Ali veste, kaj je napad Zero day?

Nekje ujeli izraz "Zero day". Najpogosteje je povezan s kibernetskimi napadi in grožnjami, ki prizadenejo ranljivost, za katero še ni razvita zaščita. V bistvu, dokler nekdo ne opozori na to ranljivost z napadom, se v večini primerov zanjo niti ne ve.

To vrsto ranljivosti je mogoče izkoristiti z uporabo »Zero day exploit«. Kaj je za tem? Na primer programska oprema, aplikacija ali del, zaporedje ukazov. In vse to lahko izkoristi programsko napako, ki povzroča ranljivost. Napadalec lahko uporabi neodkrit hrošč v okuženem sistemu. To lahko stori s pomočjo vohunske programske opreme, izsiljevalske programske opreme, zlonamerne programske opreme, zapisovalcev tipk ali trojanskih konjev. Vse to lahko na koncu povzroči uhajanje podatkov, poškodbe ali popoln prevzem nadzora nad ciljno napravo, sistemom.

V zadnjem času se o kibernetski varnosti govori veliko in povsod, vendar še vedno obstajajo podjetja in posamezniki, ki varnost podcenjujejo ali pa jo popolnoma zanemarjajo. Če lahko uporabnik izbira med naročnino na glasbeno ali filmsko storitev, podjetje pa lahko izbira med velikostjo shrambe v oblaku in varnostno rešitvijo, kaj mislite, katera zmaga?

Toda vrnimo se k našemu izrazu "Zero day attack". Kako deluje, kdo je največkrat ciljna skupina tovrstnih napadov in kako se ubraniti pred »Zero day attacks«?

Kako deluje Zero day napad?

Večino programskih napak v bistvu odkrijejo in popravijo razvijalci s posodobitvami. Toda do tega trenutka, dokler razvijalec ne ugotovi, v čem je težava ali kje je varnostna luknja, se to obdobje dejansko šteje za ranljivost Zero day.

Napadalci bodo izkoristili to napako, preden jo bo razvijalec odkril in popravil. Napadalec ustvari zlonamerno kodo, ki lahko prek te napake hitro prodre v sistem in povzroči škodo. To je torej osnovno dejstvo, da je Zero day napad dejansko nekaj, kar išče ta časovni prostor med, preden se ta hrošč uradno odkrije.

Zero day napadi so namenjeni različnim ciljnim skupinam

Lahko so posamezniki, lahko so korporacije, različna podjetja, vladne organizacije. Lahko rečemo, da se v bistvu ne išče cilj, ampak se išče napaka, razpoka. Če vzamemo posameznika, klasičnega uporabnika, potem napadalci lahko ciljajo bodisi iz osebnih razlogov, da jim želijo ukrasti podatke za finančne račune. Tako lahko ukradejo ne le osebne podatke, ampak predvsem podatke, povezane s plačilnimi računi.

Podjetja in korporacije so druga ciljna skupina in to je pravzaprav precej tvegana stvar in občutljiva tema. Podjetja in korporacije skrivajo različne osebne podatke, poslovne skrivnosti, takšen napad pa lahko povzroči finančno škodo. Zahvaljujoč Zero day vulnerability napadu lahko napadalci dobijo dostop do informacij, ki jih lahko prodajo, zlorabijo in popolnoma diskreditirajo napadeno podjetje.

Vladne organizacije, zato je to res močnejše. Zero day napade je mogoče uporabiti za prodor v vladne sisteme za pridobitev posebej občutljivih informacij in vojaških strategij. Potem gre za ogrožanje kibernetske varnosti države, vladnih organizacij in to je že zelo občutljiva tema. Včasih ranljivost, napad, ničelni dan uporabljajo tudi aktivisti (haktivisti), ki želijo opozoriti na nekaj, kar jim v tej vladni organizaciji ni všeč.

Aktivisti in novinarji sami so skupina, na katero so napadalci lahko usmerjeni. Želijo razkriti nekatere pridobljene. razkril podatek, da bolj ali manj prodaja naprej.

Največji vpliv ima Zero day napad na kritično infrastrukturo, kot so vodni viri, energetski sistemi in prometno omrežje. Tam pa že gre za škodo, povzročeno ne le organizaciji, ampak celotni družbi. Že samo izpad interneta, ki ga povzroči napad, vpliva na ogromno število organizacij in posameznikov.

Ali je mogoče Zero day napade preprečiti?

Težko je preprečiti nekaj, za kar ne veš, da obstaja. Edina možnost so preventivni ukrepi, ki lahko zmanjšajo tveganje. Ti so v bistvu enaki, ne glede na to, ali gre za posameznika ali organizacijo.

Najbolj osnovno je posodobiti programsko opremo v vsaki napravi, pa naj gre za osebni računalnik ali mobilno napravo. Na podlagi povratnih informacij uporabnikov razvijalci odpravijo veliko težav in pogosto sproti odkrijejo napake v svojih izdelkih, ki so že v uradni različici.

Vlaganje v varnostno programsko opremo je ključnega pomena. Poleg protivirusne in zlonamerne programske opreme je požarni zid pomemben zaščitni element .

Nenazadnje je spremljanje aktivnosti sistema in varnostno kopiranje podatkov .

Naslednji korak je varno vedenje na internetu (ne klikajte na vse, kar se pojavi) in seveda usposabljanje zaposlenih o Zero day grožnjah in ranljivostih.

Podjetja lahko sodelujejo z varnostnimi strokovnjaki, ki bodo skrbeli za upravljanje popravkov , redne penetracijske teste .

Rešitev je tudi vsaditev modela Zero Trust. Nastavitev temelji na predpostavki, da nobena naprava in uporabnik v omrežju nista zaupanja vredna in da ju je treba identificirati in dokazati s popravkom ob vsakem dostopu.

PrintNightmare

A poglejmo si varnostne ukrepe pri tiskanju, kako to izgleda tam. Leta 2021 so varnostni razvijalci odkrili resno ranljivost. Šlo je za ranljivost v storitvi Print Spooler, ki je del vseh različic sistema Windows. Šlo je za nepopravljeno ranljivost Zero day v vseh podprtih različicah in različicah razširjene varnostne posodobitve operacijskega sistema Windows. Expolit se je zelo hitro širil, napaka pa je bila v tem, da je napadalec lahko na daljavo izvedel kodo s sistemskimi privilegiji. To ranljivost v tiskalniških storitvah MS Windows so poimenovali PrintNightmare.

Exploit je vrsta zlonamerne kode, ki uporablja hrošče ali ranljivosti v sistemu, da povzroči nepričakovano ali neželeno vedenje računalnika. Lahko pridobi nadzor nad celotnim računalniškim sistemom, poveča privilegije ali zavrne storitev (napadi DDoS).

Zakaj je ta ranljivost postala nočna mora za podjetja?

Izkoriščanje obstaja znotraj RpcAddPrinterdriver. Podpira oddaljeno tiskanje in namestitev gonilnikov. To je obvezna funkcija, ki skrbnikom IT omogoča SeLoadDriverPrivilege. To jim daje možnost namestitve novih gonilnikov tiskalnika na oddaljeni tiskalnik v ozadju.

V bistvu to postane izkoriščanje, ker pomeni, da lahko vsak "preverjen" uporabnik, ne le zaupanja vredni, pooblaščeni sistemski skrbniki, v Windows doda kateri koli "gonilnik tiskalnika". Vsak naključni uporabnik lahko poviša ta privilegij in postane skrbnik domene. Tako lahko napadalec povzroči uničenje z zlonamerno kodo.

Microsoft je popravil izkoriščanje, zaradi katerega so nenehno spreminjali privzete vrednosti za Windows Point and Print. Zaplet pri Point and Print je bil, da se pri povezovanju s tiskalnikom, ki je v skupni rabi s strežnika z gonilniki tipa 3, gonilnik tiskalnika (programska oprema) prenese s strežnika na odjemalski računalnik.

Popravek izkoriščanja je predstavljal spremembo pravila za Point and Print. Vendar je imelo to neprijetne stranske učinke za številna okolja tiskanja Windows. Novo pravilo, ki ga je Microsoft postavil za Point and Print, je, da morate biti zdaj skrbnik/imeti skrbniški dostop do odjemalske naprave, da lahko namestite gonilnik tiskalnika s tiskalnega strežnika. Druga nova privzeta vrednost, ki so jo uvedli, je bila, da če niste v sistemu Windows, se ne morete povezati s tiskalnikom v skupni rabi sistema Windows.

Zato je ranljivost PrintNightmare postala znana zgodba. Microsoft se je tega izkoriščanja dokaj hitro lotil s svojimi popravki. Čeprav je bila zaustavitev storitve tiskanja hitra rešitev, se je samo tiskanje ustavilo, kar ni bilo dobro. Posodobitev po izdaji popravkov za Windows je odpravila to težavo. V tem primeru lahko tudi vidimo, da so tiskalniki in oddaljeno tiskanje prav tako možne tarče ranljivosti Zero day.

Čeprav je PrintNightmare in njegove različice teoretično obravnaval Microsoft, še vedno vpliva na nekatere organizacije do danes. Glavni razlog so precej zmedeni pravilniki skupine in nastavitve tiskanja podjetja.