De ce vulnerabilități software profită atacatorii cibernetici și cum te pot afecta

De ce vulnerabilități software profită atacatorii cibernetici și cum te pot afecta
Sursa foto: 1Day Review / Flickr

Periodic, cercetătorii în securitate cibernetică descoperă vulnerabilități în soft-urile diferitelor companii, iar uneori acestea sunt de tip zero-day.

Ce înseamnă însă o vulnerabilitate de tipul zero-day? Pe scurt, producătorul nu are încă un patch pentru acea vulnerabilitate, iar, din momentul descoperirii ei și până la remediere, începe numărătoarea inversă. Oricând ar putea fi folosită de infractorii cibernetici în atacuri. Așa ajungem și la exploit-ul zero-day – un atac cibernetic care are loc chiar în ziua în care este descoperită problema în software.

De obicei, când cineva descoperă o problemă de securitate într-un program, o raportează companiei, care o va remedia. Acesta este, de altfel, și principiul pe care funcționează programele de bug bounty. Companiile sunt interesate să remedieze eventualele defecte de soft din produsele lor și sunt dispuse să ofere recompense celor care fac descoperirea și le anunță. Unii dintre cei care sesizează vulnerabilități pot alege să avertizeze pe internet alte persoane, așa că se poate întâmpla ca hackerii să fie mai rapizi și să afle despre problemă înainte să vină patch-ul.

Dacă fac un exploit, având în vedere noutatea descoperirii, nu prea există protecție împotriva acestui atac. Nu este de mirare, pentru că, inclusiv în cazurile în care există remediul, apare un decalaj între momentul în care compania face public patch-ul și cel în care este instalat pe dispozitivele utilizatorilor.

Recent, sistemele noastre (Kaspersky Lab – n.r.) au detectat un alt exploit pentru o vulnerabilitate zero-day din sub-sistemul grafic Microsoft Windows. Aceasta este al patrulea descoperit în decurs de câteva luni și îi permite atacatorului să obțină control total asupra computerului unei victime și vizează versiunile Windows 8 și Windows 10. Acest exploit a fost folosit de mai multe grupări, printre care FruityArmor și SandCat, o grupare detectată recent.

Penultimul exploit zero-day fusese descoperit în kernel-ul Microsoft Windows și era capabil să păcălească sistemele de securitate ale unor browsere cum sunt Chrome și Edge.

Exploit pentru Windows folosit în atacuri în Orientul Mijlociu

Unul dintre exploit-urile zero-day anterioare, detectat la Microsoft Windows, era folosit în atacuri în Orientul Mijlociu, în decurs de numai o lună. Atacurile care exploatează vulnerabilitățile nedescoperite încă sunt, evident, foarte periculoase, pentru că sunt dificil de detectat și de prevenit.

Astfel de amenințări ascunse sunt folosite, de regulă, de autorii de anvergură, care orchestrează atacuri APT (Advanced Persistent Threat). Analizându-l, colegii mei au ajuns la o vulnerabilitate zero-day necunoscută, care permitea atacarea doar a sistemelor Windows 7 cu arhitectura de 32 de biți. Încă nu știm metoda de propagare, dar exploit-ul a fost lansat de un malware în prima parte a atacului. Scopul exploit-ului era să obțină privilegii și acces permanent în calculatorul victimei.

Exploit-ul dezvoltat era folosit de mai mulți atacatori APT și a fost descoperit la doar câteva săptămâni după ce un alt exploit pentru o vulnerabilitate zero-day din Windows a fost identificat: era trimis victimelor printr-un backdoor PowerShell.

Toate aceste probleme au fost rezolvate, între timp, dar tendința rămâne îngrijorătoare.

Știm că WannaCry a pornit de la o vulnerabilitate, care nici măcar nu era una zero-day și apoi a afectat sute de mii de utilizatori – atât individuali, cât și companii.

EternalBlue, exploit-ul care se pare că a fost creat de un stat pentru a profita de o vulnerabilitate necunoscută încă publicului larg, a ajuns în online în aprilie 2017. O lună mai târziu, apărea cea mai mare campanie ransomware a anului, WannaCry.

Companiile sunt mai expuse în fața vulnerabilităților zero-day, pentru că nici măcar nu știu că le au. Însă este important ca ele și utilizatorii individuali să acorde atenție actualizărilor necesare și să nu le amâne la nesfârșit, pentru că pot conține patch-uri care să le protejeze afacerea sau, după caz, amintirile/conturile de online banking, de pe dispozitivele de acasă.


Conținutul articolelor din secțiunea Opinii reprezintă strict opiniile autorilor textelor și nu reprezintă neapărat poziția oficială a PLAYTECH.ro.

Dan Demeter
Articol scris de
Dan Demeter
Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile informatice asupra sistemelor IoT.
Comentarii
07:51 / 18.03.2019