Ошибка нулевого дня это

Уязвимость нулевого дня (0day, zero day) — термин, который используется для обозначения не выявленных на стадии тестирования угроз безопасности, уязвимостей, брешей в программном коде, против которых не существует защиты. Изначально они не известны никому: разработчики, антивирусные компании, пользователи не подозревают об их существовании. Об уязвимости нулевого дня становится известно до того, как производитель выпускает обновления; следовательно, у разработчиков есть 0 дней, чтобы устранить изъян. Устройства, на которых установлена уязвимая программа, находятся в зоне риска, а пользователи не имеют возможности защититься.

Обнаружение и распознавание уязвимостей

Иногда уязвимость нулевого дня выявляют хакеры, которые не хотят использовать ее в злонамеренных целях и сообщают о ней разработчикам. В других случаях ошибку могут найти пользователи или сами разработчики, после чего производителями выпускается новая версия ПО или обновление. Кроме того, антивирусы тоже иногда могут зарегистрировать вредоносные действия.

Впрочем, очевидно, что обнаружить баг могут и хакеры-злоумышленники, преследующие вредоносные цели. Тогда они будут эксплуатировать его сами или продадут другим киберпреступникам.

Для обнаружения уязвимостей злоумышленники используют различные методы:

• дизассемблирование кода программы и поиск опасных ошибок в коде программного обеспечения;
• fuzz-тестирование или «стресс-тест» для ПО (программное обеспечение обрабатывает большой объем информации, которая содержит заведомо ложные настройки);
• реверс-инжиниринг и поиск уязвимостей в алгоритмах работы ПО.

В противоположном случае разработчик знает, что существует баг в коде, но не хочет или не может его устранить, не предупреждая никого об уязвимости.

Атаки на уязвимости нулевого дня

Если произошла атака с использованием уязвимости нулевого дня, то это значит, что злоумышленники знали о баге достаточное количество времени, чтобы написать и активировать вредоносную программу для его эксплуатации. Такие атаки опасны тем, что к ним невозможно подготовиться, а также тем, что постоянное обновление ПО не дает гарантии их предотвращения или снижения риска их возникновения.

Защита от уязвимостей нулевого дня и их устранение

Устранение ошибок входит в обязанности разработчика. Критическая проблема закрывается в течение нескольких дней или недель; все это время системы, использующие уязвимое ПО, будут находиться в опасности.

Для защиты можно использовать традиционные антивирусные технологии, а также проактивные средства:

• Sandboxing (песочницу);
• анализ поведения;
• эмуляцию кода;
• эвристический анализ;
• виртуализацию рабочего окружения.

Мир уязвимостей

Здравствуйте, уважаемые Хабраюзеры. Предлагаю вашему вниманию мой вольный перевод довольно интересной статьи, опубликованной Pierluigi Paganini в Infosec Institute (конец 2012 г., однако она нисколько не потеряла своей актуальности и сегодня), посвященной состоянию дел в мире 0day и 1day уязвимостей. Статья не претендует на глубокий технический анализ или оценку этого рынка, а всего лишь делает «краткий» экскурс в этой области, но я думаю, она будет интересна многим. Прошу под кат.

Введение

Каждый день мы узнаем о кибератаках и утечках данных, которые во многих случаях имеют катастрофические последствия для частных компаний и правительства. Сегодня технологии играют важнейшую роль в нашей жизни и каждый программный компонент, который окружает нас, может быть уязвим и использован со злым умыслом. Конечно, влияние этих уязвимостей зависит от характера и масштаба уязвимого ПО. Некоторые приложения используются чаще и уязвимости в них могут подвергать пользователя серьёзному риску. Возможный ущерб от уязвимости зависит от множества факторов, таких как уровень распространения уязвимого приложения, предыдущие уязвимости и контекст в котором скомпрометированное приложение используется.

0day уязвимости

В огромном мире уязвимостей, 0day уязвимости это настоящий кошмар для специалистов по безопасности. После любой утечки информации об ошибках и уязвимостях становится невозможным предсказать, где и когда они будут использованы. Это качество делает их идеальным инструментом для разработки кибероружия и правительственных атак. Интерес в поиске неизвестных уязвимостей для распространённых приложений полностью изменил роль хакеров. В прошлом это были люди, которые держались подальше от государства, сегодня индустрия и даже разведывательные агентства запустили полномасштабную кампанию по вербовке кадров в этой сфере.
Прибыль же от уязвимостей может быть получена по разным каналам, начиная от разработчика скомпрометированного приложения, заканчивая правительственными организациями, заинтересованными в уязвимости для проведения кибератак против враждебных государств, уязвимость также может быть продана на чёрном рынке.
Вокруг этой концепции вырос целый рынок в рамках которого скорость любой транзакции является основополагающим фактором. Как только найдена новая ошибка, и существует возможность её эксплуатации, разработчик должен быстро определить потенциальных покупателей, связаться с ними, чтобы договориться о цене и завершить сделку.
Знаменитый эксперт по безопасности Чарли Миллер описал этот рынок в своей статье: “The Legitimate Vulnerability Market: The Secretive World of 0-Day Exploit Sales”, осветив несколько ключевых вопросов:

• Сложность поиска покупателя и продавца;
• Проверка надежности покупателя;
• Сложность демонстрации работоспособности 0day эксплойта без разглашения информации о нём;
• Обеспечение эксклюзивности прав.

Принципиальная проблема для хакера, которому нужно продать уязвимость, заключается в его ловкости сделать это без разглашения слишком большого объема информации о ней. Процесс продажи очень сложен, потому что покупатель хочет убедиться в эффективности эксплойта и теоретически может попросить демонстрацию его наличия. Единственный способ доказать достоверность информации это полностью раскрыть её или продемонстрировать её в каком — то другом виде. Очевидно, раскрытие информации до продажи нежелательно, так как исследователь подвергается риску потерять свою интеллектуальную собственность без компенсаций.
Чтобы удовлетворить эти потребности родились профессиональные брокеры по продаже 0day эксплойтов, которые обеспечивают анонимность каждой из сторон в обмен на комиссию и проводят сделки между покупателями и продавцами.
Третья сторона гарантирует корректную оплату продавцу и конфиденциальность информации об уязвимости. Со стороны покупателя они проверяют информацию, предоставляемую продавцом. Доверенная третья сторона играет важную роль в этих сделках, так как этот рынок крайне нестабильный и характеризуется быстрой динамикой. Одна из наиболее известных фигур на этом рынке Grugq, также в качестве посредников могут выступать и небольшие компании, такие как: Vupen, Netragard, а также оборонный подрядчик Northrop Grumman.
Основатель Netragard Адриэль Дезатоля рассказал журналу Forbes, что он работает на рынке продажи эксплойтов в течение 10 лет, и он наблюдал быстрое изменение рынка, который буквально «взорвался» всего лишь в прошлом году (2011 – прим. переводчика). Адриель говорит, что сейчас есть много покупателей с большими деньгами и что время покупки снизилось с месяца до недель и что он приближается к продаже 12 – 14 0day эксплойтов каждый месяц в сравнении с 4-6 несколькими годами ранее.

Контрмеры и значение быстрого реагирования

Жизненный цикл 0day уязвимости состоит из следующих фаз:

• Уязвимость анонсирована;
• Эксплойт выпущен в открытый доступ;
• Уязвимость обнаружена разработчиком;
• Уязвимость раскрыта публично;
• Обновлены антивирусные сигнатуры;
• Выпущен патч;
• Развертывание патча завершено.

Рисунок 1. Жизненный цикл 0day уязвимости

Факт обнаружения уязвимости нулевого дня требует срочного реагирования. Период между эксплуатацией уязвимости и выпуском патча является решающим фактором для управления безопасностью программного обеспечения. Исследователи Лейла Бильге и Тудор Думитраш из Symanter Research Lab представили своё исследование под названием: “Before We Knew It … An Empirical Study of Zero-Day Attacks In The Real World“ в котором они объяснили, как знание такого типа уязвимостей даёт возможность правительству, хакерам или киберпреступникам взламывать любую цель, оставаясь при этом незамеченными. Исследование показало, что типичная 0day атака имеет среднюю продолжительность в 312 дней и как показано на рисунке 2, публикация информации об эксплойте в свободном доступе повышает число атак в 5 раз.

Рисунок 2 Число атак в зависимости от времени публикации 0day.

Публикация уязвимости порождает серию кибератак, в рамках которых злоумышленники пытаются извлечь выгоду из знания о ней и задержки в выпуске патча. Эти противоправные действия не имеют конкретного происхождения, что делает их сложными для предотвращения. Группы киберпреступников, хактивисты и кибертеррористы могут воспользоваться уязвимостью в различных секторах экономики, и ущерб от их деятельности зависит от контекста, в рамках которого они действуют. Убеждение в том, что уязвимости нулевого дня редко встречаются ошибочно, они встречаются так же, с одним лишь фундаментальным отличием в том, что информация о них не публикуется. Исследования выявили тревожную тенденцию: 60% ошибок идентифицируются как неизвестные и данные подтверждают, что существует гораздо больше 0day уязвимостей, чем прогнозировалось, плюс среднее время жизненного цикла 0day уязвимости может быть недооценено.
Один из самых обсуждаемых вопросов, как реагировать на публикацию 0day уязвимости. Многие эксперты убеждены, что необходимо немедленно раскрывать информацию о ней при этом, забывая, что это обычно является основной причиной для эскалации кибератак, эксплуатирующих эту ошибку. Вторая точка зрения предполагает хранить информацию об уязвимости в секрете, сообщая только компании, которая разработала скомпрометированное приложение. В этом случае, существует возможность контролировать всплеск атак после разглашения информации об уязвимости. Однако существует риск, что компания не сможет справиться с этим и выпустит подходящий патч для ошибки лишь через несколько месяцев после случившегося.

Не только 0day

Многие специалисты считают, что настоящим кошмаром для информационной безопасности являются 0day уязвимости и ошибки, которые невозможно предсказать и которые подвергают инфраструктурные объекты таким угрозам, которые трудно обнаружить и которые могут привести к серьезным последствиям. Несмотря на страх перед атаками нулевого дня, инфраструктурным объектам ежедневно угрожает огромное количество известных уязвимостей, для которых соответствующие контрмеры не применяются и это является общепризнанным фактом.
Несоблюдение лучших практик патч-менеджмента является основной причиной существующих проблем для частных компаний и правительства. В некоторых случаях процессы патч-менеджмента протекают крайне медленно, и окно реагирования на киберугрозы является чрезвычайно большим.

Рисунок 3 – Окно реагирования

От обнаружения к миллионному рынку

Как создать утилиту для эксплуатации уязвимости после её анонса? Процедура проста в сравнении с поиском 0day уязвимостей. После выпуска патча, исследователи и преступники могут определить конкретную уязвимость, используя методику двоичного сравнения (binary diffing technique). Термин «двоичное сравнение» (diff) происходит от имени консольной утилиты, которая используется для сравнения файлов, таким же образом, как и бинарные файлы до и после применения патча. Эта методика довольно эффективна и может применяться для исполняемых файлов Microsoft, потому что компания выпускает патчи регулярно, а идентифицировать код, затронутый патчем в бинарном файле для специалиста является достаточно простой задачей. Парочка самых известных фреймворков для двоичного сравнения: DarunGrim2 и Patchdiff2.
Теперь, когда мы описали 0day и 1day уязвимости, было бы полезно открыть для себя механизмы их коммерциализации. В статье, опубликованной на сайте Forbes, предлагаются цены на 0day уязвимости в продуктах популярных IT-компаний.

Рисунок 4 –Прайс на 0-day уязвимости (Forbes)

Цена на уязвимость зависит от множества факторов:

• Сложность определения уязвимости, зависимая от мер безопасности используемых в компании, которая разрабатывает приложение; чем больше времени необходимо для обнаружения, тем выше стоимость.
• Степень популярности приложения.
• Контекст эксплуатируемого приложения.
• Поставляется ли приложение по умолчанию с операционной системой ?
• Необходимость процесса аутентификации в уязвимом приложении ?
• Есть ли стандартные настройки межсетевого экрана, которые блокируют доступ к приложению ?
• Относится ли приложение к серверной или клиентской части ?
• Является ли взаимодействие с пользователем обязательным для эксплуатации уязвимости ?
• Версия атакуемого ПО. Чем позднее, тем выше прайс.
• Технические особенности: внедрение новой технологии на самом деле может привести к снижению интереса к уязвимости, которая связана с устаревшей технологией.

Trend Micro недавно опубликовало очень интересный доклад о русском underground рынке. Исследование основывалось на данных, полученных из анализа интернет-форумов и сервисов в которых участвуют русские хакеры, таких как: antichat.ru, xeka.ru и carding-cc.com. Они продемонстрировали, что существует возможность приобрести любое ПО и сервис для киберпреступников и мошенничества. В первую десятку вошло создание вредоносного кода и оказание услуг по написанию эксплойтов. Как правило, эксплойты продаются в связке, но они могут быть проданы и по отдельности или сданы в аренду на ограниченный период времени, на рисунке 5 приведены цены на них:

Рисунок 5 – Прайс лист на эксплойт-пакеты и сервисы

Выводы

Очевидно, что любая уязвимость представляет собой серьезную угрозу для конкретного приложения. Кроме того, она также может угрожать безопасности всей организации или правительству, в том случае, когда это касается приложений, применяемых на инфраструктурных объектах. Невозможно следуя стандартным подходам (прим. переводчика: автор имеет ввиду стандартные подходы к тестированию ПО) предотвратить широкий спектр уязвимостей, но ряд действий должен применяться, начиная с этапа разработки продукта. Требования безопасности должны приниматься во внимание во время разработки каждого решения. Предотвращение 0day уязвимостей является утопией, гораздо больше можно сделать после их обнаружения. Эффективное реагирование может предотвратить серьезные последствия с точки зрения безопасности. Необходимо улучшать процессы патч-менеджмента, особенно для крупных организаций, которые являются популярными целями для атак, и которые, как правило, долго реагируют на них. Не нужно забывать, что это гонка на время, и единственная способ защититься от 1day атак это пропатчить наши системы до того как на них нападут.

Что такое атака нулевого дня?

18 мая 2021 By Ник Андерсон Без комментариев 5 минут

Уязвимости безопасности — это постоянная угроза, которая может причинить широкомасштабный вред. Программное обеспечение, находящееся в разработке, проходит бета-тестирование не только на удобство использования, но и на любые уязвимости, которыми могут воспользоваться хакеры. Эти эксплойты позволят хакеру получить несанкционированный доступ, чтобы изменить функциональность устройства, на котором работает это программное обеспечение.

Уязвимости часто трудно предсказать. Одно дело проводить бета-тестирование в закрытой среде с командой тестировщиков, а не выпускать продукт для всего мира. Преданные хакеры часто проникали в систему безопасности продукта, чтобы найти эксплойты для использования в злонамеренных целях.

Объяснение атаки нулевого дня

Из-за особенностей цикла разработки программного обеспечения не всегда возможно устранить обнаруженные уязвимости за день или два. Эксплойт нулевого дня относится к уязвимости системы безопасности, которая была обнародована до того, как разработчики программного обеспечения смогли ее обнаружить. Из-за его неизвестного характера разработчикам требуется время, чтобы воспроизвести эксплойт и найти решение. Хакеры во всем мире, которые участвуют в злонамеренной практике получения несанкционированного доступа к устройствам для любого количества непродуманных целей, всегда ищут такие лазейки в системе безопасности.

Программное обеспечение представляет собой сложную пирамиду из тысяч строк кода. Эксплойт — это способ, с помощью которого хакеры могут обойти средства защиты, внимательно отслеживая функциональные возможности программного обеспечения, чтобы найти уязвимость.

Что делает эксплойт нулевого дня опасным, так это то, что он может существовать месяцами без уведомления разработчика. Любой хакер, обнаруживший его, может использовать его или поделиться им с другими хакерами до того, как он станет общедоступным.

Термины «эксплойт нулевого дня» и «атака нулевого дня» взаимозаменяемы. Однако эксплойт нулевого дня — это просто программа, созданная на основе существующей уязвимости, а атака нулевого дня — результат этого эксплойта.

Известные атаки нулевого дня

Ярким примером атаки нулевого дня и того, как она может быть разрушительной, является Stuxnet вредоносные программы, тип компьютерного червя, который заражал компьютеры под управлением Windows и распространялся через USB-накопители и другие компьютеры в сети. Он нанес ущерб иранским предприятиям по обогащению урана, используя программируемые логические контроллеры (ПЛК) производства Siemens, подключенные к ПК для вмешательства в центрифуги, ответственные за обогащение урана. Вредоносная программа была особенно требовательна к тому, где и на что она хотела нацелиться. вредоносное ПО

Считается, что Stuxnet является продуктом АНБ, нацеленным на иранские предприятия по обогащению урана. Он использовал уязвимость нулевого дня, известную как эксплойт диспетчера очереди печати, для распространения по сети. Вредоносное ПО было обнаружено в 2010 году, но считается, что оно существует с 2005 года.

Совсем недавно эксплойты нулевого дня были открытый для воздействия на Microsoft Exchange Server известной хакерской группой под названием HAFNIUM, которая действует из Китая. Эксплойты позволяют злоумышленнику получить доступ к учетным записям электронной почты и даже установить вредоносное ПО для долгосрочного доступа.

Что происходит после эксплойта нулевого дня?

Это называется нулевым днем, потому что именно столько времени разработчик программного обеспечения знает об этой уязвимости. Как только уязвимость обнаружена, разработчик должен найти способ ее исправить. Самое замечательное в программном обеспечении то, что его можно обновить в любое время после его выпуска. Эти обновления содержат не только улучшения программного обеспечения, но и исправления известных уязвимостей. Так что не обижайтесь на обновления, которые вам предлагает производитель вашего устройства или разработчик приложения.

Фирмы безопасности по всему миру проводят тестирование на проникновение, чтобы найти уязвимости и опубликовать свои результаты для соответствующих производителей/разработчиков продукта. Правительства и клиенты платят компаниям большие деньги за оборудование и ожидают от этого оборудования железной безопасности. Было бы катастрофой, если бы оборудование, используемое на объектах Министерства обороны, имело какой-либо недостаток безопасности, который остался бы незамеченным. Группа атаки может написать эксплойт для получения авторизованного доступа.

Microsoft, которая поставляет операционные системы и оборудование различным клиентам, включая правительство, имеет глобальную сеть экспертов по безопасности под крылом Microsoft Security Intelligence. Как и многие другие охранные фирмы по всему миру, команда находит уязвимости, которые хакеры могут использовать в гнусных целях.

Что вы можете сделать против эксплойтов нулевого дня?

Поскольку эксплойт нулевого дня является новым, не существует патча, устраняющего лазейку в системе безопасности. Это делает эксплойты нулевого дня особенно опасными, потому что могут пройти недели, прежде чем исправление станет доступным. Вирусу COVID-19 потребовался год, прежде чем вакцины стали эффективными для выработки иммунитета против вируса. Подобно биологическому агенту, эксплойт нулевого дня или вредоносное ПО нулевого дня могут существовать некоторое время, пока не будут подготовлены контрмеры.

Важно, чтобы программное обеспечение вашего устройства было обновлено до последней версии. Будь то ваша операционная система или приложения, работающие поверх нее, всегда включайте обновления программного обеспечения, чтобы вы получали уведомление, как только они становятся общедоступными.

Точно так же вредоносные программы, созданные для использования эксплойтов нулевого дня, должны быть обнаружены разработчиками антивирусов, чтобы проанализировать сигнатуру, а затем отправить ее пользователям в виде обновления.

Заключение

Никогда не оставляйте безопасность вашего устройства из-за неожиданных угроз. Инвестируйте в надежный антивирус, который часто обновляется новыми сигнатурами вредоносных программ, и используйте впн для шифрования связи в общедоступной сети Wi-Fi. Не существует окончательного способа избежать угрозы атаки нулевого дня; вы можете следовать определенные практики чтобы избежать загрузки вредоносных файлов или посещения вредоносных ссылок, которые могут использовать уязвимость, скрытую в вашей системе.