Las vulnerabilidades de día cero permiten a los actores de amenazas aprovechar los puntos ciegos de seguridad. Por lo general, un ataque de día cero implica la identificación de vulnerabilidades de día cero, la creación de exploits relevantes, la identificación de sistemas vulnerables y la planificación del ataque. Los siguientes pasos son la infiltración y el lanzamiento.
Este artículo examina tres ataques recientes de día cero, dirigidos a Microsoft, Internet Explorer y Sophos. Finalmente, aprenderá acerca de cuatro soluciones de protección y prevención de día cero: NGAV, EDR, IPsec y controles de acceso a la red.
¿Qué es una vulnerabilidad de día cero?
Las vulnerabilidades de día cero son amenazas críticas que aún no se divulgan públicamente o que solo se descubren como resultado de un ataque. Por definición, los vendedores y usuarios aún no conocen la vulnerabilidad. El término día cero proviene del momento en que se descubre la amenaza (día cero). A partir de este día, se produce una carrera entre los equipos de seguridad y los atacantes para corregir o explotar la amenaza primero.
Anatomía de un ataque de día cero
Un ataque de día cero ocurre cuando los delincuentes explotan una vulnerabilidad de día cero. La línea de tiempo de un ataque de día cero a menudo incluye los siguientes pasos.
- Identificación de vulnerabilidades : los delincuentes prueban el código abierto y las aplicaciones propietarias para detectar vulnerabilidades que aún no se han informado. Los atacantes también pueden recurrir a los mercados negros para comprar información sobre vulnerabilidades que aún no son públicas.
- Creación de exploits : los atacantes crean un kit, script o proceso que les permite explotar la vulnerabilidad descubierta.
- Identificación de sistemas vulnerables : una vez que hay un exploit disponible, los atacantes comienzan a buscar los sistemas afectados. Esto puede implicar el uso de escáneres automáticos, bots o sondeos manuales.
- Planificación del ataque : el tipo de ataque que un criminal quiere lograr determina este paso. Si se ataca un ataque, los atacantes generalmente realizan un reconocimiento para reducir sus posibilidades de ser capturados y aumentar las posibilidades de éxito. Para los ataques generales, es más probable que los delincuentes usen campañas de phishing o bots para tratar de alcanzar tantos objetivos lo más rápido posible.
- Infiltración y lanzamiento : si una vulnerabilidad requiere primero infiltrarse en un sistema, los atacantes trabajan para hacerlo antes de implementar el exploit. Sin embargo, si se puede explotar una vulnerabilidad para obtener acceso, la vulnerabilidad se aplica directamente.
Ejemplos recientes de ataques
La prevención efectiva de ataques de día cero es un desafío importante para cualquier equipo de seguridad. Estos ataques se producen sin previo aviso y pueden pasar por alto muchos sistemas de seguridad. Particularmente aquellos que dependen de métodos basados en firmas. Para ayudar a mejorar su seguridad y disminuir su riesgo, puede comenzar aprendiendo sobre los tipos de ataques que ocurrieron recientemente.
Microsoft
En marzo de 2020, Microsoft advirtió a los usuarios de ataques de día cero que explotaban dos vulnerabilidades separadas. Estas vulnerabilidades afectaron a todas las versiones compatibles de Windows y no se esperaba ningún parche hasta semanas después. Actualmente no hay un identificador CVE para esta vulnerabilidad.
Los ataques apuntaron a vulnerabilidades de ejecución remota de código (RCE) en la biblioteca Adobe Type Manager (ATM). Esta biblioteca está integrada en Windows para administrar las fuentes PostScript Tipo 1. Las fallas en los cajeros automáticos permitieron a los atacantes usar documentos maliciosos para ejecutar scripts de forma remota. Los documentos llegaron por correo no deseado o fueron descargados por usuarios desprevenidos. Cuando se abren o se previsualizan con el Explorador de archivos de Windows, los scripts se ejecutarán e infectarán los dispositivos de los usuarios.
explorador de Internet
Internet Explorer (IE), el navegador heredado de Microsoft, es otra fuente reciente de ataques de día cero. Esta vulnerabilidad ( CVE-2020-0674 ) ocurre debido a una falla en la forma en que el motor de secuencias de comandos de IE administra los objetos en la memoria. Afectó a IE v9-11.
Los atacantes pueden aprovechar esta vulnerabilidad engañando a los usuarios para que visiten un sitio web diseñado para explotar la falla. Esto se puede lograr mediante correos electrónicos de phishing o mediante la redirección de enlaces y solicitudes del servidor.
Sophos
En abril de 2020, se informaron ataques de día cero contra el firewall XG de Sophos. Estos ataques intentaron explotar una vulnerabilidad de inyección SQL ( CVE-2020-12271 ) dirigida al servidor de base de datos PostgreSQL incorporado del firewall.
Si se explota con éxito, esta vulnerabilidad permitiría a los atacantes inyectar código en la base de datos. Este código podría usarse para modificar la configuración del firewall, otorgar acceso a los sistemas o permitir la instalación de malware.
Protección y prevención
Para defenderse adecuadamente de los ataques de día cero, debe aplicar protecciones avanzadas sobre sus herramientas y estrategias existentes. A continuación se presentan algunas soluciones y prácticas diseñadas para ayudarlo a detectar y prevenir amenazas desconocidas.
Antivirus de última generación
El antivirus de próxima generación (NGAV) se expande sobre el antivirus tradicional. Lo hace mediante la inclusión de características para el aprendizaje automático, la detección de comportamiento y la mitigación de vulnerabilidades. Estas características permiten que NGAV detecte malware incluso cuando no se conoce ninguna firma o hash de archivo (en el que se basa el AV tradicional).
Además, estas soluciones suelen estar basadas en la nube, lo que le permite implementar herramientas de forma aislada y a escala. Esto ayuda a garantizar que todos sus dispositivos estén protegidos y que las protecciones permanezcan activas incluso si los dispositivos se ven afectados.
Detección de punto final y respuesta
Las soluciones de detección y respuesta de punto final (EDR) proporcionan visibilidad, monitoreo y protecciones automatizadas a sus puntos finales. Estas soluciones monitorean todo el tráfico de punto final y pueden usar inteligencia artificial para clasificar comportamientos sospechosos de punto final, como, por ejemplo, solicitudes frecuentes o conexiones de IP extranjeras. Estas capacidades le permiten bloquear amenazas independientemente del método de ataque.
Además, las funciones EDR se pueden usar para rastrear y monitorear usuarios o archivos. Mientras el aspecto rastreado se comporte dentro de las pautas normales, no se toman medidas. Sin embargo, tan pronto como el comportamiento se desvía, los equipos de seguridad pueden ser alertados.
Estas capacidades no requieren conocimiento de amenazas específicas. En cambio, las capacidades aprovechan la inteligencia de amenazas para hacer comparaciones generalizadas. Esto hace que EDR sea efectivo contra ataques de día cero.
Seguridad IP
La seguridad IP (IPsec) es un conjunto de protocolos estándar utilizados por los grupos de trabajo de ingeniería de Internet (IETF). Permite a los equipos aplicar medidas de autenticación de datos y verificar la integridad y la confidencialidad entre los puntos de conexión. También permite el cifrado y la gestión e intercambio seguro de claves.
Puede usar IPsec para autenticar y cifrar todo el tráfico de su red. Esto le permite asegurar las conexiones e identificar y responder rápidamente a cualquier tráfico sospechoso o que no sea de la red. Estas habilidades le permiten aumentar la dificultad de explotar vulnerabilidades de día cero y disminuir la posibilidad de que los ataques sean exitosos.
Implemente controles de acceso a la red
Los controles de acceso a la red le permiten segmentar sus redes de forma altamente granular. Esto le permite definir exactamente qué usuarios y dispositivos pueden acceder a sus activos y a través de qué medios. Esto incluye restringir el acceso solo a aquellos dispositivos y usuarios con los parches o herramientas de seguridad apropiados.
Los controles de acceso a la red pueden ayudarlo a garantizar que sus sistemas estén protegidos sin interferir con la productividad ni forzar la restricción completa del acceso externo. Por ejemplo, el tipo de acceso necesario cuando aloja software como servicio (SaaS).
Estos controles son beneficiosos para protegerse contra las amenazas de día cero porque le permiten evitar el movimiento lateral en sus redes. Esto aísla efectivamente cualquier daño que pueda causar una amenaza de día cero.
Mantenerse a salvo
Los recientes ataques de día cero muestran que cada vez más actores de amenazas encuentran una marca fácil en los usuarios finales. El ataque de día cero en Microsoft explotó las vulnerabilidades de los cajeros automáticos para engañar a los usuarios para que abrieran malware. Cuando los actores de amenazas explotaron una vulnerabilidad de día cero de Internet Explore, engañaron a los usuarios para que visitaran sitios maliciosos. El ataque de día cero contra Sophos podría potencialmente otorgar acceso de usuario a actores de amenazas.
Sin embargo, si bien los ataques de día cero son difíciles de predecir, es posible prevenirlos y bloquearlos. La seguridad EDR permite a las organizaciones ampliar la visibilidad en los puntos finales, y el antivirus de próxima generación brinda protección contra malware sin tener que depender de firmas conocidas. Los protocolos IPsec permiten a la organización autenticar y encriptar el tráfico de red, y los controles de acceso a la red proporcionan las herramientas para negar el acceso a actores maliciosos. No dejes que los actores de amenazas tengan la ventaja. Al utilizar y aplicar varias de estas herramientas y enfoques, puede proteger mejor a sus empleados, sus datos y su organización.