Un guide du jour zéro pour 2020: Attaques récentes et techniques de prévention avancées

Ilai Bavati
Il y a 2 ans

Les vulnérabilités Zero-day permettent aux acteurs des menaces de tirer parti des failles de sécurité. En règle générale, une attaque zero-day implique l’identification des vulnérabilités zero-day, la création d’exploits pertinents, l’identification des systèmes vulnérables et la planification de l’attaque. Les prochaines étapes sont l’infiltration et le lancement.

Cet article examine trois attaques zero-day récentes, qui ont ciblé Microsoft, Internet Explorer et Sophos. Enfin, vous découvrirez quatre solutions de protection et de prévention zero-day – NGAV, EDR, IPSec et contrôles d’accès au réseau.

Qu’est-ce qu’une vulnérabilité zero-day ?

Les vulnérabilités Zero-day sont des menaces critiques qui ne sont pas encore divulguées publiquement ou qui ne sont découvertes qu’à la suite d’une attaque. Par définition, les fournisseurs et les utilisateurs ne connaissent pas encore la vulnérabilité. Le terme jour zéro provient du moment où la menace est découverte (jour zéro). À partir de ce jour, une course se produit entre les équipes de sécurité et les attaquants pour respectivement corriger ou exploiter la menace en premier.

Anatomie d’une attaque zero-day

Une attaque zero-day se produit lorsque des criminels exploitent une vulnérabilité zero-day. La chronologie d’une attaque zero-day comprend souvent les étapes suivantes.

1. Identification des vulnérabilités : Les criminels testent le code open source et les applications propriétaires pour détecter les vulnérabilités qui n’ont pas encore été signalées. Les attaquants peuvent également se tourner vers les marchés noirs pour acheter des informations sur des vulnérabilités qui ne sont pas encore publiques.
2. Création d’exploits : Les attaquants créent un kit, un script ou un processus qui leur permet d’exploiter la vulnérabilité découverte.
3. Identification des systèmes vulnérables : Une fois qu’un exploit est disponible, les attaquants commencent à rechercher les systèmes affectés. Cela peut impliquer l’utilisation de scanners automatisés, de robots ou de sondages manuels.
4. Planification de l’attaque: Le type d’attaque qu’un criminel souhaite accomplir détermine cette étape. Si une attaque est ciblée, les attaquants effectuent généralement une reconnaissance pour réduire leurs chances d’être capturés et augmenter leurs chances de succès. Pour les attaques générales, les criminels sont plus susceptibles d’utiliser des campagnes de phishing ou des robots pour tenter de toucher autant de cibles le plus rapidement possible.
5. Infiltration et lancement : Si une vulnérabilité nécessite d’abord d’infiltrer un système, les attaquants s’efforcent de le faire avant de déployer l’exploit. Cependant, si une vulnérabilité peut être exploitée pour entrer, l’exploit est appliqué directement.

Exemples récents d’attaques

Prévenir efficacement les attaques zero-day est un défi important pour toute équipe de sécurité. Ces attaques surviennent sans avertissement et peuvent contourner de nombreux systèmes de sécurité. En particulier ceux qui s’appuient sur des méthodes basées sur des signatures. Pour améliorer votre sécurité et réduire vos risques, vous pouvez commencer par vous renseigner sur les types d’attaques qui se sont récemment produites.

Microsoft

En mars 2020, Microsoft a averti les utilisateurs des attaques zero-day exploitant deux vulnérabilités distinctes. Ces vulnérabilités ont affecté toutes les versions de Windows prises en charge et aucun correctif n’était prévu avant des semaines plus tard. Il n’existe actuellement pas d’identifiant CVE pour cette vulnérabilité.

Les attaques ciblaient des vulnérabilités d’exécution de code à distance (RCE) dans la bibliothèque Adobe Type Manager (ATM). Cette bibliothèque est intégrée à Windows pour gérer les polices PostScript de type 1. Les failles de l’ATM ont permis aux attaquants d’utiliser des documents malveillants pour exécuter des scripts à distance. Les documents sont arrivés par spam ou ont été téléchargés par des utilisateurs sans méfiance. Une fois ouverts ou prévisualisés avec l’Explorateur de fichiers Windows, les scripts s’exécutaient, infectant les périphériques utilisateur.

Internet Explorer

Internet Explorer (IE), le navigateur hérité de Microsoft, est une autre source récente d’attaques zero-day. Cette vulnérabilité (CVE-2020-0674) est due à une faille dans la façon dont le moteur de script IE gère les objets en mémoire. Cela a affecté IE v9-11.

Les attaquants peuvent exploiter cette vulnérabilité en incitant les utilisateurs à visiter un site Web conçu pour exploiter la faille. Cela peut être accompli par le biais d’e-mails de phishing ou par la redirection de liens et de demandes de serveur.

Sophos

En avril 2020, des attaques zero-day ont été signalées contre le pare-feu XG de Sophos. Ces attaques ont tenté d’exploiter une vulnérabilité d’injection SQL (CVE-2020-12271) ciblant le serveur de base de données PostgreSQL intégré au pare-feu.

Si elle est exploitée avec succès, cette vulnérabilité permettrait aux attaquants d’injecter du code dans la base de données. Ce code pourrait être utilisé pour modifier les paramètres du pare-feu, accorder l’accès aux systèmes ou permettre l’installation de logiciels malveillants.

Protection et prévention

Pour vous défendre correctement contre les attaques zero-day, vous devez superposer des protections avancées à vos outils et stratégies existants. Voici quelques solutions et pratiques conçues pour vous aider à détecter et à prévenir les menaces inconnues.

Antivirus de nouvelle génération

L’antivirus de nouvelle génération (NGAV) développe les antivirus traditionnels. Pour ce faire, il inclut des fonctionnalités d’apprentissage automatique, de détection comportementale et d’atténuation des exploits. Ces fonctionnalités permettent à NGAV de détecter les logiciels malveillants même lorsqu’il n’y a pas de signature connue ou de hachage de fichier (sur lequel repose l’AV traditionnel).

De plus, ces solutions sont souvent basées sur le cloud, ce qui vous permet de déployer des outils de manière isolée et à grande échelle. Cela permet de s’assurer que tous vos appareils sont protégés et que les protections restent actives même si les appareils sont affectés.

Détection et réponse des points de terminaison

Les solutions de détection et de réponse des points de terminaison (EDR) offrent une visibilité, une surveillance et des protections automatisées à vos points de terminaison. Ces solutions surveillent tout le trafic des terminaux et peuvent utiliser l’intelligence artificielle pour classer les comportements suspects des terminaux, comme, par exemple, les demandes fréquentes ou les connexions provenant d’adresses IP étrangères. Ces fonctionnalités vous permettent de bloquer les menaces quelle que soit la méthode d’attaque.

De plus, les fonctionnalités EDR peuvent être utilisées pour suivre et surveiller les utilisateurs ou les fichiers. Tant que l’aspect suivi se comporte dans les directives normales, aucune mesure n’est prise. Cependant, dès que le comportement dévie, les équipes de sécurité peuvent être alertées.

Ces capacités ne nécessitent aucune connaissance des menaces spécifiques. Au lieu de cela, les capacités tirent parti des renseignements sur les menaces pour effectuer des comparaisons généralisées. Cela rend EDR efficace contre les attaques zero-day.

Sécurité IP

La sécurité IP (IPSec) est un ensemble de protocoles standard utilisés par les groupes de travail d’ingénierie Internet (IETF). Il permet aux équipes d’appliquer des mesures d’authentification des données et de vérifier l’intégrité et la confidentialité entre les points de connexion. Il permet également le cryptage et la gestion et l’échange sécurisés des clés.

Vous pouvez utiliser IPSec pour authentifier et chiffrer tout votre trafic réseau. Cela vous permet de sécuriser les connexions et d’identifier et de répondre rapidement à tout trafic non lié au réseau ou suspect. Ces capacités vous permettent d’augmenter la difficulté d’exploiter les vulnérabilités zero-day et de réduire les chances de réussite des attaques.

Implémentez des contrôles d’accès réseau

Les contrôles d’accès réseau vous permettent de segmenter vos réseaux de manière très granulaire. Cela vous permet de définir exactement quels utilisateurs et appareils peuvent accéder à vos actifs et par quels moyens. Cela inclut la restriction de l’accès aux seuls appareils et utilisateurs dotés des correctifs de sécurité ou des outils appropriés.

Les contrôles d’accès au réseau peuvent vous aider à vous assurer que vos systèmes sont protégés sans nuire à la productivité ni forcer une restriction complète de l’accès externe. Par exemple, le type d’accès nécessaire lorsque vous hébergez un logiciel en tant que service (SaaS).

Ces contrôles sont bénéfiques pour la protection contre les menaces zero-day car ils vous permettent d’empêcher les mouvements latéraux dans vos réseaux. Cela isole efficacement tout dommage qu’une menace zero-day peut causer.

Rester en sécurité

Les attaques zero-day récentes montrent que de plus en plus d’acteurs de la menace trouvent une marque facile dans les utilisateurs de terminaux. L’attaque zero-day contre Microsoft a exploité les vulnérabilités ATM pour inciter les utilisateurs à ouvrir des logiciels malveillants. Lorsque les acteurs de la menace exploitaient une vulnérabilité Zero-day d’Internet Explore, ils trompaient les utilisateurs en les incitant à visiter des sites malveillants. L’attaque zero-day contre Sophos pourrait potentiellement accorder l’accès des utilisateurs aux acteurs de la menace.

Cependant, bien que les attaques zero-day soient difficiles à prévoir, il est possible de les prévenir et de les bloquer. EDR Security permet aux entreprises d’étendre la visibilité sur les points de terminaison, et l’antivirus de nouvelle génération offre une protection contre les logiciels malveillants sans avoir à s’appuyer sur des signatures connues. Les protocoles IPSec permettent à l’organisation d’authentifier et de chiffrer le trafic réseau, et les contrôles d’accès au réseau fournissent les outils nécessaires pour refuser l’accès aux acteurs malveillants. Ne laissez pas les acteurs de la menace avoir le dessus. En utilisant et en superposant plusieurs de ces outils et approches, vous pouvez mieux protéger vos employés, vos données et votre organisation.