Utilisation des cybercriminels vulnérabilités zero-day pour s'introduire dans les ordinateurs et les réseaux. Les exploits zero-day semblent être à la hausse, mais est-ce vraiment le cas ? Et pouvez-vous vous défendre ? Nous examinons les détails.
Vulnérabilités Zero-Day
Une vulnérabilité zero-day est un bogue dans un logiciel. Bien sûr, tous les logiciels compliqués ont des bogues, alors pourquoi donner un nom spécial à un zero-day ? Un bug zero-day est un bug qui a été découvert par les cybercriminels, mais les auteurs et les utilisateurs du logiciel ne le savent pas encore. Et, surtout, un zero-day est un bug qui donne lieu à une vulnérabilité exploitable.
CONNEXEQu'est-ce qu'un “bug informatique” et d'où vient le terme ?
Ces facteurs se combinent pour faire du zero-day une arme dangereuse entre les mains des cybercriminels. Ils connaissent une vulnérabilité que personne d'autre ne connaît. Cela signifie qu'ils peuvent exploiter cette vulnérabilité sans conteste, compromettant ainsi tous les ordinateurs qui exécutent ce logiciel. Et parce que personne d'autre ne connaît le jour zéro, il n'y aura pas de correctifs ou de correctifs pour les logiciels vulnérables.
Donc, pendant la courte période entre les premiers exploits ayant eu lieu—et étant détectés&# 8212 ; et les éditeurs de logiciels répondant avec des correctifs, les cybercriminels peuvent exploiter cette vulnérabilité sans contrôle. Quelque chose de manifeste comme une attaque de ransomware est incontournable, mais si le compromis est une surveillance secrète, il peut s'écouler très longtemps avant que le jour zéro ne soit découvert. La tristement célèbre attaque SolarWinds en est un excellent exemple.
CONNEXES : Piratage de SolarWinds : que s'est-il passé et comment vous protéger
Zero-Days Have A trouvé leur moment
Les jours zéro ne sont pas nouveaux. Mais ce qui est particulièrement alarmant, c'est l'augmentation significative du nombre de zero-days découverts. Plus du double ont été trouvés en 2021 par rapport à 2020. Les chiffres définitifs sont toujours en cours de compilation pour 2021 – il nous reste encore quelques mois, après tout – mais les indications indiquent qu'environ 60 à 70 vulnérabilités zero-day auront été détectées d'ici la fin de l'année.
Les zero-days ont une valeur pour les cybercriminels en tant que moyen d'accès non autorisé aux ordinateurs et aux réseaux. Ils peuvent les monétiser en exécutant des attaques de ransomware et en extorquant de l'argent aux victimes.
CONNEXES Qu'est-ce qu'une attaque Zero-Click ?
Mais les zero-days eux-mêmes ont une valeur. Ce sont des produits vendables et peuvent valoir d'énormes sommes d'argent pour ceux qui les découvrent. La valeur marchande du bon type d'exploit zero-day peut facilement atteindre plusieurs centaines de milliers de dollars, et certains exemples ont dépassé le million de dollars. Les courtiers zero-day achèteront et vendront des exploits zero-day.
Les vulnérabilités zero-day sont très difficiles à découvrir. À une certaine époque, ils n'étaient trouvés et utilisés que par des équipes de pirates bien dotées en ressources et hautement qualifiées, telles que des groupes de menaces persistantes avancées (APT) parrainés par l'État. La création de nombreux zero-days militarisés dans le passé a été attribuée aux APT en Russie et en Chine.
Bien sûr, avec suffisamment de connaissances et de dévouement, tout hacker ou programmeur suffisamment accompli peut trouver des zero-days . Les hackers chapeaux blancs font partie des bons acheteurs qui tentent de les trouver avant les cybercriminels. Ils transmettent leurs conclusions à l'éditeur de logiciels concerné, qui travaillera avec le chercheur en sécurité qui a trouvé le problème pour le clore.
De nouveaux correctifs de sécurité sont créés, testés et mis à disposition. Ils sont déployés sous forme de mises à jour de sécurité. Le zero-day n'est annoncé qu'une fois que toutes les mesures correctives sont en place. Au moment où il devient public, le correctif est déjà dans la nature. Le jour zéro a été annulé.
CONNEXEQu'est-ce qu'un “jour zéro” ” Exploiter, et comment se protéger ?
Les jours zéro sont parfois utilisés dans les produits. Pegasus, un logiciel espion controversé du groupe NSO, est utilisé par les gouvernements pour lutter contre le terrorisme et maintenir la sécurité nationale. Il peut s'installer sur les appareils mobiles avec peu ou pas d'interaction de la part de l'utilisateur. Un scandale a éclaté en 2018 lorsque Pegasus aurait été utilisé par plusieurs États faisant autorité pour surveiller ses propres citoyens. Des dissidents, des militants et des journalistes étaient ciblés.
Publicité
Pas plus tard qu'en septembre 2021, un jour zéro affectant Apple iOS, macOS et watchOS exploité par Pegasus a été détecté et analysé par le Citizen Lab de l'Université de Toronto. Apple a publié une série de correctifs le 13 septembre 2021.
Pourquoi la soudaine augmentation en Zero-Days ?
Un correctif d'urgence est généralement la première indication qu'un utilisateur reçoit qu'une vulnérabilité zero-day a été découverte. Les fournisseurs de logiciels ont des calendriers pour la publication des correctifs de sécurité, des corrections de bogues et des mises à niveau. Mais comme les vulnérabilités zero-day doivent être corrigées dès que possible, attendre la prochaine version de correctif programmée n'est pas une option. Ce sont les correctifs d'urgence hors cycle qui traitent les vulnérabilités zero-day.
Si vous avez l'impression d'en voir plus récemment, c'est parce que vous l'avez vu. Tous les systèmes d'exploitation grand public, de nombreuses applications telles que les navigateurs, les applications pour smartphones et les systèmes d'exploitation pour smartphones ont tous reçu des correctifs d'urgence en 2021.
Il y a plusieurs raisons à cette augmentation. Du côté positif, les principaux fournisseurs de logiciels ont mis en place de meilleures politiques et procédures pour travailler avec les chercheurs en sécurité qui les abordent avec des preuves d'une vulnérabilité zero-day. Il est plus facile pour le chercheur en sécurité de signaler ces défauts, et les vulnérabilités sont prises au sérieux. Il est important de noter que la personne qui signale le problème est traitée de manière professionnelle.
Il y a aussi plus de transparence. Apple et Android ajoutent désormais plus de détails aux bulletins de sécurité, notamment si un problème était un jour zéro et s'il y a une probabilité que la vulnérabilité ait été exploitée.
Peut-être parce que la sécurité est reconnue comme une fonction critique pour l'entreprise et est traitée comme telle avec le budget et les ressources, les attaques doivent être plus intelligentes pour entrer dans les réseaux protégés. Nous savons que toutes les vulnérabilités zero-day ne sont pas exploitées. Compter toutes les failles de sécurité zero-day n'est pas la même chose que compter les vulnérabilités zero-day qui ont été découvertes et corrigées avant que les cybercriminels ne les découvrent.
Publicité
Mais quand même, puissant , des groupes de piratage organisés et bien financés, dont beaucoup sont des APT, travaillent à plein régime pour essayer de découvrir les vulnérabilités zero-day. Soit ils les vendent, soit ils les exploitent eux-mêmes. Souvent, un groupe vendra un jour zéro après l'avoir traité lui-même, car il approche de la fin de sa durée de vie utile.
Parce que certaines entreprises n'appliquent pas les correctifs de sécurité et les mises à jour en temps opportun, le zero-day peut profiter d'une durée de vie prolongée même si les correctifs qui le neutralisent sont disponibles.
RELATEDQu'est-ce que RansomCloud et comment vous protéger ?
Les estimations suggèrent qu'un tiers de tous les exploits zero-day sont utilisés pour des ransomwares. De grosses rançons peuvent facilement payer pour de nouveaux zero-days que les cybercriminels utiliseront lors de leur prochaine série d'attaques. Les gangs de ransomware gagnent de l'argent, les créateurs zero-day gagnent de l'argent, et tout tourne en rond.
Une autre école de pensée dit que les groupes de cybercriminels ont toujours essayé de découvrir les zero-days, nous ne voyons que des chiffres plus élevés parce qu'il existe de meilleurs systèmes de détection à l'œuvre. Le Threat Intelligence Center de Microsoft et le Threat Analysis Group de Google ainsi que d'autres possèdent des compétences et des ressources qui rivalisent avec les agences de renseignement. capacités de détection des menaces sur le terrain.
Avec la migration du sur site vers le cloud, il est plus facile pour ces types de groupes de surveillance d'identifier les comportements potentiellement malveillants chez de nombreux clients à la fois. C'est encourageant. Nous sommes peut-être de mieux en mieux à les trouver, et c'est pourquoi nous voyons plus de jours zéro et au début de leur cycle de vie.
Les auteurs de logiciels deviennent-ils de plus en plus négligents ? La qualité du code baisse-t-elle ? Au contraire, cela devrait augmenter avec l'adoption des pipelines CI/CD, des tests unitaires automatisés et une plus grande prise de conscience que la sécurité doit être planifiée dès le départ et non pas intégrée après coup.
RELATEDPourquoi le programme Open Source sécurisé soutenu par Google est si important
Les bibliothèques et boîtes à outils open source sont utilisées dans presque tous les projets de développement non triviaux. Cela peut conduire à l'introduction de vulnérabilités dans le projet. Plusieurs initiatives sont en cours pour tenter de résoudre le problème des failles de sécurité dans les logiciels open source et pour vérifier l'intégrité des actifs logiciels téléchargés.
Comment se défendre Vous-même
Un logiciel de protection des terminaux peut vous aider contre les attaques zero-day. Avant même que l'attaque zero-day n'ait été caractérisée et que les signatures antivirus et anti-malware soient mises à jour et envoyées, un comportement anormal ou inquiétant du logiciel d'attaque peut déclencher les routines de détection heuristique dans le logiciel de protection des terminaux leader du marché, piégeant et mettant en quarantaine l'attaque logiciel.
Gardez tous les logiciels et systèmes d'exploitation à jour et corrigés. N'oubliez pas de patcher également les périphériques réseau, y compris les routeurs et les commutateurs.
Réduisez votre surface d'attaque. Installez uniquement les packages logiciels requis et vérifiez la quantité de logiciels open source que vous utilisez. Envisagez de privilégier les applications open source qui se sont inscrites à des programmes de signature et de vérification d'artefacts, tels que l'initiative Secure Open Source.
Inutile de dire, utilisez un pare-feu et utilisez sa suite de sécurité de passerelle s'il en a un.
Si vous êtes un administrateur réseau, limitez les logiciels que les utilisateurs peuvent installer sur leurs ordinateurs d'entreprise. Éduquez les membres de votre personnel. De nombreuses attaques zero-day exploitent un moment d'inattention humaine. fournir des sessions de formation à la sensibilisation à la cybersécurité, les mettre à jour et les répéter fréquemment.
CONNEXES : Pare-feu Windows : la meilleure défense de votre système
LIRE LA SUITE < ul id="nextuplist">