uma vulnerabilidade de segurança desconhecida do público e do próprio desenvolvedor de um programa. Isso significa que, a partir do momento em que a falha é detectada, o fabricante do software tem efetivamente “zero dias” para produzir uma atualização que corrija o problema, impedindo a exploração por criminosos antes disso.

A expressão também significa a quantidade de tempo que o desenvolvedor conhece o problema. Ou seja, zero dias. Outro exemplo é o termo 30-day, referente à falhas já conhecidas pelo provedor do software por 30 dias e que não foram corrigidas e chegam a público.

Portanto, em geral, pode-se aplicar o termo zero-day de duas formas:

  • Para classificar uma brecha de segurança grave, mas ainda inexplorada;
  • Para classificar uma vulnerabilidade grave, até então desconhecida, e para qual já há ataques e malwares direcionados.

A ideia de zero-day define a gravidade da brecha e a urgência de que uma correção (patch) seja produzida e liberada para os usuários.

A maioria das falhas de segurança são descobertas por outros desenvolvedores ou hackers whitehat em programas de Bug Hunting, por exemplo. Você já deve ter ouvido falar do Project Zero, certo?
Se não, vai ouvir agora. O Project Zero é uma iniciativa do Google para descobrir falhas de segurança em softwares de outras empresas antes que elas se tornem públicas.
Isso porque, com tempo suficiente para consertar as vulnerabilidades, os desenvolvedores podem lançar um patch de correção para que os usuários atualizem seus sistemas e fiquem seguros.

Normalmente, quando alguém detecta que um programa de software contém um possível problema de segurança, essa pessoa ou empresa notificará a empresa de software (e às vezes o mundo todo) para que uma ação possa ser tomada. Com o tempo, a empresa de software pode corrigir o código e distribuir um patch ou atualização de software. Mesmo se os invasores em potencial ouvirem sobre a vulnerabilidade, pode levar algum tempo para explorá-la; enquanto isso, espera-se que a correção ficará disponível primeiro. Às vezes, no entanto, um hacker pode ser o primeiro a descobrir a vulnerabilidade. Como a vulnerabilidade não é conhecida com antecedência, não há como se proteger contra a exploração antes que aconteça. As empresas expostas a tais explorações podem, no entanto, instituir procedimentos para detecção precoce .  

Os pesquisadores de segurança cooperam com os fornecedores e geralmente concordam em reter todos os detalhes das vulnerabilidades de dia zero por um período razoável antes de publicar esses detalhes. O Google Project Zero , por exemplo, segue as diretrizes da indústria que dão aos fornecedores até 90 dias para corrigir uma vulnerabilidade antes que o descobridor da vulnerabilidade divulgue publicamente a falha. Para vulnerabilidades consideradas “críticas“, o Project Zero permite apenas sete dias para o fornecedor corrigir antes de publicar a vulnerabilidade; se a vulnerabilidade estiver sendo explorada ativamente, o Project Zero pode reduzir o tempo de resposta para menos de sete dias.

Detecção de exploit Zero Day

Os exploits de dia zero tendem a ser muito difíceis de detectar. O software antimalware e alguns sistemas de detecção de intrusão (IDSes) e sistemas de prevenção de intrusão (IPSes) são frequentemente ineficazes porque ainda não existe nenhuma assinatura de ataque. É por isso que a melhor maneira de detectar um ataque de dia zero é a análise do comportamento do usuário . A maioria das entidades autorizadas a acessar redes exibe certos padrões de uso e comportamento que são considerados normais. Atividades fora do escopo normal de operações podem ser um indicador de um ataque de dia zero.

Por exemplo, um servidor de aplicativos da web normalmente responde às solicitações de maneiras específicas. Se forem detectados pacotes de saída saindo da porta atribuída a esse aplicativo da Web e esses pacotes não corresponderem a nada que normalmente seria gerado pelo aplicativo, é uma boa indicação de que um ataque está ocorrendo.

Período de exploração Zero Day

Alguns ataques de dia zero foram atribuídos a atores de ameaças persistentes avançadas (APT), hackers ou grupos de crimes cibernéticos afiliados a ou parte de governos nacionais. Acredita-se que os invasores, especialmente APTs ou grupos organizados do crime cibernético, reservem seus exploits de dia zero para alvos de alto valor.
As vulnerabilidades de N dias continuam existindo e estão sujeitas a explorações muito depois de as vulnerabilidades terem sido mitigadas ou corrigidas de outra forma pelos fornecedores. Por exemplo, o bureau de crédito Equifax foi violado em 2017 por invasores usando uma exploração contra a estrutura da web Apache Struts. Os invasores exploraram uma vulnerabilidade no Apache Struts que foi relatada e corrigida no início do ano; O Equifax não conseguiu corrigir a vulnerabilidade e foi violado por invasores que exploravam a vulnerabilidade não corrigida.
Da mesma forma, os pesquisadores continuam a encontrar vulnerabilidades de dia zero no protocolo SMB-Server Message Block, implementado no sistema operacional Windows por muitos anos. Assim que a vulnerabilidade de dia zero for tornada pública, os usuários devem corrigir seus sistemas, mas os invasores continuam a explorar as vulnerabilidades enquanto os sistemas não corrigidos permanecerem expostos na Internet.

Defesa contra ataques Zero Day

Não há uma resposta precisa para essa pergunta quando considerado o contexto desse tipo de falha. Com isso em mente, as medidas mais eficazes são: contar com ferramentas de proteção atualizadas e de boa qualidade (antivírus) e manter todos os softwares sempre atualizados.

Embora antivírus não sejam muito eficientes contra falhas zero-day — já que sem saber da existência dessas brechas não há como identificar os ataques — há a possibilidade de que essas aplicações identifiquem malwares que, ao explorar uma falha zero-day, acabam apresentando comportamento suspeito. Sendo assim, escolher um bom antivírus também é recomendável para captar situações indesejadas no PC.

Os exploits de dia zero são difíceis de se defender porque são muito difíceis de detectar. O software de verificação de vulnerabilidade depende de verificadores de assinatura de malware para comparar códigos suspeitos com assinaturas de malware conhecido; quando o malware usa uma exploração de dia zero que não foi encontrada anteriormente, esses verificadores de vulnerabilidade não conseguirão bloquear o malware.

Como uma vulnerabilidade de dia zero não pode ser conhecida com antecedência, não há como se proteger contra uma exploração específica antes que ela aconteça. No entanto, existem algumas coisas que as empresas podem fazer para reduzir seu nível de exposição ao risco.

  • Use redes locais virtuais para segregar algumas áreas da rede ou use segmentos de rede física ou virtual dedicados para isolar o tráfego sensível que flui entre os servidores.
  • Implemente o IPsec , o protocolo de segurança IP, para aplicar criptografia e autenticação ao tráfego de rede.
  • Implante um IDS ou IPS. Embora os produtos de segurança IDS e IPS baseados em assinatura possam não ser capazes de identificar o ataque, eles podem alertar os defensores sobre atividades suspeitas que ocorrem como um efeito colateral do ataque.
  • Use o controle de acesso à rede para evitar que máquinas invasoras obtenham acesso a partes cruciais do ambiente corporativo.
  • Bloqueie os pontos de acesso sem fio e use um esquema de segurança como Wi-Fi Protected Access 2 para obter proteção máxima contra ataques baseados em wireless.
  • Mantenha todos os sistemas corrigidos e atualizados. Embora os patches não parem um ataque de dia zero, manter os recursos de rede totalmente corrigidos pode dificultar o sucesso de um ataque. Quando uma correção de dia zero estiver disponível, aplique-o o mais rápido possível.
  • Realize varreduras de vulnerabilidades regulares em redes corporativas e bloqueie quaisquer vulnerabilidades descobertas.

Embora manter um alto padrão de segurança da informação possa não impedir todos os exploits de dia zero, pode ajudar a derrotar ataques que usam exploits de dia zero após as vulnerabilidades terem sido corrigidas.

Sophos Intecept X e Firewall XG protege contra Zero Day

O Sophos Intercept X endpoint protection usa Deep Learning, uma forma avançada de Machine Learning, para detectar malwares conhecidos e desconhecidos (zero day) sem depender de assinaturas.

O Deep Learning deixa o Intercept X mais inteligente, mais escalonável e mais eficiente contra ameaças ainda não vistas. O Intercept X aproveita o Deep Learning para oferecer melhor desempenho que as soluções de segurança de endpoints que usam Machine Learning tradicional ou detecção baseada apenas em assinaturas.

Bloqueie os ataques de zera day ransomware antes que devastem a sua organização. O Intercept X inclui a tecnologia anti-ransomware que detecta processos de criptografia maliciosos e os interrompe antes que possam se espalhar pela sua rede. Oferece prevenção contra ransomwares baseada em arquivo e registro mestre de inicialização.

Os arquivos que forem criptografados retornam a um estado seguro, assim seu pessoal pode continuar trabalhando sem interrupções, com o mínimo impacto à continuidade dos negócios. Você recebe informações detalhadas após a limpeza, assim ficará sabendo onde a ameaça entrou, até onde chegou e quando foi bloqueada.

O Intercept X Advanced with EDR permite que você faça qualquer pergunta sobre o que aconteceu no passado e o que está acontecendo agora em seus endpoints. Cace ameaças para detectar adversários ativos ou aproveite as operações de TI para manter a higiene da segurança de TI. Quando um problema é encontrado remotamente, responda com precisão. Comece com a proteção mais robusta: o Intercept X bloqueia as violações antes que comecem. Ele reduz o número de itens a investigar, economizando tempo.

Adcionalmente, você pode criar um segunda camada de proteção com o Sophos XG Firewall que se integra perfeitamente ao restante do ecossistema Sophos, inclusive ao ZTNA e Intercept X Endpoint, para oferecer ao MTR, XDR e Synchronized Security visibilidade, proteção e benefícios de resposta extraordinários, independentemente de o gerenciamento ser feito por você mesmo ou pelo seu provedor MSP Sophos MindSec.

Clique e fale com a MindSec e saiba mais sobre a proteção Zero Day do Sophos Intercet X.

Proteção de ponta a ponta dos endpoints

Para deter a ampla variedade de ameaças, o Sophos Intercept X emprega uma abordagem aprofundada de defesa para proteger endpoints, em lugar de simplesmente contar apenas com uma técnica de segurança de base. Esse é “o poder do incremento” – uma combinação de técnicas de base (tradicionais) líderes com técnicas modernas (next-gen). O Intercept X integra a melhor detecção de malware e proteção contra exploração de vulnerabilidades incorporadas no sistema de detecção e resposta EDR.

Sophos XG Firewall de Próxima Geração

A combinação do endpoint protection Sophos Intercept X com o o firewall de última geração Sophos XG oferece uma comibinação perfeita para proteção da sua rede contra ameaças do tipo Zero-Day.

Com nível superior de visibilidade de atividades de risco, tráfego suspeito e ameaças avançadas, o Sophos XG ajuda a reaver o controle da sua rede. E sua poderosas tecnologias Next-Gen, como Deep Learning e prevenção contra invasões, vão manter a sua organização segura, bloqueando ameaças desconhecidas.

O Sophos XG Isola sistemas infectados através de uma resposta automática a ameaças que identifica instantaneamente os sistemas comprometidos e os isola na rede, evitando que a contaminação se alastre.

Parando ameaças de dia zero

  1. Use seu firewall com sabedoria
    1. Seu firewall é crucial para proteger seu sistema contra ameaças de dia zero. Você pode garantir a proteção máxima configurando-o para permitir apenas as transações necessárias.
  2. Combine a proteção do firewall com a proteção de endpoint
    1. O firewall é a primeira linha de defesa do ambiente de rede, quando combinado com a proteção de endpoint do Sophos Intecept X transforma-se em uma barreira praticamente intransponível de proteção do equipamento. Mesmo quando desconectado da rede o seu equipamento estará seguro de ameaças.
  3. Use apenas aplicativos essenciais
    1. Quanto mais software você tem, mais vulnerabilidades você tem. Você pode reduzir o risco para sua rede usando um mínimo de aplicativos e evitando que seus usuários instalem aplicativos desconhecidos em seus equipamentos.
  4. Mantenha-se atualizado com os patches
    1. Patches corrigem as vulnerabilidades em seu software e sistemas operacionais, fortalecendo sua resistência a malware.
  5. Escolha um bom Host Intrusion Protection System (HIPS)
    1. Sua proteção antivírus conterá alguma forma de HIPS, mas nem todas as proteções são iguais . Muitos HIPS apenas identificam ameaças quando já estão em execução, durante o tempo em que o dano pode ser causado. O Sophos se antecipa a este cenário e oferece uma proteção avançada para seu ambiente.

Exemplos de ataques Zero Day

Múltiplos ataques de dia zero comumente ocorrem a cada ano. Em 2016, por exemplo, houve um ataque de dia zero (CVE-2016-4117) que explorou uma falha anteriormente desconhecida no Adobe Flash Player . Também em 2016, mais de 100 organizações sucumbiram a um bug de dia zero (CVE-2016-0167) que foi explorado para um ataque de elevação de privilégio voltado para o Microsoft Windows.

Em 2017, uma vulnerabilidade de dia zero (CVE-2017-0199) foi descoberta em que um documento do Microsoft Office em formato rich text mostrou ser capaz de acionar a execução de um script básico visual contendo comandos do PowerShell ao ser aberto. Outro exploit de 2017 (CVE-2017-0261) usou PostScript encapsulado como plataforma para iniciar infecções por malware.

O worm Stuxnet era uma exploração devastadora de dia zero que visava os sistemas de controle de supervisão e aquisição de dados ( SCADA ), atacando primeiro os computadores que executavam o sistema operacional Windows. O Stuxnet explorou quatro vulnerabilidades de dia zero diferentes do Windows e se espalhou através de drives USB infectados, tornando possível infectar os sistemas Windows e SCADA remotamente sem atacá-los através de uma rede. O worm Stuxnet foi amplamente divulgado como o resultado de um esforço conjunto das agências de inteligência dos Estados Unidos e de Israel para interromper o programa nuclear iraniano.

Mais recentemente a vulnerabilidade CVE-2021-1675 conhecida como Print Nightmare divulgada por “engano” por pesquisadores chineses, expôs um bug crítico do Windows que permite a execução remota de código e afeta praticamente todas as versões do Windows desktop e servidor. O bug foi inicialmente documentado pela Microsoft como a abertura de um EoP (elevation of privilege) em praticamente todas as versões do Windows com suporte, desde o Windows 7 SP1 até o Server 2019. Versões ARM64 do Windows, compilações Server Core (instalações minimalistas de produtos Windows Server) e até mesmo Windows RT 8.1 fizeram parte da lista de plataformas afetadas. Mas em 21 de junho de 2021, a Microsoft atualizou a página de atualização de segurança CVE-2021-1675 para admitir que o bug também poderia ser usado para RCE (execução remota de código), tornando-o uma vulnerabilidade mais séria do que uma falha apenas EoP.

Fonte: TechTarget

Veja também:

About mindsecblog 1390 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Nova lei de Chinesa fornecerá notificação antecipada de zero-days
  2. Guardicore faz parceria com a Fortinet para simplificar segmentação Zero Trust
  3. Venda de certificados falsos de vacinação levam a tentativas de phishing
  4. O que é extortionware ? Como ele difere do ransomware?
  5. FinSpy infecta por meio de bootkits resistentes à reinstalação do SO

Deixe sua opinião!