что означает нулевой день
В знак протеста против сокращения выплат bug bounty исследователь выложил эксплойт на уязвимость нулевого дня Windows
22 ноября 2021 года исследователь выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM. Уязвимость до сих пор, как оказалось, не до конца закрыта разработчиками и ей подвержены все поддерживаемые Microsoft версии Windows, включая WIndows 10, Windows 11 и даже Windows Server 2022. Причина публикации эксплойта разработчиком — его протест против политики Microsoft, которая продолжает политику сокращения выплат исследователям по своим программам поисков уязвимостей (bug bounty).
Эксперты Bleeping Computer проверили работоспособность эксплойта исследователя Абдельхамида Насери и выяснили, что с его помощью действительно можно за несколько секунд локально получить обычным пользователем права администратора системы на самой последней и обновленной со всеми патчами версии Windows 10 21H1 build 19043.1348.
Пример использования эксплойта под названием InstallerFileTakeOver
Разработчик пояснил, что его эксплойт работает даже если ПК в домене — он обходит установленные групповые политики со стороны сервера Windows Server 2022, например, запрет «стандартным» пользователям выполнять операции установщика MSI. Это также возможно на Windows Server 2016 и 2019, если там установлены по умолчанию определенные службы повышения прав в системе.
Принцип работы эксплойта — при его запуске происходит перезапись DACL (Discretionary access control list — избирательной таблицы управления доступом) службы повышения прав Microsoft Edge, которая копирует себя в расположение службы и выполняет ее под SYSTEM, что позволяет получить повышенные привилегии.
Насери посоветовал пользователям и администраторам ждать нового патча от Microsoft по этой недоработанной уязвимости, а не пытаться ее закрыть самостоятельно различными способами.
Атаки нулевого дня, APT-атаки и защита от них с использованием решений Check Point
Множество систем безопасности на сегодня являются системами поиска совпадений (сигнатур) и моделей поведения уже известных угроз. Они бессильны против новых атак, на которые ещё нет сигнатур и патчей от производителя. Причем новые атаки, как правило, не имеют цели нанести заметного ущерба, а спроектированы для незаметного, скрытного выполнения вредных действий.
В данной статье будет рассмотрена анатомия проникновения вредоносного ПО в IT-инфраструктуры, а также решения Check Point, которые можно использовать, для защиты от такого рода атак.
Итак, как же стадии проникновения атаки нулевого дня в IT-инфраструктуры?
1. Приходит электронное письмо определенному сотруднику с использованием направленного фишинга, которое содержит вложение (файл, архив), как правило Adobe Reader файл (т.к. наиболее уязвимое корпоративное приложение – Adobe Reader) или же MS DOC файл со вшитым эксплоитом под используемое приложение. Как только пользователь открывает его или выполняет предварительный просмотр, эксплоит уже начал действовать. Он выполняет переполнение буфера приложения, открывшего файл, и получает права локального администратора, подложив соответствующую команду на исполнение.
2. После этого вредоносный код производит исходящую коммуникацию (outbound callback) к управляющему серверу (Command&Control Server).
4. Загруженный файл расшифровуется, устанавливается в системе и начинает выполнять эксфильтрацию данных, т.е. находить личные данные (логины, пароли, персональные файлы), корпоративные данные (счета, накладные и т.д.) и отсылать их по определенному адресу (как правило по шифрованному каналу)
5. Последний шаг – распространение и заражение других систем. Зная пароли от сервисов персональных коммуникаций (установив кейлоггер на скомпрометированой системе) можно от имени жертвы выслать вредоносные ссылки всем, кто с ней общается.
Все данные действия отображены на рис.1
Рис1. Процесс проникновения вредоносного ПО в IT-инфраструктуру
Определение атак нулевого дня и продвинутых стойких угроз
Давайте теперь рассмотрим, как решения компании Check Point обнаруживают такие попытки проникновения и какие ключевые факторы при анализе таких атак.
Начнем с рассмотрения задачи определения вредоносного ПО.
Как было рассмотрено ранее, изначально пользователю приходит вложение в почтовом сообщении с содержанием эксплоита. Как узнать, является ли вложение зараженным или нет?
Ответ – провести статический и, по надобности, динамический анализ всех документов и вложений в электронных письмах на содержание угроз.
Статический анализ заключается в проверке на соответствие сигнатурам антивируса Check Point.
Если в веб-объектах и документах не обнаружено угроз, они проверяются на подозрительность при помощи:
• эвристического анализа;
• проверке SNORT и YARA правилами;
• проверки наличия доверенной цифровой подписи документа;
Если документ оказался подозрительным, производится динамический анализ — запуск в эмулированной пользовательской среде, которая представляет собой виртуальную машину с предустановленными основными приложениями. Далее система Check Point наблюдает за поведением запущенного документа (создание дополнительных файлов, изменения ключей в реестре, установление коммуникаций с C&C-серверами).
Далее выносится вердикт о вредоносности документа. Если он оказался зараженным, то такой документ блокируется. Нет – пропускается пользователю.
Регламентируемая задержка при проверке статическим и динамическим анализом – до 2 минут.
Данное решение в Check Point представлено в двух видах:
• облачный сервис
• устройство на площадке заказчика
Сервис
При подключении сервиса есть несколько типов квот, которые отображены в таблице 1.
Табл.1. Квотирование облачного сервиса инспекции почтовых вложений Check Point на содержание атак нулевого дня и APT-атак
Поддерживаемые платформы и операционные среды Check Point для подключения сервиса отображены в таблице ниже
Подключение данного сервиса не зависит от количества шлюзов Check Point в существующей IT-инфраструктуре.
Устройство на площадке заказчика
Если же подключать облачный сервис нету желания по тем или иным причинам, можно взять устройство Check Point, специально предназначенное для этого.
Есть два устройства Check Point под эту задачу. Квотирование происходит тоже по количеству инспектируемых файлов в месяц. Количество пользователей – рекомендуемый параметр, но не столь важен, как количество файлов. Данные устройства и их параметры отображены на Рис.2.
Рис.2. Устройства Check Point для инспекции почтовых вложений на содержание атак нулевого дня и APT-атак
Как сервис, так и устройство, имеют одинаковые технические характеристики по типам инспектируемых файлов и поддерживаемых эмулированных операционных средах. Спецификация по данным параметрам представлена в таблице 2.
Табл.2. Поддерживаемые форматы файлов и виртуальные среды для инспекции почтовых вложений
Также есть тестовый онлайн сервис, с помощью которого можно проанализировать файл на наличие содержащегося вредоносного ПО и в положительном случае будет отображено его действия в эмулированной пользовательской среде. Данный сервис доступен по веб-ссылке ниже
threatemulation.checkpoint.com/teb/upload.jsp
Во всех случаях применяется эксплоит, который получает контроль над ПК жертвы и устанавливает исходящую сетевую коммуникацию к C&C-серверу, который далее передает вредоносное ПО, выполняющее самые разнообразные действия.
Заметить такие атаки крайне сложно, поскольку о них ещё не знают и почти все современные системы безопасности работают по принципу поиска совпадений и известных моделей поведения. Обнаружить в большинстве случаев тоже трудно, поскольку они явно не показывают своих действий, а незаметно отсылают данные злоумышленнику.
Уязвимость нулевого дня
Уязвимость нулевого дня (0day, zero day) — термин, который используется для обозначения не выявленных на стадии тестирования угроз безопасности, уязвимостей, брешей в программном коде, против которых не существует защиты. Изначально они не известны никому: разработчики, антивирусные компании, пользователи не подозревают об их существовании. Об уязвимости нулевого дня становится известно до того, как производитель выпускает обновления; следовательно, у разработчиков есть 0 дней, чтобы устранить изъян. Устройства, на которых установлена уязвимая программа, находятся в зоне риска, а пользователи не имеют возможности защититься.
Обнаружение и распознавание уязвимостей
Иногда уязвимость нулевого дня выявляют хакеры, которые не хотят использовать ее в злонамеренных целях и сообщают о ней разработчикам. В других случаях ошибку могут найти пользователи или сами разработчики, после чего производителями выпускается новая версия ПО или обновление. Кроме того, антивирусы тоже иногда могут зарегистрировать вредоносные действия.
Впрочем, очевидно, что обнаружить баг могут и хакеры-злоумышленники, преследующие вредоносные цели. Тогда они будут эксплуатировать его сами или продадут другим киберпреступникам.
Для обнаружения уязвимостей злоумышленники используют различные методы:
В противоположном случае разработчик знает, что существует баг в коде, но не хочет или не может его устранить, не предупреждая никого об уязвимости.
Атаки на уязвимости нулевого дня
Если произошла атака с использованием уязвимости нулевого дня, то это значит, что злоумышленники знали о баге достаточное количество времени, чтобы написать и активировать вредоносную программу для его эксплуатации. Такие атаки опасны тем, что к ним невозможно подготовиться, а также тем, что постоянное обновление ПО не дает гарантии их предотвращения или снижения риска их возникновения.
Защита от уязвимостей нулевого дня и их устранение
Устранение ошибок входит в обязанности разработчика. Критическая проблема закрывается в течение нескольких дней или недель; все это время системы, использующие уязвимое ПО, будут находиться в опасности.
Для защиты можно использовать традиционные антивирусные технологии, а также проактивные средства:
Эксплойт для новой 0-day в Windows 10 и 11 позволяет любому стать админом
Исследователь в области кибербезопасности Абдельхамид Насери выложил в общий доступ эксплойт для уязвимости нулевого дня в Windows 10, Windows 11 и Windows Server. Согласно описанию, эта брешь приводит к повышению прав в системе, а потенциальный злоумышленник может с её помощью получить привилегии администратора.
Специалисты BleepingComputer уже успели проверить опубликованный эксплойт и смогли открыть командную строку с правами SYSTEM. Поскольку в ходе тестов использовался аккаунт с низкими привилегиями, эксплойт можно назвать рабочим.
Опасность заключается в том, что киберпреступник с ограниченными правами в ОС может существенно повысить их и двигаться латерально внутри скомпрометированной сети. Уязвимость затрагивает все поддерживаемые версии операционной системы, включая Windows 10, Windows 11 и Windows Server 2022.
Проблема в безопасности получила идентификатор CVE-2021-41379. Рабочий PoC-эксплойт Насери опубликовал на площадке GitHub с пометкой, что он работает с любой поддерживаемой версией Windows.
Оказалось, что исследователь выявил способ эксплуатации после анализа ноябрьского набора патчей от Microsoft. По словам Насери, разработчики некорректно устранили баг CVE-2021-41379, что и привело к новому вектору атаки.
Читайте также
Компания Fudo выпустила новую версию системы Fudo PAM 5.1, предоставляющую более совершенные функции управления привилегированным доступом, расширенное управление паролями и многое другое.
С выходом версии 5.1 заказчики получают расширенную функциональность PAM, включая смену паролей кластера, аутентификацию на основе сертификатов, подробный мониторинг активности в шлюзе доступа, а также усовершенствованный пользовательский интерфейс.
При этом Fudo 5.1 продолжает сохранять удобство использования и простое развертывание и настройку, к которым привыкли пользователи решения. Внедрение Fudo 5.1 также позволяет обеспечить быструю имплементацию принципов нулевого доверия (Zero Trust) и выдачи разовых доступов (Just in Time) в компаниях из различных отраслей.
«Мы продолжаем наблюдать за атаками, направленные на важнейшие объекты инфраструктуры и организации по всему миру, — пояснил Патрик Брожек (Patryk Brożek), генеральный директор Fudo Security. — Крайне важно, чтобы ИТ-руководители продолжили внедрение принципов нулевого доверия в систему безопасности сети. Злоупотребление привилегированным доступом и взломанные 1/4 учетные записи по-прежнему остаются самыми актуальными проблемами информационной безопасности в 2021 и следующем году».
«В новом выпуске 5.1 мы отреагировали на запросы заказчиков и реализовали самый безопасный и при этом простой способ доступа удаленных пользователей к серверам, приложениям и системам организации, позволяющий также специалистам по безопасности быстро переходить к использованию принципов нулевого доверия для привилегированного доступа».
С новыми функциональными возможностями можно ознакомиться в нашем сертифицированном обзоре.
Что такое атака нулевого дня? Определение и описание
Нулевой день. Определение и описание
«Нулевой день» – это общий термин, описывающий недавно обнаруженные уязвимости в системе безопасности, которые могут быть использованы злоумышленниками для атаки на систему. Термин «нулевой день» показывает, что поставщик или разработчик только что узнали об уязвимости, и у них есть «ноль дней» на ее исправление. Атака нулевого происходит в результате использования злоумышленниками уязвимости до того, как разработчикам удалось ее исправить.
Нулевой день иногда обозначают как 0-день. Слова уязвимость, эксплойт и атака обычно используются в сочетании со словами «нулевого дня», и важно понимать разницу между этими терминами:
Что такое и как работают атаки нулевого дня?
В программном обеспечении часто есть уязвимости безопасности, которые злоумышленники могут использовать для причинения вреда. Разработчики программного обеспечения всегда ищут уязвимости, которые необходимо исправить. В результате разрабатываются и выпускаются программные обновления.
Однако иногда злоумышленники обнаруживают уязвимость раньше разработчиков. Пока уязвимость не закрыта, злоумышленники могут написать и внедрить код, позволяющий ей воспользоваться. Он называется кодом эксплойта.
В результате внедрения кода эксплойта могут пострадать пользователи программного обеспечения, например, вследствие кражи личных данных или других киберпреступлений. Как только злоумышленники находят уязвимость нулевого дня, им нужно получить доступ к уязвимой системе. Часто для этого используются сообщения электронной почты с применением приемов социальной инженерии – злоумышленники выдают свои сообщения за сообщения от известных легальных отправителей. Цель сообщения – заставить пользователя выполнить определенное действие, например, открыть файл или посетить вредоносный веб-сайт. При этом загружается вредоносная программа злоумышленника, проникающая в файлы пользователя и выполняющая кражу конфиденциальных данных.
Когда об уязвимости становится известно, разработчики пытаются исправить ее, чтобы остановить атаку. Однако уязвимости в системе безопасности часто не удается обнаружить сразу. Иногда до момента обнаружения уязвимости, ставшей причиной атаки, могут пройти дни, недели и даже месяцы. И даже после выпуска патча, закрывающего уязвимость нулевого дня, не все пользователи сразу же его устанавливают. В последние годы хакеры стали гораздо быстрее обнаруживать и использовать уязвимости.
Эксплойты продаются в даркнете за большие деньги. После обнаружения и исправления эксплойт больше не считается угрозой нулевого дня.
Особая опасность атак нулевого дня заключается в том, что о них знают только сами злоумышленники. После проникновения в сеть преступники могут либо атаковать немедленно, либо затаиться и ждать наиболее подходящего времени.
Кто совершает атаки нулевого дня?
Злоумышленники, совершающие атаки нулевого дня, делятся на категории в зависимости от мотивов. Например:
На кого нацелены эксплойты нулевого дня?
При атаках нулевого дня могут использоваться различные уязвимые объекты:
В результате круг потенциальных жертв становится достаточно широким:
Также полезно выделить целевые и нецелевые атаки нулевого дня:
Даже когда атаки нулевого дня не нацелены ни на кого конкретного, от них все равно может пострадать большое количество людей, обычно вследствие побочного эффекта. Нецелевые атаки направлены на максимальное количество пользователей, а значит могут пострадать данные обычных людей.
Как выявить атаки нулевого дня
Существуют различные виды уязвимостей нулевого дня: отсутствие шифрования данных, отсутствие авторизации, неработающие алгоритмы, ошибки, проблемы с безопасностью паролей и прочие. Обнаружить их может оказаться непросто. Из-за характера этих уязвимостей подробная информация об эксплойтах нулевого дня доступна только после их идентификации.
Организации, подвергшиеся атаке нулевого дня, могут наблюдать нетипичный трафик или подозрительные действия, такие как сканирование, исходящие от клиента или сервиса. Некоторые методы обнаружения атак нулевого дня включают:
Часто используется комбинация различных систем обнаружения.
Примеры атак нулевого дня
Ниже приведены примеры последних атак нулевого дня.
2021: уязвимость нулевого дня Google Chrome
В 2021 году Google Chrome подвергся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Уязвимость возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере.
2020: Zoom
У популярной платформы видеоконференцсвязи была обнаружена уязвимость. В результате этой атаки нулевого дня злоумышленники получали удаленный доступ к компьютерам пользователей, на которых установлены старые версии Windows. Если атака была нацелена на администратора, злоумышленники могли полностью захватить его компьютер и получить доступ ко всем файлам.
2020: Apple iOS
Apple iOS часто называют самой безопасной платформой для смартфонов. Однако в 2020 году она подверглась как минимум двум атакам нулевого дня. Одна из ошибок нулевого дня позволила злоумышленникам удаленно скомпрометировать iPhone.
2019: Microsoft Windows, Восточная Европа
Эта атака была направлена на повышение локальных привилегий – уязвимую часть Microsoft Windows, и нацелена на государственные учреждения в Восточной Европе. В этой атаке нулевого дня использовалась уязвимость локальных привилегий Microsoft Windows для запуска произвольного кода и установки программ, а также для просмотра и изменения данных о скомпрометированных программах. После идентификации атаки и сообщения и ней в Центр по реагированию на угрозы Microsoft, был разработан и выпущен патч.
2017: Microsoft Word
Результатом этого эксплойта нулевого дня стала компрометация личных банковских счетов. Жертвами оказались люди, которые неосознанно открывали вредоносный документ Word. В документе отображалось предложение загрузить удаленное содержимое – всплывающее окно, запрашивающее внешний доступ из другой программы. При нажатии на кнопку «Да» на устройства пользователей устанавливалось вредоносное ПО, перехватывающее учетные данные для входа в интернет-банк.
Stuxnet
Один из самых известных примеров атак нулевого дня – Stuxnet – вредоносный компьютерный червь, впервые обнаруженный в 2010 году, но зародившийся еще в 2005 году. Его атаке подверглись производственные компьютеры с программируемыми логическими контроллерами (ПЛК). Основной целью были заводы Ирана по обогащению урана, атака на которые могла подорвать ядерную программу страны. Червь проник на ПЛК через уязвимости в программном обеспечении Siemens Step7 и заставил ПЛК выполнять непредусмотренные команды на сборочном оборудовании. История Stuxnet впоследствии легла в основу документального фильма «Уязвимость нулевых дней» (Zero Days).
Как защититься от атак нулевого дня
Для защиты от атак нулевого дня и обеспечения безопасности компьютеров и данных частным лицам и организациям важно выполнять определенные правила кибербезопасности. Они включают:
Своевременное обновление программ и операционных систем. Производители включают в новые выпуски исправления безопасности для устранения недавно обнаруженных уязвимостей. Своевременное обновление повышает вашу безопасность.
Использование только необходимых программ. Чем больше у вас программного обеспечения, тем больше потенциальных уязвимостей. Использование только необходимых программ позволит снизить риск для сети.
Использование сетевого экрана. Сетевой экран играет важную роль в защите системы от угроз нулевого дня. Настройка сетевого экрана так, чтобы допускались только необходимые транзакции, позволит обеспечить максимальную защиту.
Обучение сотрудников организаций. Многие атаки нулевого дня основаны на человеческих ошибках. Обучение сотрудников и пользователей правильным навыкам обеспечения безопасности и защиты поможет как обеспечить их безопасность в интернете, так и защитить организацию от эксплойтов нулевого дня и других цифровых угроз.
Использование комплексного антивирусного программного решения. Kaspersky Total Security помогает защитить ваши устройства, блокируя известные и неизвестные угрозы.