Nous avons récemment appris comment Vouloir pleurer, une ransomware qui a touché des milliers d'utilisateurs et des centaines d'entreprises, a mis en alerte tous les niveaux d'administration informatique dans le monde grâce à sa propagation rapide et ses nombreuses menaces latentes.
Et c'est tout comme Wannacry s'est propagé et a affecté les données de nombreuses personnes exigeant le paiement de leur "porter secours« Il est important que nous sachions que ce type de virus n'est pas le seul qui affecte toute la sécurité et la confidentialité des utilisateurs et c'est pourquoi Solvetic s'efforce d'analyser ces menaces et d'informer comment les connaître et prendre des mesures pour les éviter.
Se protéger contre les menaces de ce type est important lorsque nous voulons et avons besoin que nos informations soient en sécurité. La première chose à savoir est de savoir quels sont ces virus et ces attaques, puis de quels outils nous disposons pour y faire face.
C'est pourquoi aujourd'hui nous allons parler en détail d'une nouvelle menace appelée Zéro jour (Jour zéro).
Qu'est-ce que Zero DaysBien que Zero Days n'ait techniquement pas le même impact que Wannacry en termes de confidentialité et d'économie, il peut affecter de manière significative les performances et plusieurs paramètres et données utilisateur et, contrairement à Wannacry qui attaque les systèmes d'exploitation Windows, cela peut affecter Windows, Linux ou Mac OS.
Zero Day fait partie d'un "groupe" d'attaques appelé Zero-Day Threats et consiste essentiellement à attaquer une vulnérabilité, fréquente, du système d'exploitation qui n'a pas encore été détaillée par l'entreprise ou le développeur et cela peut affecter les données, les applications , réseau ou matériel du système d'exploitation.
Le terme Zéro jour ou Zéro jour indique que les développeurs du système n'ont aucun jour, rien, pour résoudre le problème et que chaque minute passée à chercher une solution, ce virus peut endommager plusieurs utilisateurs dans le monde.
Ce type d'attaque est aussi appelé Zero Days Exploit et il peut prendre plusieurs formes telles que les logiciels malveillants, les vers, les chevaux de Troie, entre autres types de menaces et les attaquants profitent de ces vulnérabilités de sécurité pour lancer leur attaque massive.
Malheureusement avec cette nouvelle attaque la vulnérabilité est exploitée et exploitée par l'attaquant avant qu'il n'y ait un patch pour la corriger.
1. Comment fonctionne le virus Zero Days
Nous avons mentionné que ces virus profitent des failles de sécurité pour lancer leur attaque, mais il existe plusieurs manières d'y parvenir et elles sont essentiellement les suivantes :
Utiliser des codes d'exploit reprenant les vulnérabilités trouvées et implantant ainsi des virus ou malwares sur l'ordinateur cible.
Utilisation de moyens tels que les e-mails ou les réseaux sociaux pour que les utilisateurs ayant peu de connaissances accèdent aux sites Web créés par les attaquants et de cette manière, le code malveillant sera téléchargé et exécuté sur l'ordinateur de la victime.
Les étapes impliquées dans une attaque Zero Days sont les suivantes :
Analyse de vulnérabilitéDans cette étape, les attaquants utilisent des codes pour effectuer une analyse détaillée à la recherche de failles de sécurité dans les systèmes et dans des cas particuliers, les Zero Days Exploit sont vendus ou achetés par les attaquants.
Bugs trouvésÀ ce stade, les attaquants trouvent une faille de sécurité qui n'a pas encore été découverte par les développeurs du système.
Création de codesUne fois la vulnérabilité découverte, les attaquants procèdent à la création du code d'exploitation ou Zero Days Exploit.
Infiltration du systèmeLes attaquants accèdent au système sans être détectés par les développeurs.
Exécution du virus Zero DayUne fois que les attaquants auront accès au système, ils pourront héberger le virus développé pour affecter ses performances sur l'ordinateur.
C'est essentiellement la façon dont fonctionne Zero Days et le pire de tout, c'est que plusieurs fois vulnérabilités ils sont découverts par les attaquants et non par les développeurs. À ce stade, ils ont donc un avantage car ces failles peuvent être vendues à d'autres attaquants à des fins malveillantes.
En plus de cette phase, l'attaque du virus Zero Days a une fenêtre temporelle dans laquelle elle peut causer des ravages et des pannes dans des centaines ou des milliers d'ordinateurs et d'utilisateurs, puisque cette fenêtre temporelle se situe dans la période au cours de laquelle une menace a été publiée et la période dans lequel les correctifs de sécurité sont publiés. Cette période comprend :
- Moment de la parution du attaque aux utilisateurs.
- Détection et Analyse détaillée de vulnérabilité.
- Développement d'un correction pour échec.
- Publication officielle de pièce de sécurité.
- Publication, distribution et installation du correctif sur les ordinateurs concernés.
Cela peut prendre des minutes, des heures ou des jours pendant lesquels l'attaque se propagera en profitant de ce temps.
2. Types d'attaques Zero Day
Il existe certains types d'attaques que nous pouvons connaître pour prendre plus tard les mesures de sécurité nécessaires, certaines de ces attaques sont :
Logiciel malveillant Zero DayCette attaque fait référence au code malveillant créé par l'attaquant afin de trouver les vulnérabilités qui n'ont pas encore été trouvées. Cette attaque peut se propager de plusieurs manières, notamment les pièces jointes, le spam, le piratage, les sites Web frauduleux, etc.
Cheval de Troie Zero DaysBien qu'ils ne soient pas si courants, ils permettent à beaucoup d'autres d'être hébergés dans un virus et de cette manière, le système cible peut être attaqué et affecté.
Ver Zéro JoursCe type d'attaque a la capacité de supprimer des fichiers, de voler des mots de passe, de se propager sur le réseau, et ce type d'attaque n'a pas encore été identifié par les développeurs de sécurité, d'où le nom zéro jours.
3. Comment repérer une attaque Zero Days
Il existe plusieurs techniques qui permettent de détecter une attaque Zero Days à temps pour prendre les mesures de sécurité nécessaires, ces techniques incluent :
Techniques basées sur la signatureCe type de détection dépend des signatures des exploits connus.
Techniques de statistiqueCe type de technique est basé sur des profils d'attaques qui se sont produites au cours des périodes précédentes et vous permet de voir une tendance.
Technique basée sur le comportementCe type de technique repose sur l'analyse de l'action entre l'exploit et la cible.
Technique hybrideAvec ce type de technique, nous pouvons utiliser différentes méthodes d'analyse.
4. Statistiques de zéro jour
Ci-dessous, nous avons les statistiques suivantes qui montrent comment Zero Days a progressivement augmenté sa portée et son niveau de risque pour les utilisateurs, certaines données pertinentes sont :
- 35% des malwares dans le monde sont Zero Days.
- L'une des principales attaques de Zero Days passe par JavaScript.
- 73% des attaques via des sites Web sont effectuées à l'aide de téléchargements de pilotes.
- La plupart des attaques de chevaux de Troie Zero Days sont effectuées dans des environnements Linux.
- Il existe plus de 18,4 millions de variétés de logiciels malveillants Zero Days.
- Les logiciels malveillants basés sur des macros gagnent du terrain.
- La principale attaque réseau appelée Wscript.shell visait à attaquer l'Allemagne.
Nous avons indiqué qu'à plusieurs reprises les exploits Zero Days peuvent être vendus soit à d'autres attaquants soit à des entreprises afin de ne pas divulguer la vulnérabilité et perdre en crédibilité, eh bien, c'est une liste générée par Forbes où l'on voit le prix qu'un exploit Zero Days peut avoir sur le marché :
- Mac OS X: Entre 20 000 $ et 50 000 $.
- Adobe Reader : Entre 5 000 $ et 30 000 $.
- Android: Entre 30 000 $ et 60 000 $.
- Flash ou Java : Entre 40 000 $ et 100 000 $.
- Les fenêtres: Entre 60 000 $ et 120 000 $.
- IOS : Entre 100 000 $ et 250 000 $.
- Microsoft Word: Entre 50 000 $ et 100 000 $.
Nous pouvons voir comment les prix varient en fonction du niveau de sécurité de chaque application ou système d'exploitation.
5. Liste des vulnérabilités Zero Day
La société de sécurité Symantec, bien connue pour ses techniques de mise en œuvre contre divers types de menaces, a publié une liste avec les vulnérabilités Zero Days les plus pertinentes par catégories, nous attachons chaque lien pour en savoir un peu plus sur son fonctionnement :
Adobe Flash
- Vulnérabilité d'exécution de code à distance - CVE-2014-0502
- Opération Greedy Wonk (CVE-2014-0498))
- Opération Pawn Storm (CVE-2015-7645)
- Vulnérabilité de débordement de la mémoire tampon (CVE-2014-0515)
Apache
- Vulnérabilité dans l'exécution de code à distance et les attaques DoS (CVE-2014-0050, CVE-2014-0094)
Microsoft Word
- Vulnérabilité d'exécution de code à distance - CVE-2104-1761
les fenêtres
- Vulnérabilité dans les polices TrueType (CVE2014-4148)
- Vulnérabilité de stratégie de groupe à distance (CVE 2015-0008)
- Vulnérabilité d'exécution de package OLE (CVE 2014-4114)
6. Affaires avec des attaques Zero Day
Nous avons vu les chiffres qu'une vulnérabilité d'un système peut coûter, mais le fait est qu'il existe un marché basé sur Zero Days et peut être composé d'esprits criminels qui paient des sommes importantes pour obtenir les vulnérabilités ou les entités auxquelles ils paient. trouver les failles et éviter les attaques, il existe trois types de commerçants dans ce monde Zero Days :
Marché noirDites aux attaquants qu'ils échangent des codes d'exploitation ou Zero Days Exploit.
Marché blancDans ce type d'entreprise, les chercheurs détectent les défaillances et les vendent aux entreprises qui développent le système ou l'application.
marché grisSur ce marché, les vulnérabilités sont vendues à des entités gouvernementales, militaires ou de renseignement pour être utilisées comme mécanisme de surveillance.
7. Comment se protéger des Zero Days
Vient maintenant l'un des points les plus importants et c'est quelles mesures nous devons prendre en compte pour nous protéger des attaques Zero Days. Voici quelques conseils:
Désactiver Java des navigateursComme nous l'avons vu précédemment, Java est devenu l'un des canaux préférés des attaquants Zero Days pour implémenter divers types de virus sur les ordinateurs à l'aide de techniques telles que le DDoS.
Le conseil est de désactiver Java pour éviter ce type d'attaque et nous ne serons pas affectés puisque les sites modernes sont sur HTML5 et Java ne sera pas nécessaire.
Pour désactiver Java dans Safari allez dans le menu Safari / Préférences et dans l'onglet Sécurité on désactive la box Autoriser JavaScript
AGRANDIR
Dans les versions actuelles de Mozilla Firefox, l'utilisation de Java a été désactivée pour des raisons de sécurité :
AGRANDIR
Pour désactiver JavaScript dans Google Chrome allez dans le menu Personnaliser et contrôler Google Chrome, sélectionnez l'option Paramètres / Afficher les paramètres avancés, dans l'onglet Confidentialité, nous sélectionnons Paramètres de contenu et dans la fenêtre affichée nous localisons le champ JavaScript et activons la case N'autorisez aucun site à exécuter JavaScript.
Mettre à jour le système d'exploitationL'une des raisons pour lesquelles la propagation de Zero Days est due aux systèmes d'exploitation obsolètes, nous vous recommandons de les mettre à jour en permanence afin que tous les correctifs de sécurité soient appliqués. Dans les systèmes d'exploitation Windows, nous pouvons accéder à Configuration / Mise à jour et sécurité :
AGRANDIR
Dans les environnements Mac OS, nous serons avertis lorsqu'il y aura de nouvelles mises à jour via le Store et dans les environnements Linux, nous pouvons exécuter des commandes telles que sudo apt update.
Utiliser un logiciel de sécuritéIl est important qu'en plus des mises à jour du système d'exploitation et des applications respectives, nous utilisions un logiciel de sécurité pour aider à atténuer l'impact de Zero Days sur le système :
AGRANDIR
Certains des programmes que nous pouvons utiliser sont :
Évitez de télécharger des pièces jointes provenant d'expéditeurs inconnusL'un des moyens les plus utiles de propagation de Zero Days consiste à envoyer des e-mails de masse que les utilisateurs ouvrent et cliquent sur les liens respectifs sans savoir qu'ils visent des sites Web frauduleux où le malware sera ensuite installé.
L'un des moyens de camoufler ces e-mails consiste à utiliser de prétendues notifications judiciaires, des embargos, des messages de nos entités bancaires, entre autres :
AGRANDIR
Nous devons être prudents et vérifier les expéditeurs, appeler pour confirmer les notifications et ne jamais télécharger les pièces jointes de ce type de courrier ou cliquer sur les liens.
Utilisez toujours un mécanisme de pare-feuLes pare-feu nous aident à nous protéger des connexions inconnues sur le réseau, qui sont abondantes de manière significative. Avec un pare-feu, nous pouvons créer des règles qui définissent des paramètres sur certains programmes ou accès à notre ordinateur et nous augmenterons ainsi la sécurité de celui-ci.
AGRANDIR
Zéro jour C'est une menace quotidienne mais si nous sommes prudents, nous éviterons d'être l'un des canaux de propagation de celle-ci et, ce faisant, nous veillerons à ce que nos informations soient protégées et toujours disponibles. Dans la mesure du possible, nous recommandons à nos amis, notre famille ou nos collègues de maintenir leurs systèmes et applications à jour et surtout d'éviter d'ouvrir des e-mails suspects ou d'exécuter des fichiers peu fiables.