Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

What is 0day exploit. Overview.

DronVR

Private access level
Joined
Jun 1, 2014
Messages
284
Reaction score
263
Points
63
What 0 day exploit. Overview.

0 day vulnerability also known as 0 computer day, these are flaws or vulnerabilities in software, hardware or firmware, to an unknown party or parties.

0day may relate to the vulnerability itself, or may relate to an exploit with 0 day, which uses the vulnerability to attack vulnerable systems.

How does it work 0 day exploit?
Exploit with 0 day is an attack that exploits a previously unknown security vulnerability. An attack with 0day is also sometimes defined as an attack that exploits a security vulnerability on the same day that the vulnerability becomes well known. In other words, the time between vulnerability detection and the first attack is “ 0 day. "

Historically, vulnerabilities that cause attacks 0 day, were triggered by unsafe software development practices. To mitigate these vulnerabilities, developers must create and release patches, and users, especially enterprises, must install patches in a timely manner.

When a researcher discovers a security vulnerability in an operating system, application, or any other code or system, the researcher or their company often notifies the supplier or manufacturer of the erroneous system, so you can take measures to eliminate the deficiency with a patch or suggestions to mitigate the vulnerabilities.

Security researchers collaborate with vendors and usually agree to keep secret all details of vulnerabilities with 0 day for a reasonable period of time before publishing this data. For example, Google Project Zero follows industry guidelines that give vendors up to 90 days to fix a vulnerability before a researcher who finds a vulnerability publicly reveals a flaw. For vulnerabilities that are considered “critical”, Project Zero gives only 7 days for the vendor to fix it before the vulnerability is published; if the vulnerability is actively exploited, Project Zero can reduce the time for a response from the supplier to less than seven days.

Detection 0 exploit day.
Operations with 0 day is usually very difficult to detect. By definition, these exploits are previously unknown, which means that signature-based security tools such as antivirus software, as well as some intrusion detection systems (IDSes) and intrusion prevention systems (IPSes) are completely ineffective in detecting an exploit because there is no attack signature.

One effective attack detection technique with 0 day is user behavior analytics. Most objects that have access to networks show certain patterns of use and behavior that are considered normal. Actions beyond the normal scope of operations may be an indicator of attack. 0 day ..

For example, a web application server typically responds to requests that are considered normal for that application; the application, in turn, responds to these requests in a certain way. If outbound packets are detected coming from the port assigned to this web application and these packets do not match what is normally generated by the application, this is a good sign that an attack is underway.

Exploit Period 0day
After 0 The day vulnerability became public, it will be referred to as the n-day vulnerability (also known as the one-day vulnerability).

These n-day vulnerabilities continue to function and are also used after the vulnerabilities have been fixed or fixed by other providers. For example, the Equifax credit bureau was hacked in 2017 by cybercriminals using an exploit targeting the vulnerability of the Apache Struts web infrastructure. Attackers used the vulnerability in Apache Struts, which was reported earlier this year, were amended; Equifax failed to fix this vulnerability, and was hacked by cybercriminals using a non-filtered vulnerability.

Similarly, researchers continue to find vulnerability during the day in the Block Message Server protocol, which has been used in Windows for many years. Once a zero-day vulnerability becomes public, users must fix their systems, but attackers continue to exploit vulnerabilities on the Internet as long as unsecured systems remain vulnerable.

Protection from 0day attacks.
It's too hard to defend against 0 day attacks because they are so hard to spot. Vulnerability checker software uses malware scan signatures to compare suspicious code with signatures of known malware; when malware uses a 0day exploit that has never been seen before, such vulnerability scanners will not be able to block malicious malware.

Insofar as 0 The day vulnerability cannot be known in advance; there is no way to defend against a particular exploit until it is detected and entered into the signatures of antivirus programs. However, companies can reduce their risk by doing the following:

  • Use virtual LANs to separate some areas of the network or use dedicated physical or virtual network segments to isolate sensitive traffic between servers.
  • Implement IPsec, an IP security protocol, to apply encryption and authentication to network traffic.
  • Apply IDS or IPS. Although signature-based IDS and IPS security products cannot identify an attack, they can alert your computer-protecting programs of suspicious activity that occurs as a side effect of an attack.
  • Use a network access control tool to prevent malicious machines from accessing critical parts of the corporate environment.
  • Block wireless access points and use a security scheme such as Wi-Fi 2 secure access for maximum protection against attacks via wireless networks
  • Keep all systems updated. Despite the fact that patches do not prevent a 0day attack, keeping the functionality updated with full network resources can make it difficult for attacks to achieve their goals. When the 0day patch becomes available, apply it as soon as possible.
  • Perform regular vulnerability scanning for corporate networks and block detected vulnerabilities.
Despite the fact that maintaining a high level of information security cannot be prevented and does not hinder everyone 0 day attacks, but it can help prevent 0 day attacks that will be performed after the vulnerabilities have been fixed.

Examples 0 day attacks.
Multiple 0 Day attacks usually occur every year. For example, in 2016 there was 0 day attack (CVE-2016-4117), which exploited a previously undetected flaw in Adobe Flash Player. Also in 2016, more than 100 organizations fell into error 0 day (CVE-2016-0167), which was used to increase the privilege of an attack that targets mainly Microsoft Windows.

In 2017, it was discovered 0 day vulnerability (CVE-2017-0199), in which it was shown that a Microsoft Office document in an expanded text format could trigger the execution of a visual base script containing PowerShell commands when opened. Another 2017 exploit (CVE-2017-0261) used encapsulated PostScript as a platform to initiate malware infection.

Stuxnet worm was devastating 0 day exploit, which was aimed at monitoring and data acquisition systems (SCADA) the first attack of computers running Windows operating system. Stuxnet used four different 0 day vulnerabilities in Windows also spread through infected USB drives, which made it possible to remotely infect both Windows and SCADA systems without attacking them through the network. It has become well known that the Stuxnet worm is the result of the joint efforts of American and Israeli intelligence agencies to curb the Iranian nuclear program.

Source @Kevin Mitnick
 
Original message
Что такое 0day exploit. Обзор.

0day уязвимость также известная как 0day компьютера, это недостатки или уязвимости программного обеспечения, аппаратного обеспечения или прошивки, неизвестной стороне или сторонам.

0day может относиться к самой уязвимости, или может относиться к эксплойту с 0day, которая использует уязвимость для атаки уязвимых систем.

Как работает 0day эксплоит?
Эксплоит с 0day - это атака, которая использует ранее неизвестную уязвимость безопасности. Атака с 0day также иногда определяется как атака, которая использует уязвимость безопасности в тот же день, когда уязвимость становится общеизвестной. Другими словами, время между обнаружением уязвимости и первой атакой и есть «0day».

Исторически сложилось так, что уязвимости, которые становятся причиной атак 0day, были вызваны небезопасными методами разработки программного обеспечения. Чтобы смягчить эти уязвимости, разработчики должны создавать и выпускать исправления, и пользователи, особенно предприятия, должны устанавливать исправления своевременно.

Когда исследователь обнаруживает уязвимость в безопасности в операционной системе, приложении или любом другом коде или системе, исследователь или их компания часто уведомляют поставщика или производителя об ошибочной системе, поэтому можно предпринять меры для устранения недостатка с помощью патча или предложениями по смягчению последствий от уязвимости.

Исследователи безопасности сотрудничают с поставщиками и обычно соглашаются хранить в тайне все детали уязвимостей с 0day в течение разумного периода времени, прежде чем публиковать эти данные. Например, Google Project Zero следует отраслевым рекомендациям, которые дают поставщикам до 90 дней исправлять уязвимость до того, как исследователь нашедший уязвимость публично раскрывает тот или иной недостаток. Для уязвимостей, которые считаются «критическими», Project Zero дает только 7 дней, чтобы поставщик исправил до публикации уязвимости; если уязвимость активно используется, Project Zero может сократить время для ответа от поставщика до менее чем сем дней.

Обнаружение 0day эксплоита.
Операции с 0day, как правило, очень трудно обнаружить. По определению эти эксплоиты ранее неизвестны, что означает, что инструменты безопасности на основе сигнатур, такие как антивирусное программное обеспечение, а также некоторые системы обнаружения вторжений (IDSes) и системы предотвращения вторжений (IPSes) полностью неэффективны при обнаружении эксплойта, поскольку нет сигнатуры атаки.

Одним из эффективных методов обнаружения атаки с 0day является аналитика поведения пользователей. Большинство объектов, имеющих право доступа к сетям, демонстрируют определенные шаблоны использования и поведения, которые считаются нормальными. Действия, выходящие за пределы обычного объема операций, могут быть индикатором атаки 0day..

Например, сервер веб-приложений обычно отвечает на запросы, которые считаются нормальными для этого приложения; приложение, в свою очередь, отвечает на эти запросы определенным образом. Если обнаружены исходящие пакеты, выходящие из порта, назначенного этому веб-приложению, и эти пакеты не соответствуют тому, что обычно генерируется приложением, это хороший признак того, что идет атака.

Период 0day эксплоита
После того, как 0day уязвимость стала публичной, она далее будет называться как уязвимость n-day (также известная как однодневная уязвимость).

Эти уязвимости в n-day продолжают функционировать и также используются уже после того, как уязвимости были исправлены или исправлены другими поставщиками. Например, кредитное бюро Equifax было взломано в 2017 году злоумышленниками, использующими эксплойт нацеленную на уязвимость веб-инфраструктуры Apache Struts. Атакующие использовали уязвимость в Apache Struts, о которой сообщалось и ранее в этом году, были внесены поправки; Equifax не удалось устранить эту уязвимость, и был взломан злоумышленниками, использующие уязвимость, не прошедшую фильтрацию.

Аналогичным образом, исследователи продолжают находить уязвимость в течение дня в протоколе Block Message Server, использующийся в ОС Windows в течение многих лет. Как только уязвимость с нулевым днем становится публичной, пользователи должны исправить свои системы, но злоумышленники продолжают использовать в Интернете уязвимости до тех пор, пока незащищенные системы остаются уязвимыми.,

Защита от 0day атак.
Слишком сложно защититься от 0day атак, поскольку их так трудно обнаружить. Программное обеспечение для проверки уязвимостей использует сигнатуры проверки вредоносных программ для сравнения подозрительного кода с сигнатурами известных вредоносных программ; когда вредоносное ПО использует 0day эксплойт, который ранее не встречался, такие сканеры уязвимостей не смогут заблокировать вредоносный малварь.

Поскольку 0day-уязвимость, не может быть известна заранее, нет способа защититься от конкретного эксплойта, пока он не будет обнаружен и внесен в сигнатуры антивирусных программ. Однако компании могут снизить уровень риска, сделав ниже следующее:

  • Использовать виртуальные локальные сети для разделения некоторых областей сети или использования выделенных физических или виртуальных сегментов сети, чтобы изолировать чувствительный трафик между серверами.
  • Внедрить IPsec, протокол IP-безопасности, для применения шифрования и аутентификации к сетевому трафику.
  • Применить IDS или IPS. Несмотря на то, что продукты безопасности IDS и IPS на основе сигнатур не могут идентифицировать атаку, они могут предупредить, защищающие ваш компьютер программы, о подозрительной деятельности, которая возникает как побочный эффект атаки.
  • Использовать средство управления доступом к сети, чтобы предотвратить доступ при помощи машин злоумышленников к важнейшим частям корпоративной среды.
  • Блокировать точки беспроводного доступа и используйте схему безопасности, такую как защищенный доступ Wi-Fi 2 для максимальной защиты от атак через беспроводные сети
  • Держать все системы обновленными. Несмотря на то, что исправления не предотвращают 0day атаку, содержание функционала обновленными полноценных сетевых ресурсов может затруднить атакам достичь поставленных целей. Когда 0day патч становится доступным, применить его как можно скорее.
  • Выполнять регулярное сканирование уязвимостей для корпоративных сетей и блокировать обнаруженные уязвимости.
Несмотря на то, что поддержание высокого уровня безопасности информации не предотвратить и не помешает всем 0day атакам, но оно может помочь предотвратить 0day атаки, которые будут совершаться после того, как уязвимости были исправлены.

Примеры 0day атак.
Многократные 0day атаки обычно происходят каждый год. Например, в 2016 году была 0day атака(CVE-2016-4117), которая использовала ранее не обнаруженный недостаток в Adobe Flash Player. Также в 2016 году более 100 организаций попались на ошибке 0day (CVE-2016-0167), которая была использована для повышения привилегии атаки, ориентированной в основном на Microsoft Windows.

В 2017 году была обнаружена 0day уязвимость (CVE-2017-0199), в которой было показано, что документ Microsoft Office в расширенном текстовом формате может инициировать выполнение визуального базового сценария, содержащего команды PowerShell при открытии. Еще один эксплойт 2017 (CVE-2017-0261) использовал инкапсулированный PostScript в качестве платформы для инициации заражения вредоносными программами.

Червь Stuxnet был разрушительным 0day эксплойтом, который был нацелен на системы контроля и сбора данных (SCADA) первые атаки компьютеров, работающих под управлением операционной системы Windows. Stuxnet использовал четыре различные 0day уязвимости в Windows и распространялся через зараженные USB-диски, что позволяло удаленно заражать как системы Windows, так и SCADA, не атакуя их через сеть. Стало общеизвестно, что червь Stuxnet это результат совместных усилий американских и израильских спецслужб по пресечению иранской ядерной программы.

Источник @Kevin Mitnick

До нового года осталось