“Lỗ hổng zero-day” là gì?

Lỗ hổng zero-day là một cuộc tấn công mạng nhắm vào một lỗ hổng phần mềm chưa được biết đến bởi nhà cung cấp phần mềm hoặc phần mềm chống virus được giao nhiệm vụ bảo vệ hệ thống. Kẻ tấn công có thể xác định được những lỗ hổng zero-day đó, thiết kế một phương thức khai thác và sử dụng nó để tiến hành cuộc tấn công. Cuộc tấn công zero-day có khả năng xâm nhập vào mạng mục tiêu với tỷ lệ cao do không có bất kỳ phòng thủ nào chống lại mối đe dọa mới này (vì đã “qua đi” một số ngày kể từ khi các bên an ninh phát hiện ra lỗ hổng).

Điều này biến cuộc tấn công zero-day trở thành mối đe dọa bảo mật đáng kể.

Thường thì cuộc tấn công zero-day phụ thuộc vào trình duyệt web và tệp đính kèm email để khai thác những lỗ hổng trong ứng dụng cụ thể mở tệp đính kèm hoặc trong các loại tệp cụ thể như Word, PDF, Excel, Flash, v.v. Khi phần malware zero-day nhập vào hệ thống, nó có thể lan truyền nhanh chóng trên tất cả các khu vực mục tiêu.

Lỗ hổng zero-day có nhiều hình thái khác nhau. Kẻ tấn công có thể tận dụng các thuật toán bị hỏng, bảo mật mật khẩu kém, tường lửa ứng dụng web lỗi, thiếu quyền xác thực, các thành phần mã nguồn mở không được bảo vệ và nhiều hơn nữa để tiến hành cuộc tấn công SQL injection. Nếu cuộc tấn công thành công, nó có thể gây nguy hiểm cho nhiều phần mềm trên mạng mục tiêu, đánh cắp thông tin nhạy cảm, yêu cầu tiền chuộc lớn để giữ lại dữ liệu, cố gắng trộm danh tính, làm hỏng hệ điều hành của công ty và nhiều hơn nữa.

Các mục tiêu thông thường của lỗ hổng zero-day

Lỗ hổng zero-day có giá trị đối với nhiều bên. Đó là lý do tại sao có một thị trường tồn tại, trong đó các tổ chức thuê các nhà nghiên cứu để khám phá các lỗ hổng. Ngoài thị trường “trắng”, còn tồn tại các thị trường “đen” và “xám”, nơi các kẻ tấn công có thể trao đổi thông tin về lỗ hổng zero-day mà không công khai.

Các mục tiêu thông thường của lỗ hổng zero-day là các tổ chức lớn, cơ quan chính phủ, cá nhân có quyền truy cập vào các tệp quan trọng (như sở hữu trí tuệ), thiết bị phần cứng, internet of things (IoT), firmware, người dùng gia đình sử dụng một hệ thống dễ bị tấn công (nếu bị nhiễm, họ có thể trở thành một phần của mạng bot), và nhiều hơn nữa. Đôi khi, các cơ quan chính phủ sử dụng lỗ hổng zero-day để tấn công các quốc gia, tổ chức hoặc cá nhân đe dọa an ninh quốc gia.

Lỗ hổng zero-day là gì?

Thường thì khi một cá nhân (hoặc một nhóm an ninh) phát hiện phần mềm mang theo các lỗ hổng bảo mật tiềm năng, họ sẽ thông báo cho nhà cung cấp phần mềm để phát hành một bản vá để khắc phục lỗ hổng.

Với đủ thời gian, nhà phát triển phần mềm có thể sửa lỗi và phân phối các bản vá (hoặc cập nhật phần mềm) để tất cả người dùng phần mềm có thể áp dụng chúng càng sớm càng tốt. Nếu các kẻ tấn công biết về lỗ hổng, việc thiết kế một phương thức khai thác và tiến hành cuộc tấn công có thể mất một thời gian. Trong khi đó, hy vọng rằng bản vá đã sẵn có và được triển khai.

Cách hoạt động của cuộc tấn công zero-day

Các hacker có thể là những người đầu tiên phát hiện ra một điểm yếu trong một chương trình phần mềm. Vì các nhà cung cấp và đội an ninh chưa biết về lỗ hổng này, họ thực tế không có thời gian để xây dựng phòng thủ chống lại cuộc tấn công nhắm mục tiêu. Các công ty dễ bị tấn công zero-day có thể khởi động các thủ tục phát hiện sớm để bảo vệ mạng của mình.

Các nhà nghiên cứu bảo mật tận tụy thường cố gắng hợp tác với các nhà cung cấp phần mềm và thường đồng ý không tiết lộ chi tiết về lỗ hổng zero-day trong một khoảng thời gian kéo dài trước khi công bố chúng.

Khi một lỗ hổng zero-day được công khai, nó được gọi là một “lỗ hổng n-day” hoặc “lỗ hổng one-day”.

Ví dụ về các cuộc tấn công zero-day

Dưới đây là một số ví dụ về các cuộc tấn công zero-day trong những năm gần đây.

  • Stuxnet

Một loại sâu máy tính độc hại nhắm vào các lỗ hổng zero-day trên các hệ thống giám sát và thu thập dữ liệu (SCADA) bằng cách xâm nhập vào hệ điều hành Windows. Stuxnet khai thác bốn lỗ hổng zero-day trên Windows để lây lan qua các ổ đĩa USB bị nhiễm. Nhờ vậy, con sâu này lây nhiễm cả hệ thống Windows và hệ thống SCADA mà không tiến hành cuộc tấn công mạng.

Stuxnet tấn công các máy tính được sử dụng để quản lý sản xuất ở Iran, Ấn Độ và Indonesia. Được cho là mục tiêu chính là các nhà máy làm giàu uranium của Iran. Mục tiêu là gây gián đoạn cho chương trình hạt nhân của quốc gia này. Sau khi bị nhiễm, các bộ điều khiển logic có thể lập trình (PLC) trên các máy tính bị tấn công thực hiện các lệnh không mong muốn trên các thiết bị dây chuyền sản xuất, gây ra sự cố trong các máy ly tâm được sử dụng để sản xuất vật liệu hạt nhân.

  • Cuộc tấn công zero-day vào Sony

Vào cuối năm 2014, Sony Pictures trở thành nạn nhân của một cuộc tấn công zero-day. Cuộc tấn công ảnh hưởng đến mạng của Sony, dẫn đến việc xâm nhập dữ liệu doanh nghiệp trên các trang web chia sẻ tệp.

Thông tin bị rò rỉ bao gồm chi tiết về các bộ phim sắp tới, chiến lược kinh doanh và địa chỉ email cá nhân của các giám đốc cấp cao trong Sony.

  • Cuộc tấn công zero-day vào Adobe Flash Player

Năm 2016, một cuộc tấn công zero-day khai thác một lỗ hổng trước đây chưa được phát hiện (CVE-2016-4117) trong Adobe Flash Player. Hơn nữa, năm 2016, hơn 100 tổ chức cũng bị ảnh hưởng bởi một cuộc tấn công zero-day (CVE-2016-0167) cho phép tấn công gia tăng đặc quyền nhắm vào Microsoft Windows.

Năm 2011, các tác nhân độc hại sử dụng một lỗ hổng chưa được vá trong Adobe Flash Player để xâm nhập vào mạng của công ty bảo mật RSA. Các tác nhân đe dọa đã gửi các tập tin đính kèm email bằng Excel cho một số nhân viên của RSA. Các tài liệu Excel chứa một tệp Flash nhúng để khai thác lỗ hổng zero-day.

Khi mở một trong những tệp đính kèm bị nhiễm, một nhân viên không biết đã cho phép cài đặt công cụ quản lý từ xa Poison Ivy, giúp chiếm quyền kiểm soát máy tính bị nhiễm. Sau khi xâm nhập vào mạng RSA, các hacker đã tìm kiếm, sao chép và truyền thông tin nhạy cảm tới các máy chủ bên ngoài dưới sự kiểm soát của họ.

Sau đó, RSA thừa nhận rằng trong số dữ liệu bị đánh cắp có thông tin nhạy cảm liên quan đến các công cụ xác thực hai yếu tố SecurID của công ty được sử dụng trên toàn cầu để bảo vệ khối lượng công việc và thiết bị quan trọng.

  • Cuộc tấn công zero-day vào Microsoft Office

Năm 2017, một lỗ hổng zero-day đã tiết lộ rằng tài liệu Microsoft Office trong định dạng “rich text format” có thể cho phép thực thi một tập lệnh visual basic chứa các lệnh PowerShell khi mở tài liệu. (CVE-2017-0199)

Một cuộc tấn công zero-day khác từ năm 2017 (CVE-2017-0261) sử dụng PostScript được đóng gói để tạo một nền tảng để khởi động nhiễm malware.

  • Operation Aurora

Năm 2009, một cuộc tấn công zero-day nhắm vào một số doanh nghiệp lớn – Google, Yahoo, Adobe Systems và Dow Chemical – để tìm và đánh cắp tài sản trí tuệ (IP). Lỗ hổng zero-day tồn tại trong Internet Explorer và Perforce (Google sử dụng Perforce để quản lý mã nguồn của mình).

Làm thế nào để phát hiện một cuộc tấn công zero-day

Phát hiện một cuộc tấn công zero-day là một thử thách. Phần mềm diệt virus, hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) không thể xác định chính xác chữ ký của mối đe dọa vì chưa có sẵn.

Cách tốt nhất để phát hiện các mối đe dọa zero-day là thông qua phân tích hành vi người dùng. Hầu hết các đối tượng được ủy quyền tương tác với mạng của bạn thường thể hiện các mẫu sử dụng và hành vi cụ thể – được coi là “hành vi bình thường”. Các hoạt động mạng nằm ngoài phạm vi bình thường có thể cho thấy một mối đe dọa zero-day.

Các công ty bị tấn công bởi một lỗ hổng zero-day thường phát hiện lưu lượng không mong đợi hoặc các nỗ lực quét định kỳ đáng ngờ từ một dịch vụ hoặc một khách hàng. Ngoài phân tích hành vi, tổ chức cũng có thể phát hiện mối đe dọa zero-day thông qua các phương pháp sau:

  • Cơ sở dữ liệu phần mềm độc hại hiện có và thống kê hành vi phần mềm độc hại để tham khảo. Tuy nhiên, ngay cả khi cơ sở dữ liệu này được cập nhật theo thời gian thực, các cuộc tấn công zero-day tận dụng các lỗ hổng mới được phát hiện bởi các kẻ tấn công. Vì vậy, theo định nghĩa, một cơ sở dữ liệu hiện có có giới hạn khi phát hiện các mối đe dọa chưa biết đến.

  • Học máy đang được sử dụng ngày càng nhiều để phát hiện thông tin tấn công đã được ghi lại trước đó để xây dựng một cơ sở cho hành vi hệ thống an toàn dựa trên dữ liệu tương tác hệ thống trong quá khứ và hiện tại. Khi tổ chức thu thập được nhiều dữ liệu hơn, phương pháp này có thể phát hiện các mối đe dọa zero-day một cách đáng tin cậy hơn.

Vì khai thác các lỗ hổng là một lĩnh vực luôn thay đổi, một phương pháp phát hiện kết hợp được khuyến nghị để bảo vệ các tổ chức và dữ liệu kinh doanh quý giá của họ.

Làm thế nào để bảo vệ khỏi các lỗ hổng zero-day

Vì các cuộc tấn công zero-day rất khó phát hiện, việc bảo vệ chống lại chúng là một thách thức. Công cụ quét lỗ hổng phần mềm dựa vào trình kiểm tra chữ ký phần mềm độc hại để so sánh mã đáng ngờ với các chữ ký phần mềm độc hại đã biết. Khi một cuộc tấn công zero-day sử dụng một lỗ hổng zero-day chưa từng gặp trước đó, việc quét lỗ hổng sẽ không phát hiện và chặn mã độc hại.

Vì các cuộc tấn công zero-day khai thác một lỗ hổng bảo mật chưa biết đến, các công ty không thể biết được cuộc tấn công cụ thể trước khi nó xảy ra. Tuy nhiên, vẫn có một số phương pháp để giảm thiểu rủi ro và bảo vệ các công ty chống lại các mối đe dọa mới.

Sử dụng VLAN

Mạng cục bộ ảo (VLAN) có thể phân tách các khu vực mạng cụ thể hoặc sử dụng các đoạn mạng vật lý hoặc ảo để cô lập lưu lượng quan trọng giữa các máy chủ của công ty.

Nhờ điều này, ngay cả khi kẻ tấn công xâm nhập vào hệ thống của công ty và có quyền truy cập vào mạng, họ sẽ không thể đánh cắp dữ liệu từ các khu vực mạng quan trọng đối với hoạt động kinh doanh.

Cập nhật tất cả các hệ thống

Quản lý vá lỗi đúng mức là rất quan trọng đối với các tổ chức với mọi quy mô.

Các nhà phát triển phần mềm sẽ phát hành các bản vá bảo mật ngay khi họ nhận thấy một mối đe dọa khai thác tiềm năng. Áp dụng các bản vá zero-day và n-day càng sớm càng tốt sẽ không khắc phục được các lỗ hổng phần mềm chưa biết đến, nhưng sẽ làm cho cuộc tấn công zero-day khó thành công hơn.

Triển khai mã hóa lưu lượng mạng

Không thể phát hiện tất cả các lỗ hổng bảo mật trước khi một cuộc tấn công zero-day xảy ra. Tuy nhiên, các công ty có thể sử dụng giao thức bảo mật IP (IPsec) để kích hoạt mã hóa và xác thực cho lưu lượng mạng quan trọng.

Mặt khác, việc thiếu mã hóa dữ liệu có thể làm cho tất cả thông tin trên mạng của công ty trở nên dễ bị tấn công, gây ra thời gian ngừng hoạt động kéo dài và ảnh hưởng nghiêm trọng đến doanh thu.

Triển khai IPS hoặc IDS

Các hệ thống IPS và IDS dựa trên chữ ký có thể không thể phát hiện và chống lại một cuộc tấn công một mình. Tuy nhiên, chúng có thể thông báo cho đội an ninh về các tệp tin đáng ngờ đến như là một tác dụng phụ của một cuộc tấn côngđang diễn ra.

Triển khai NAC

Các máy rogue có thể truy cập vào các khu vực quan trọng của môi trường công ty và đe dọa các thiết bị trên toàn mạng. Kiểm soát truy cập mạng (NAC) từ chối truy cập không được ủy quyền, chỉ cho phép những người được ủy quyền thăm dò các khu vực đó.

Thực hiện kiểm tra định kỳ và đào tạo nhân viên

Việc kiểm tra lỗ hổng định kỳ trên tất cả các mạng doanh nghiệp là quan trọng để phát hiện lỗ hổng và khóa chúng trước khi kẻ tấn công có thể khai thác.

Hơn nữa, nhiều cuộc tấn công zero-day dựa trên lỗi của con người. Đào tạo nhân viên về vệ sinh an ninh mạng tốt sẽ giữ cho họ an toàn trực tuyến và ngăn chặn sự khởi chạy ngẫu nhiên của cuộc tấn công zero-day và các mối đe dọa độc hại khác.

Sử dụng một giải pháp an ninh toàn diện

Phần mềm bảo mật chuyên dụng như Acronis Cyber Protect có thể phát hiện, ngăn chặn và chặn hoạt động độc hại và nhanh chóng khôi phục lại bất kỳ tệp tin bị ảnh hưởng nào. Hơn nữa, bạn có thể sử dụng Acronis Backup 12.5 để bảo vệ các tệp tin và tài liệu trong thời gian thực, tự động vá lỗi phần mềm quan trọng và tạo ra nhiều bản sao lưu hệ thống hoàn chỉnh để đảm bảo khôi phục đầy đủ ngay cả khi có một cuộc tấn công zero-day xảy ra.

Post Tags :
Prev Post

Next Post

Leave a Reply

Your email address will not be published. Required fields are marked *