Qu'est-ce qu'une attaque zero-day? - Définition et explication

Les vulnérabilités zero-day rendent impossible une préparation adéquate contre les cyberattaques. Cela rend le vecteur potentiel d'invasion aléatoire et il est probable qu'il vous frappera assez fort si vous ignorez que quelque chose se passe.

Vous pourriez être intéressé par nos autres outils antivirus:
Trojan Killer, Trojan Scanner and Free Online Checker.

Attaques zero-day et exploits zero-day. Qu'est-ce que c'est? | Gridinsoft

Qu'est-ce qu'une exploitation zero-day?

September 01, 2023

La chose dont tout le monde a le plus peur est le suspense. En parlant de cybers√©curit√©, la chose la plus impr√©visible que vous puissiez rencontrer est une attaque zero-day. Vous ne savez jamais o√Ļ elles apparaissent et vous ne pouvez pas √™tre pr√™t √† r√©agir.

Pourquoi les vuln√©rabilit√©s zero-day sont-elles si effrayantes et dangereuses? √Ä premi√®re vue, certains disent qu'elles ont peu ou pas de diff√©rence par rapport aux autres menaces. Et d√®s qu'elles sont d√©voil√©es au public, leur principale diff√©rence dispara√ģt. D'autres personnes peuvent agir √† l'inverse - disant qu'il n'y a aucune raison d'√©tablir une quelconque s√©curit√© car les failles des attaques zero-day seront tout aussi nulles que la meilleure solution EDR de premier rang et une version pirat√©e d'un outil antivirus ordinaire. Alors, o√Ļ est l'interm√©diaire? Et enfin, comment vous prot√©ger, vous et votre entreprise, contre les attaques zero-day, si cela est possible du tout?

Qu'est-ce qu'une attaque zero-day?

Les vuln√©rabilit√©s zero-day, ou exploits zero-day, sont les failles de s√©curit√© dans les programmes qui n'ont jamais √©t√© d√©couvertes auparavant. En effet, c'est leur principal danger. Tandis que les failles connues sont r√©pertori√©es et d√©crites en d√©tail dans des sources sp√©cialis√©es, vous ne pouvez que supposer o√Ļ se trouve la menace zero-day. Des analystes en cybers√©curit√© du monde entier tentent de cr√©er une solution qui puisse au moins emp√™cher ce probl√®me. Entre-temps, les fournisseurs de logiciels lancent des programmes de chasseurs de bogues, o√Ļ des utilisateurs innovants re√ßoivent une somme d'argent substantielle pour trouver les failles.

Cycle de vie d'une vulnérabilité zero-day
Le cycle de vie d'une vulnérabilité zero-day

Les effets finaux d'une attaque zero-day sont les m√™mes que dans tout autre cas d'exploitation de vuln√©rabilit√©. Les cybercriminels utilisent les failles pour escalader les privil√®ges ou ex√©cuter le code dont ils ont besoin √† distance. Cela leur donne des capacit√©s avanc√©es pour intervenir dans l'entreprise qu'ils ont attaqu√©e. On peut dire que l'exploitation, qu'elle soit zero-day ou non, est la base de la cyberattaque. Tous ne sont pas d√©di√©s √† leur utilisation, mais leur part ne cesse de cro√ģtre en continu.

Mais quel est le danger d'une attaque zero-day? Y a-t-il une raison de s'inqui√©ter autant si elle accorde aux escrocs les m√™mes capacit√©s qu'une exploitation normale? Oui, si vous utilisez une solution de s√©curit√© quelconque, et que vous connaissez le co√Ľt d'une fuite de donn√©es. G√©n√©ralement, lorsqu'on parle des solutions EDR, elles appliquent diff√©rentes r√©alisations de politique de confiance. Le sp√©cialiste qui configure la protection des points de terminaison choisit quelles applications faire confiance et doit v√©rifier deux fois. Vous pouvez le configurer de mani√®re parano√Įaque - jusqu'√† un mod√®le de quasi-confiance z√©ro, mais cela ralentira les op√©rations. Bien s√Ľr, il y a l'option "ne pas choisir du tout" - en utilisant un syst√®me de s√©curit√© √† confiance z√©ro appropri√©, qui n'affectera pas autant les performances. Cependant, ils sont beaucoup plus chers.

Définition d'une attaque zero-day

Les attaques zero-day sont, manifestement, les cyberattaques qui exploitent les vulnérabilités zero-day. Le niveau de gravité de ces attaques et l'impact sur la cible peuvent différer, mais leur imprévisibilité est la principale caractéristique de telles attaques. Alors que vous pouvez protéger votre système ou votre réseau contre les attaques classiques en utilisant des failles connues ou des défauts de conception, il est impossible de prédire l'attaque zero-day.

Le plan d'attaque exact peut √™tre diff√©rent. Les escrocs peuvent utiliser la faille pour escalader les privil√®ges une fois et ex√©cuter leur logiciel malveillant. Une autre option, principalement utilis√©e lorsque les escrocs tentent d'infecter l'ensemble du r√©seau ou de d√©ployer la menace persistante avanc√©e, est de cr√©er un nouveau compte avec des privil√®ges administratifs sur la machine locale. Ensuite, les escrocs cachent g√©n√©ralement ce compte et l'utilisent simultan√©ment avec les comptes initiaux. Ayant le compte administrateur, ils sont libres de faire ce qu'ils veulent - de recueillir les informations de l'ordinateur infect√© √† forcer le passage en force sur les autres ordinateurs du r√©seau, voire sur le contr√īleur de domaine.

Pr√©cis√©ment, √† l'√©tape o√Ļ la force brute ou la propagation de logiciels malveillants dans le r√©seau se produit, il est assez facile de d√©tecter la pr√©sence du logiciel malveillant si le sp√©cialiste de la s√©curit√© sait que quelque chose se passe. Cependant, les escrocs qui font plus que simplement chiffrer les fichiers avec des ran√ßongiciels et demandent une ran√ßon savent comment contourner la possibilit√© d'√™tre d√©tect√©s. L'obscurcissement, le d√©guisement de l'activit√© en tant que programme l√©gitime, la cr√©ation de distraction - ce ne sont l√† que les actions de base que les escrocs peuvent appliquer pour atteindre leur objectif.

Prévention des attaques zero-day: Comment détecter les dangers à l'avance

Comme pour tout ce qui concerne les fonctions de n'importe quelle application, vous pouvez trouver des vuln√©rabilit√©s zero-day gr√Ęce √† l'analyse du code. La question principale est de savoir qui effectue cette analyse - les escrocs, les d√©veloppeurs ou les chasseurs de bogues. Comme les choses se sont av√©r√©es, les cybercriminels et les chasseurs de bogues ont une r√©compense mat√©rielle beaucoup plus grande pour leur activit√© de recherche d'exploits. Les premiers re√ßoivent des ran√ßons et un gros paquet d'argent pour vendre les donn√©es sur le Darknet, et les seconds sont pay√©s pour chaque faille trouv√©e. Pendant ce temps, les d√©veloppeurs ne re√ßoivent que des choses non mat√©rielles - comme la reconnaissance de la s√©curit√© de leur logiciel. Les pertes de r√©putation qui entra√ģnent la perte d'utilisateurs ne sont pas aussi pr√©cises qu'un tas de billets de banque.

Détection des vulnérabilités zero-day
La manière dont les vulnérabilités zero-day sont détectées

L'analyse approfondie est insuffisante pour d√©tecter le point faible potentiel. Fixer les lignes de code ne montrera pas comment exactement les escrocs peuvent utiliser la vuln√©rabilit√© et quels avantages elle apportera. C'est pourquoi la trousse √† outils des chasseurs de bogues et des pirates informatiques est presque la m√™me. Les experts qui travaillent avec ces √©l√©ments connaissent les "concentrateurs de stress" principaux - les endroits o√Ļ le programme acc√®de le r√©seau ou demande des privil√®ges accrus - les endroits les plus courants de la faille. N√©anmoins, m√™me la d√©couverte de la faille et la d√©termination de ce que les escrocs peuvent en faire ne suffisent pas pour l'utiliser dans la nature. Une arm√©e de programmeurs des places de march√© du Darknet est pr√™te √† √©crire un logiciel malveillant d'exploitation unique pour seulement 10 dollars, et les antivirus classiques l'arr√™teront √† peine avec des d√©tections bas√©es sur des signatures.

Pourquoi les vulnérabilités apparaissent-elles?

Les analystes en cybersécurité n'ont pas identifié une seule raison de l'apparition des vulnérabilités. La plupart d'entre elles sont des erreurs non intentionnelles - celles-ci apparaissent par manque de professionnalisme ou par manque de pairs pour comparer la base de code. Parfois, les développeurs créent une fonction exploitable pour répondre à des besoins actuels. Par exemple, il est possible d'éditer le Registre Windows à distance, ce qui était très utile dans les années 90. À l'époque de Windows 95/98, vous aviez de nombreuses raisons de configurer quelque chose dans le registre, et la possibilité de le faire pour tous les ordinateurs en un seul clic était un problème pour les administrateurs système. Malheureusement, les cybercriminels ont rapidement exploité cette "fonctionnalité" jusqu'à ce que cette fonction soit définie par défaut comme "désactivée". Cependant, ils l'activent parfois - elle est utile pour créer un accès de porte dérobée multifonctionnel.

Dans certains cas rares, les failles sont créées intentionnellement, principalement pour les besoins du développeur. Une telle faille est rare, et sa présence est généralement assez difficile à détecter. Cependant, le scandale éclate de manière exponentielle lorsqu'elle est découverte. Alors que les vulnérabilités courantes ne sont pas aussi critiques pour la réputation de l'entreprise, les failles intentionnelles sont comme une bombe nucléaire pour la réputation de l'entreprise.

Liste des programmes les plus exploitables:

  • Microsoft Outlook
  • Microsoft Word
  • Microsoft Excel
  • Adobe Premiere
  • Adobe Creative Cloud
  • Adobe Photoshop
  • Apache Struts 2
  • Pulse Connect Secure

Exemples d'exploits zero-day

Le monde de la cybersécurité a connu de nombreux exemples d'exploits zero-day. Certains d'entre eux ont été utilisés avec succès par des cybercriminels, mais la plupart ont été détectés et corrigés avant que les escrocs ne le fassent. Examinons les cas les plus notoires.

  • Log4 Shell. Une vuln√©rabilit√© tristement c√©l√®bre apparue √† la fin de 2022, et utilis√©e avec succ√®s par des cybercriminels dans diverses attaques. La vuln√©rabilit√© dans le m√©canisme de journalisation a permis √† l'attaquant de forcer le serveur √† ex√©cuter le code malveillant tout en lisant les journaux. Les escrocs ont pu mettre ce code dans les journaux tout en interagissant avec des applications bas√©es sur Java.
  • M√™me si la vuln√©rabilit√© initiale - CVE-2021-44228 - a √©t√© corrig√©e avec un correctif instantan√©, une autre est apparue dans ce correctif - CVE-2021-45046. Cette vuln√©rabilit√© a d√©j√† conduit des centaines d'entreprises √† des pertes d'argent et circulera probablement pendant plusieurs ann√©es. Elle m√©rite d√©j√† le ratio CVSS de 10/10.
  • LinkedIn a fuit√© via CVE-2021-1879. La vuln√©rabilit√© dans une cha√ģne de produits logiciels Apple, en particulier iOS 12.4-13.7 et watchOS 7.3.3, a permis la cross-site scripting (XSS) universelle. Cette faille a √©t√© utilis√©e pour voler les informations d'environ 700 millions d'utilisateurs. Une grande partie - 500 millions - a √©t√© mise en vente. Les informations divulgu√©es comprenaient des adresses e-mail, des donn√©es de m√©dias sociaux, des num√©ros de t√©l√©phone et des d√©tails de g√©olocalisation. De telles informations peuvent √™tre utiles pour le spear phishing en utilisant des profils contrefaits sur les r√©seaux sociaux.
  • Vuln√©rabilit√© Zoom Video RCE. La faille qui a permis d'ex√©cuter le code sur les appareils connect√©s √† une conf√©rence a √©t√© d√©couverte et utilis√©e au milieu de la premi√®re vague de la pand√©mie de coronavirus. Depuis que Zoom est devenu une solution virale pour les conf√©rences vid√©o et l'√©ducation, la surface d'attaque potentielle semblait illimit√©e. CVE-2020-6110 a touch√© les versions Zoom 4.6.10 et ant√©rieures.

Comment éviter les exploits et les attaques zero-day?

L'absence de possibilit√© d'anticiper d'o√Ļ peut venir le danger rend la plupart des conseils beaucoup moins efficaces. Lorsque vous savez d'o√Ļ l'ennemi va essayer de percer, vous pouvez supposer comment il le fera et comment vous d√©fendre. En revanche, lutter contre les 0-days avec des m√©thodes bien connues ressemble davantage √† combattre des moulins √† vent. Il n'y a pas grand-chose que vous puissiez faire pr√©cis√©ment contre ce type de menaces. Par cons√©quent, nous ne listerons que les moyens les plus efficaces de contrer les logiciels malveillants zero-day.

  • Utilisez une EDR avanc√©e avec une politique de confiance z√©ro. De nombreuses solutions EDR offrent un mod√®le flexible, o√Ļ vous configurez quelles applications faire confiance. Cependant, il n'y a pas d'autre moyen que le mod√®le parano√Įaque pour la protection contre les attaques zero-day. Si vous voulez √™tre s√Ľr que ni les programmes bien connus ni les √©l√©ments √©tranges de GitHub ne deviendront une partie de l'attaque, il est pr√©f√©rable de contr√īler chacun d'eux avec un maximum de diligence. Pr√®s de 74 % des cyberattaques li√©es aux 0-day ont contourn√© avec succ√®s les antivirus "r√©guliers".
  • Mettez √† jour votre logiciel aussi souvent que possible. Les failles zero-day deviennent r√©guli√®res apr√®s leur d√©couverte mais ne perdent jamais en efficacit√©. Comme le montrent les statistiques r√©centes, au 1er trimestre 2021, pr√®s de 25 % des entreprises √©taient encore vuln√©rables au virus WannaCry - un logiciel malveillant devenu mondialement connu lorsqu'il a frapp√© en 2017. Les entreprises retardent les mises √† jour logicielles pour diff√©rentes raisons - incompatibilit√© mat√©rielle, plaintes concernant l'interface des nouvelles versions et performances globales de l'application. Cependant, il vaut mieux accepter ces probl√®mes ou trouver un autre logiciel que de continuer √† utiliser des √©l√©ments obsol√®tes qui peuvent √™tre facilement exploit√©s.

Cependant, nous devons mentionner que seules 4 % des attaques sont commises à l'aide de vulnérabilités zero-day. Tous les autres sont causés par l'ignorance des règles de base de la sécurité informatique. Vous ne savez pas comment bloquer les demandes de rançon? Vous n'avez pas mis à jour le système d'exploitation pendant longtemps? Vous n'avez pas installé de logiciel antivirus? Eh bien, dans ce cas, l'un des logiciels malveillants les plus courants peut facilement pénétrer dans votre système. En conséquence, il est nécessaire de se rappeler des règles de sécurité élémentaires. Si vous avez des connaissances, du temps et des ressources pour les lire et les analyser, lisez la documentation de base sur le site de l'agence de cybersécurité et de sécurité des infrastructures.

En bref, les attaques zero-day sont parmi les menaces les plus insidieuses et difficiles à contrer dans le monde de la cybersécurité. Leur caractéristique la plus effrayante est le manque de préparation, car les vulnérabilités zero-day sont inconnues et non corrigées au moment de leur utilisation. Cependant, en utilisant des solutions de sécurité avancées, en maintenant à jour vos logiciels et en respectant les meilleures pratiques en matière de cybersécurité, vous pouvez réduire considérablement votre vulnérabilité à ces attaques.

Foire Aux Questions

Il y a beaucoup de problèmes de sécurité dans les programmes. Pourquoi ne sont-ils pas tous des vulnérabilités zero-day?
Les principaux critères qui rendent tout bug potentiellement dangereux sont qu'il peut être utilisé à des fins malveillantes. La fonctionnalité exacte de ces bugs doit être l'exécution de code à distance, le cross-site scripting ou l'élévation de privilèges. Cependant, la plupart des problèmes de sécurité trouvés dans les applications ne permettent pas l'utilisation de ces capacités. De plus, les bugs sont éliminés à l'étape de la création de l'exploit. Lorsqu'il est possible de faire quelque chose qui mérite attention avec cette faille, rendre son fonctionnement suffisamment simple pour commettre une cyberattaque à l'aide de cette faille est encore plus difficile.
Si la plupart des solutions de cybersécurité sont inutiles contre les violations zero-day, y a-t-il une raison de les utiliser?
Le monde des logiciels malveillants ne se limite pas aux logiciels malveillants zero-day. Personne n'a suspendu la propagation des logiciels malveillants en utilisant des moyens plus ordinaires. La sobri√©t√©, les param√®tres r√©seau ma√ģtris√©s et la sensibilisation renforcent toute solution de cybers√©curit√© en cours d'ex√©cution sur le r√©seau. Mais la solution arr√™tera probablement la plupart des choses m√™me sans leur donner la possibilit√© de tester votre configuration. Les violations zero-day peuvent √™tre compar√©es √† un cambrioleur qui p√©n√®tre dans votre maison par la fen√™tre. Allez-vous laisser les fen√™tres ouvertes? Bien s√Ľr que non, car les gu√™pes et les chauves-souris pourraient √©galement entrer. Mais en fermant vos fen√™tres et en installant une alarme, vous arr√™terez probablement tous les intrus possibles.
Quelle est la différence entre une vulnérabilité zero-day et un logiciel malveillant zero-day?
Sous le terme "vulnérabilité zero-day", la communauté de la cybersécurité entend généralement le même bug dans le programme qui permet aux criminels d'acquérir des capacités extraordinaires. Pendant ce temps, un logiciel malveillant zero-day est une application malveillante ou même un morceau de code intégré dans cette faille. Vous avez pu voir l'exemple de logiciel malveillant zero-day plusieurs paragraphes ci-dessus dans la description de la faille Log4 Shell. Le code injecté dans les journaux agit exactement comme le déclencheur, obligeant le système attaqué à faire ce que les criminels veulent.
Pourquoi les développeurs de logiciels n'appliquent-ils pas les révisions obligatoires du code dans leurs produits logiciels?
Ils le font - cette proc√©dure est connue sous le nom d'assurance qualit√© (QA). Cependant, la quantit√© de telles v√©rifications et l'application g√©n√©rale de cette approche sont insignifiantes. La plupart des √©quipes de QA se concentrent sur les v√©rifications de l'interface utilisateur plut√īt que sur les probl√®mes de s√©curit√©... Les entreprises ne veulent pas r√©duire leur marge ou augmenter le prix du produit (le travail de ces personnes doit √©galement √™tre r√©mun√©r√©) et retarder les sorties de une semaine ou deux. La solution √©vidente est de confier ces v√©rifications √† la sous-traitance et de donner aux utilisateurs le choix: utiliser un logiciel non r√©vis√© maintenant ou utiliser la version approuv√©e apr√®s un certain d√©lai. Cela fonctionne d√©j√† dans diff√©rentes communaut√©s Linux - mais le flux de mises √† jour total pour cette famille de syst√®mes d'exploitation est suffisamment faible pour le g√©rer avec l'aide de b√©n√©voles.