O que é exploit de dia zero?

Definição de "dia zero"

A expressão "de dia zero" se refere a uma situação na qual equipes de segurança desconhecem a existência de uma vulnerabilidade no software sem ter tempo hábil ("0" dias) para desenvolver uma correção de segurança ou uma atualização para o problema. O termo "de dia zero" está frequentemente ligado aos conceitos de Vulnerabilidade, Exploit e Ameaça. É importante entender as diferenças:

• Uma vulnerabilidade de dia zero é uma vulnerabilidade de segurança ou falha de software desconhecida que um ator de ameaças pode explorar com código malicioso.
• Um exploit de dia zero é uma técnica ou tática que um ator malicioso usa para aproveitar uma vulnerabilidade e atacar o sistema.
• Um ataque de dia zero acontece quando um hacker lança malware para abusar da vulnerabilidade do software antes que o desenvolvedor do software tenha corrigido a falha.

Exemplos de dia zero

Seguem abaixo algumas vulnerabilidades que foram descobertas nos últimos anos: 

Ataque à Kaseya

Em 2 de julho, os operadores do ransomware REvil realizaram um ataque que comprometeu o software Kaseya VSA, que é utilizado para monitorar e gerenciar a infraestrutura dos clientes da Kaseya. Os ciber criminosos exploraram vulnerabilidades de "dia zero" para distribuir uma atualização maliciosa, afetando diretamente menos de 60 clientes da Kaseya e, indiretamente, cerca de 1.500 outras empresas, de acordo com um comunicado oficial emitido pela Kaseya. Saiba mais>

Vulnerabilidade do SonicWall VPN

No dia 4 de fevereiro de 2021, a SonicWall, pela sua equipe de resposta a incidentes de segurança de produtos (PSIRT), divulgou a existência de uma nova vulnerabilidade de dia zero, identificada como CVE-2021-20016, que afeta dispositivos SMA (Acesso Móvel Seguro). A documentação da SonicWall especifica que a vulnerabilidade afeta produtos da série SMA 100 e que é necessário atualizar para versões com firmware 10.x ou superior para mitigar o risco. A empresa, no entanto, não esclareceu se ou de que forma essa nova vulnerabilidade afeta dispositivos VPN SRA mais antigos que ainda sejam usados em ambientes de produção. Saiba mais>

Relé do spooler da impressora MSRPC (CVE-2021-1678)

Na Patch Tuesday de 12 de janeiro de 2021, a Microsoft disponibilizou uma correção para a vulnerabilidade CVE-2021-1678, uma falha de segurança grave identificada por pesquisadores da CrowdStrike®. Essa vulnerabilidade permite que um invasor intercepte e retransmita sessões de autenticação NTLM para uma máquina alvo, explorando a interface MSRPC do spooler de impressão para executar códigos maliciosos remotamente na máquina comprometida.

Zerologon

No dia 11 de agosto de 2020, a Microsoft lançou uma atualização de segurança que incluía uma correção para uma vulnerabilidade crítica no protocolo NETLOGON (CVE-2020-1472) descoberta por pesquisadores da Secura. Como nenhum detalhe técnico foi divulgado inicialmente, a vulnerabilidade identificada pelo CVE na atualização de segurança não recebeu a atenção que merecia, apesar de ter a pontuação máxima de 10 na escala CVSS.

Essa vulnerabilidade permite que um invasor não autenticado, com acesso à rede de um controlador de domínio, estabeleça uma sessão Netlogon vulnerável e consiga obter privilégios de administrador do domínio. A gravidade dessa vulnerabilidade reside no fato de que o único pré-requisito para o sucesso de um exploit é a capacidade de estabelecer uma conexão com um controlador de domínio.

Leia nossa análise técnica de Zerologon

Vulnerabilidade no NTLM

Na Patch Tuesday de junho de 2019, a Microsoft disponibilizou correções para as vulnerabilidades CVE-2019-1040 e CVE-2019-1019, ambas descobertas por pesquisadores da Preempt (atualmente parte da CrowdStrike). Essas vulnerabilidades críticas consistem em três falhas lógicas presentes no protocolo NTLM (protocolo de autenticação próprio da Microsoft). Os pesquisadores da Preempt conseguiram contornar todos os principais mecanismos de proteção do NTLM.

Com essas vulnerabilidades, invasores conseguem executar código malicioso remotamente em qualquer máquina Windows ou se autenticar em qualquer servidor HTTP que suporte Autenticação Integrada do Windows (WIA), como servidores Exchange ou ADFS. Todas as versões do Windows sem a correção estão vulneráveis aos ataques.

Saiba como essa vulnerabilidade foi descoberta

Stuxnet

Um dos ataques de dia zero mais notórios é o Stuxnet, um worm que teria sido responsável por danos significativos ao programa nuclear iraniano. Esse worm explorou quatro vulnerabilidades de dia zero até então desconhecidas no sistema operacional Microsoft Windows.

Estas são as melhores maneiras de se proteger contra ataques de dia zero:

Gerenciamento de Patches

Gerenciamento de correções é o processo de identificação e implementação de atualizações de software, ou “correção”, para uma variedade de endpoints, incluindo computadores, dispositivos móveis e servidores.

Uma “correção” é uma alteração específica ou conjunto de atualizações fornecidas por desenvolvedores de software para corrigir vulnerabilidades de segurança ou problemas técnicos conhecidos. A correção também pode incluir a adição de novas funcionalidades e funções à aplicação. É importante observar que correções geralmente são soluções de curto prazo, destinadas a serem usadas até o próximo lançamento completo do software. Um processo eficaz de gerenciamento de correções considerará os seguintes elementos:

• Revisão dos lançamentos de correção de segurança
• Priorização dos esforços de correção com base na gravidade da vulnerabilidade
• Teste da correção de compatibilidade e instalação de múltiplas correções em todos os endpoints afetados

Uma estratégia de gerenciamento de correções oportuna e eficaz é extremamente importante para a segurança da rede porque os lançamentos de correções são baseados em vulnerabilidades conhecidas. Dessa forma, o risco de usar software desatualizado se torna ainda maior, pois os adversários conseguem identificar e explorar mais facilmente as fragilidades dos sistemas.

Gerenciamento de vulnerabilidade

Gerenciamento de vulnerabilidades é o processo contínuo e regular de identificar, avaliar, relatar, gerenciar e remediar vulnerabilidades cibernéticas em endpoints, workloads e sistemas. Normalmente, uma equipe de segurança usa uma ferramenta de gerenciamento de vulnerabilidades para detectar vulnerabilidades e utilizar diferentes processos para corrigi-las ou remediá-las.

Um forte programa de gerenciamento de vulnerabilidades usa inteligência de ameaças e conhecimento de TI e operações de negócios para priorizar os riscos e abordar as vulnerabilidades de cibersegurança o mais rápido possível.

Use um Firewall de aplicação Web (WAF)

Um Firewall de aplicação Web (WAF)é um dispositivo de segurança desenvolvido para proteger organizações no nível da aplicação filtrando, monitorando e analisando o tráfego do protocolo de transferência de hipertexto (HTTP) e do protocolo seguro de transferência de hipertexto (HTTPS) entre a aplicação Web e a Internet.

Um WAF age como um como proxy reverso, protegendo a aplicação contra solicitações maliciosas antes que elas cheguem ao usuário ou à aplicação da Web. Parte de uma estratégia abrangente de cibersegurança, WAFs ajudam a proteger organizações contra uma variedade de ataques de camada de aplicação, incluindo cross-site scripting (XSS), injeção SQL, ataques de dia zero e ataques de negação de serviço (DoS) e ataques de negação de serviço distribuído (DDoS).

Solução da CrowdStrike para vulnerabilidades de dia zero

Para detectar e mitigar efetivamente ataques de dia zero, é preciso adotar uma defesa coordenada — que inclua tanto tecnologia de prevenção quanto um plano de resposta completo no caso de um ataque. As organizações podem se preparar para esses eventos sigilosos e prejudiciais implementando uma solução completa de segurança de endpoint que combina tecnologias incluindo antivírus de próxima geração (NGAV), detecção e resposta de endpoint (EDR) e inteligência de ameaças.

Para otimizar as defesas, as organizações têm que implementar as melhores tecnologias de prevenção onde os ataques ocorrem, e simultaneamente, estabelecer um plano para lidar com os piores cenários. Dessa forma, mesmo que um invasor consiga acessar a rede, a equipe de segurança terá as ferramentas, os processos e a tecnologia exigidos para mitigar o incidente antes que cause danos reais.

O CrowdStrike Falcon® Spotlight utiliza a plataforma de gerenciamento unificada da CrowdStrike e seu agente leve para oferecer às organizações acesso a informações detalhadas sobre a avaliação de vulnerabilidades. O sensor gera resultados em tempo real para sistemas Windows, Linux e Mac protegidos, eliminando a necessidade de varreduras de sistema demoradas e com impacto no desempenho, bem como a dependência de hardware de rede específico.