Coinbase – unul dintre cele mai mari schimburi de criptomonede din SUA – a fost vizat de atacatori în perioada mai-iunie 2019. Din fericire, Coinbase a frustrat atacul – „un atac sofisticat, foarte vizat, gândit”, per Coinbase.

Atacul a vizat compromiterea sistemelor sale cu scopul de a accesa fondurile utilizatorilor săi – criptomonede în valoare de miliarde de dolari. Atacul a fost planificat folosind două vulnerabilități de zero zile în Mozilla Firefox (un browser web open-source). Cu toate acestea, echipa sa a detectat și oprit atacul la timp.

Acest lucru ne aduce la întrebarea: care sunt vulnerabilitățile de zi zero și cum se poate apăra împotriva lor? Să găsim răspunsurile lor unul câte unul în această postare.

Ce este o vulnerabilitate Zero-day?

Un exploit zero-day (cunoscut și ca 0-day) – vulnerabilitatea este o vulnerabilitate software necunoscută sau neadresată de părțile interesate. Deoarece vulnerabilitatea nu este încă cunoscută sau atenuată, hackerii de calculatoare pot profita de această oportunitate pentru a exploata vulnerabilitatea pentru a compromite software-ul, datele sale sau mașinile sau rețelele conectate. În consecință, acest atac sau exploatare este cunoscut sub numele de atac de zi zero sau exploatare de zi zero, deoarece ambele utilizează o vulnerabilitate de zi zero.

Ce este o vulnerabilitate software? O eroare sau o vulnerabilitate este un defect al unui software sau al unui sistem de operare. Cauza principală a unei erori sau erori poate fi o eroare de dezvoltare sau o configurație necorespunzătoare. În ambele cazuri, o vulnerabilitate – dacă nu este adresată sau necorespunzătoare – creează o gaură de securitate, care poate fi folosită de infractorii cibernetici.

Cum este exploatată o vulnerabilitate? „Hackerii scriu cod pentru a viza o anumită slăbiciune de securitate. Îl împachetează într-un malware denumit exploatare zero-day. Software-ul rău intenționat profită de o vulnerabilitate pentru a compromite un sistem informatic sau pentru a provoca un comportament neintenționat ”, potrivit Norton – un expert în securitate.

Un exploit poate compromite sistemul dvs. cu scopul de a-l controla, de a vă bloca din acesta, de a vă spiona activitățile digitale, de a vă fura sau bloca datele pentru răscumpărare etc. liste de discuții sau combinate cu alte tipuri de atacuri pentru a lansa un atac mai sofisticat – cum a fost cazul atacului asupra Coinbase.

Cum a fost atacat Coinbase?

Atacul a folosit un amestec de strategii – spear phishing și inginerie socială combinate cu două vulnerabilități de zi zero. În sfârșitul lunii mai, atacatorii au trimis mai multe e-mailuri de phishing de la Gregory Harris, un administrator de granturi de cercetare la Universitatea din Cambridge. Aceste e-mailuri nu conțineau atașamente sau linkuri și au trecut toate testele de securitate. Astfel, păreau legitimi destinatarilor.

In orice caz; „Pe 17 iunie la 6:31 dimineața, Gregory Harris a trimis un alt e-mail, dar acesta era diferit. Acesta conținea o adresă URL care, atunci când a fost deschisă în Firefox, ar instala malware care poate prelua aparatul cuiva. Coinbase Security a descoperit rapid că aceste e-mailuri nu erau altceva decât obișnuite … În câteva ore, Coinbase Security a detectat și a blocat atacul ”, a scris Coinbase.

Atacatorii au înlănțuit două vulnerabilități de zero zile pentru acest atac. Primul a permis unui atacator să adune privilegii dintr-o pagină în browser prin JavaScript (CVE-2019–11707). Cealaltă a permis atacatorului să compromită sandbox-ul browserului pentru a rula codul pe computerul gazdă (CVE-2019–11708). După cum s-a spus mai sus, aceste vulnerabilități de zero zile vizau Mozilla Firefox.

Cum a apărat-o Coinbase?

Coinbase se aștepta la un atac; era gata cu o strategie de detectare și răspuns a atacurilor. De aceea a reușit să împiedice încercarea de atac. „Am putut să ne apărăm de acest atac datorită culturii noastre de securitate de la Coinbase, implementării complete a instrumentelor noastre de detectare și răspuns, cărților de joc clare și bine practicate și capacității de a revoca rapid accesul”, potrivit Coinbase.

În primul rând, Coinbase oferă instruire în materie de securitate angajaților săi. Atacul a fost observat și raportat pentru prima dată de unul dintre angajați. De asemenea, a fost marcat de sistemul lor de detectare a atacurilor. Apoi, echipa lor de securitate a examinat aparatul angajatului în cauză. Au descoperit că Mozilla Firefox s-a dus la curl – un instrument popular pentru transferul de date prin diferite protocoale, inclusiv HTTP.

Acest lucru a fost suficient de suspect pentru ca ei să înțeleagă că privesc un atac. Au încercat să găsească scopul atacului, apoi și-au investigat rețelele pentru activități suspecte. Apoi, în cele din urmă, au izolat atacul asupra mașinii compromise, revocând toate acreditările și blocând toate conturile angajatului în cauză. Așa au reușit să rețină atacul.

Cum să preveniți exploatările Zero-Day?

Există diferite tipuri de tehnici de apărare pentru a detecta și apăra împotriva exploatărilor de la zero zile. „Comunitatea cercetătorilor a clasificat, în linii mari, tehnicile de apărare împotriva exploatărilor de la zero zile ca fiind tehnici statistice, bazate pe semnături, bazate pe comportament și hibride (Kaur & Singh, 2014). Scopul principal al fiecăreia dintre aceste tehnici este acela de a identifica exploatarea în timp real sau cât mai aproape de timp real și a pune în carantină atacul specific pentru a elimina sau minimiza daunele cauzate de atac ”, potrivit o carte albă a Institutului SANS.

Cu toate acestea, nu este nevoie să aplicați toate aceste tehnici de apărare, dar trebuie să confirmați că soluția dvs. de securitate implementează aceste tehnici. Acestea fiind spuse, să discutăm măsurile esențiale pe care trebuie să le întreprindeți în organizația dvs..

1. Actualizați-vă sistemele

Deoarece exploatările de la zero zile se bazează pe vulnerabilități noi sau neperfectate, este mai bine să actualizați software-ul, precum și sistemul de operare în mod regulat. Dacă patch-ul este disponibil, atacatorii găsesc și vizează mașini cu software neperfectat.

A fost cazul Heartbleed – un bug critic în OpenSSL, o bibliotecă criptografică open-source care implementează SSL / TLS (metodologia de criptare utilizată pentru securizarea internetului). „Acum puțin peste două luni după Heartbleed, am scanat … am găsit 300k (309,197) încă vulnerabili”, a scris Securitate Errata.

2. Căutați vulnerabilități

Nu este suficient doar să actualizați sistemele; trebuie să faceți scanări de vulnerabilitate, deoarece acestea pot identifica vulnerabilități de zi zero. Astfel de soluții simulează atacuri și efectuează recenzii de cod pe software-ul în cauză (să zicem, după o actualizare) pentru a găsi noi vulnerabilități. Dacă se constată o vulnerabilitate, echipa de securitate trebuie să efectueze revizuiri de coduri, să testeze software-ul și să igienizeze rapid codul vulnerabil.

În majoritatea cazurilor, organizațiile răspund lent la astfel de rapoarte de securitate, iar acest lucru are ca rezultat un atac de succes. De ce? Atacatorii sunt în cea mai mare parte rapide pentru a exploata o vulnerabilitate de zero zile, așa cum a fost cazul atacului asupra Coinbase. A fost și cazul Equifax – un birou de credit din SUA. Echipa de securitate de la Equifax a încetinit cu două luni o eroare în Apache Struts, ceea ce a dus la o încălcare a datelor a celor 147 de milioane de clienți, inclusiv a datelor personale.

3. Alegeți un firewall pentru aplicații

Web Application Firewall (WAF) este un firewall specializat care acționează ca un scut între software-ul dvs. și rețeaua de actori rău intenționați. Monitorizează traficul care vine în aplicația dvs. pentru a detecta și bloca traficul rău intenționat.

Un WAF protejează împotriva celor mai critice riscuri și vulnerabilități de securitate, inclusiv vulnerabilități de zi zero. De obicei, implementează unele funcții de detectare și validare a atacurilor care ajută la filtrarea atacurilor. Apoi, se poate integra și cu alte soluții de securitate pentru a oferi o soluție umbrelă.

Este vorba despre vulnerabilitățile de zi zero și despre modul în care vă puteți apăra împotriva exploatărilor de la ziua zero.