Ошибка нулевого дня

Мир уязвимостей

Просмотры 0

Здравствуйте, уважаемые Хабраюзеры. Предлагаю вашему вниманию мой вольный перевод довольно интересной статьи, опубликованной Pierluigi Paganini в Infosec Institute (конец 2012 г., однако она нисколько не потеряла своей актуальности и сегодня), посвященной состоянию дел в мире 0day и 1day уязвимостей. Статья не претендует на глубокий технический анализ или оценку этого рынка, а всего лишь делает «краткий» экскурс в этой области, но я думаю, она будет интересна многим. Прошу под кат.

Введение

Каждый день мы узнаем о кибератаках и утечках данных, которые во многих случаях имеют катастрофические последствия для частных компаний и правительства. Сегодня технологии играют важнейшую роль в нашей жизни и каждый программный компонент, который окружает нас, может быть уязвим и использован со злым умыслом. Конечно, влияние этих уязвимостей зависит от характера и масштаба уязвимого ПО. Некоторые приложения используются чаще и уязвимости в них могут подвергать пользователя серьёзному риску. Возможный ущерб от уязвимости зависит от множества факторов, таких как уровень распространения уязвимого приложения, предыдущие уязвимости и контекст в котором скомпрометированное приложение используется.

0day уязвимости

В огромном мире уязвимостей, 0day уязвимости это настоящий кошмар для специалистов по безопасности. После любой утечки информации об ошибках и уязвимостях становится невозможным предсказать, где и когда они будут использованы. Это качество делает их идеальным инструментом для разработки кибероружия и правительственных атак. Интерес в поиске неизвестных уязвимостей для распространённых приложений полностью изменил роль хакеров. В прошлом это были люди, которые держались подальше от государства, сегодня индустрия и даже разведывательные агентства запустили полномасштабную кампанию по вербовке кадров в этой сфере.
Прибыль же от уязвимостей может быть получена по разным каналам, начиная от разработчика скомпрометированного приложения, заканчивая правительственными организациями, заинтересованными в уязвимости для проведения кибератак против враждебных государств, уязвимость также может быть продана на чёрном рынке.
Вокруг этой концепции вырос целый рынок в рамках которого скорость любой транзакции является основополагающим фактором. Как только найдена новая ошибка, и существует возможность её эксплуатации, разработчик должен быстро определить потенциальных покупателей, связаться с ними, чтобы договориться о цене и завершить сделку.
Знаменитый эксперт по безопасности Чарли Миллер описал этот рынок в своей статье: “The Legitimate Vulnerability Market: The Secretive World of 0-Day Exploit Sales”, осветив несколько ключевых вопросов:

• Сложность поиска покупателя и продавца;
• Проверка надежности покупателя;
• Сложность демонстрации работоспособности 0day эксплойта без разглашения информации о нём;
• Обеспечение эксклюзивности прав.

Принципиальная проблема для хакера, которому нужно продать уязвимость, заключается в его ловкости сделать это без разглашения слишком большого объема информации о ней. Процесс продажи очень сложен, потому что покупатель хочет убедиться в эффективности эксплойта и теоретически может попросить демонстрацию его наличия. Единственный способ доказать достоверность информации это полностью раскрыть её или продемонстрировать её в каком — то другом виде. Очевидно, раскрытие информации до продажи нежелательно, так как исследователь подвергается риску потерять свою интеллектуальную собственность без компенсаций.
Чтобы удовлетворить эти потребности родились профессиональные брокеры по продаже 0day эксплойтов, которые обеспечивают анонимность каждой из сторон в обмен на комиссию и проводят сделки между покупателями и продавцами.
Третья сторона гарантирует корректную оплату продавцу и конфиденциальность информации об уязвимости. Со стороны покупателя они проверяют информацию, предоставляемую продавцом. Доверенная третья сторона играет важную роль в этих сделках, так как этот рынок крайне нестабильный и характеризуется быстрой динамикой. Одна из наиболее известных фигур на этом рынке Grugq, также в качестве посредников могут выступать и небольшие компании, такие как: Vupen, Netragard, а также оборонный подрядчик Northrop Grumman.
Основатель Netragard Адриэль Дезатоля рассказал журналу Forbes, что он работает на рынке продажи эксплойтов в течение 10 лет, и он наблюдал быстрое изменение рынка, который буквально «взорвался» всего лишь в прошлом году (2011 – прим. переводчика). Адриель говорит, что сейчас есть много покупателей с большими деньгами и что время покупки снизилось с месяца до недель и что он приближается к продаже 12 – 14 0day эксплойтов каждый месяц в сравнении с 4-6 несколькими годами ранее.

Контрмеры и значение быстрого реагирования

Жизненный цикл 0day уязвимости состоит из следующих фаз:

• Уязвимость анонсирована;
• Эксплойт выпущен в открытый доступ;
• Уязвимость обнаружена разработчиком;
• Уязвимость раскрыта публично;
• Обновлены антивирусные сигнатуры;
• Выпущен патч;
• Развертывание патча завершено.

Рисунок 1. Жизненный цикл 0day уязвимости

Факт обнаружения уязвимости нулевого дня требует срочного реагирования. Период между эксплуатацией уязвимости и выпуском патча является решающим фактором для управления безопасностью программного обеспечения. Исследователи Лейла Бильге и Тудор Думитраш из Symanter Research Lab представили своё исследование под названием: “Before We Knew It … An Empirical Study of Zero-Day Attacks In The Real World“ в котором они объяснили, как знание такого типа уязвимостей даёт возможность правительству, хакерам или киберпреступникам взламывать любую цель, оставаясь при этом незамеченными. Исследование показало, что типичная 0day атака имеет среднюю продолжительность в 312 дней и как показано на рисунке 2, публикация информации об эксплойте в свободном доступе повышает число атак в 5 раз.

Рисунок 2 Число атак в зависимости от времени публикации 0day.

Публикация уязвимости порождает серию кибератак, в рамках которых злоумышленники пытаются извлечь выгоду из знания о ней и задержки в выпуске патча. Эти противоправные действия не имеют конкретного происхождения, что делает их сложными для предотвращения. Группы киберпреступников, хактивисты и кибертеррористы могут воспользоваться уязвимостью в различных секторах экономики, и ущерб от их деятельности зависит от контекста, в рамках которого они действуют. Убеждение в том, что уязвимости нулевого дня редко встречаются ошибочно, они встречаются так же, с одним лишь фундаментальным отличием в том, что информация о них не публикуется. Исследования выявили тревожную тенденцию: 60% ошибок идентифицируются как неизвестные и данные подтверждают, что существует гораздо больше 0day уязвимостей, чем прогнозировалось, плюс среднее время жизненного цикла 0day уязвимости может быть недооценено.
Один из самых обсуждаемых вопросов, как реагировать на публикацию 0day уязвимости. Многие эксперты убеждены, что необходимо немедленно раскрывать информацию о ней при этом, забывая, что это обычно является основной причиной для эскалации кибератак, эксплуатирующих эту ошибку. Вторая точка зрения предполагает хранить информацию об уязвимости в секрете, сообщая только компании, которая разработала скомпрометированное приложение. В этом случае, существует возможность контролировать всплеск атак после разглашения информации об уязвимости. Однако существует риск, что компания не сможет справиться с этим и выпустит подходящий патч для ошибки лишь через несколько месяцев после случившегося.

Не только 0day

Многие специалисты считают, что настоящим кошмаром для информационной безопасности являются 0day уязвимости и ошибки, которые невозможно предсказать и которые подвергают инфраструктурные объекты таким угрозам, которые трудно обнаружить и которые могут привести к серьезным последствиям. Несмотря на страх перед атаками нулевого дня, инфраструктурным объектам ежедневно угрожает огромное количество известных уязвимостей, для которых соответствующие контрмеры не применяются и это является общепризнанным фактом.
Несоблюдение лучших практик патч-менеджмента является основной причиной существующих проблем для частных компаний и правительства. В некоторых случаях процессы патч-менеджмента протекают крайне медленно, и окно реагирования на киберугрозы является чрезвычайно большим.

Рисунок 3 – Окно реагирования

От обнаружения к миллионному рынку

Как создать утилиту для эксплуатации уязвимости после её анонса? Процедура проста в сравнении с поиском 0day уязвимостей. После выпуска патча, исследователи и преступники могут определить конкретную уязвимость, используя методику двоичного сравнения (binary diffing technique). Термин «двоичное сравнение» (diff) происходит от имени консольной утилиты, которая используется для сравнения файлов, таким же образом, как и бинарные файлы до и после применения патча. Эта методика довольно эффективна и может применяться для исполняемых файлов Microsoft, потому что компания выпускает патчи регулярно, а идентифицировать код, затронутый патчем в бинарном файле для специалиста является достаточно простой задачей. Парочка самых известных фреймворков для двоичного сравнения: DarunGrim2 и Patchdiff2.
Теперь, когда мы описали 0day и 1day уязвимости, было бы полезно открыть для себя механизмы их коммерциализации. В статье, опубликованной на сайте Forbes, предлагаются цены на 0day уязвимости в продуктах популярных IT-компаний.

Рисунок 4 –Прайс на 0-day уязвимости (Forbes)

Цена на уязвимость зависит от множества факторов:

• Сложность определения уязвимости, зависимая от мер безопасности используемых в компании, которая разрабатывает приложение; чем больше времени необходимо для обнаружения, тем выше стоимость.
• Степень популярности приложения.
• Контекст эксплуатируемого приложения.
• Поставляется ли приложение по умолчанию с операционной системой ?
• Необходимость процесса аутентификации в уязвимом приложении ?
• Есть ли стандартные настройки межсетевого экрана, которые блокируют доступ к приложению ?
• Относится ли приложение к серверной или клиентской части ?
• Является ли взаимодействие с пользователем обязательным для эксплуатации уязвимости ?
• Версия атакуемого ПО. Чем позднее, тем выше прайс.
• Технические особенности: внедрение новой технологии на самом деле может привести к снижению интереса к уязвимости, которая связана с устаревшей технологией.

Trend Micro недавно опубликовало очень интересный доклад о русском underground рынке. Исследование основывалось на данных, полученных из анализа интернет-форумов и сервисов в которых участвуют русские хакеры, таких как: antichat.ru, xeka.ru и carding-cc.com. Они продемонстрировали, что существует возможность приобрести любое ПО и сервис для киберпреступников и мошенничества. В первую десятку вошло создание вредоносного кода и оказание услуг по написанию эксплойтов. Как правило, эксплойты продаются в связке, но они могут быть проданы и по отдельности или сданы в аренду на ограниченный период времени, на рисунке 5 приведены цены на них:

Рисунок 5 – Прайс лист на эксплойт-пакеты и сервисы

Выводы

Очевидно, что любая уязвимость представляет собой серьезную угрозу для конкретного приложения. Кроме того, она также может угрожать безопасности всей организации или правительству, в том случае, когда это касается приложений, применяемых на инфраструктурных объектах. Невозможно следуя стандартным подходам (прим. переводчика: автор имеет ввиду стандартные подходы к тестированию ПО) предотвратить широкий спектр уязвимостей, но ряд действий должен применяться, начиная с этапа разработки продукта. Требования безопасности должны приниматься во внимание во время разработки каждого решения. Предотвращение 0day уязвимостей является утопией, гораздо больше можно сделать после их обнаружения. Эффективное реагирование может предотвратить серьезные последствия с точки зрения безопасности. Необходимо улучшать процессы патч-менеджмента, особенно для крупных организаций, которые являются популярными целями для атак, и которые, как правило, долго реагируют на них. Не нужно забывать, что это гонка на время, и единственная способ защититься от 1day атак это пропатчить наши системы до того как на них нападут.

Что происходит после того, как хакер обнаруживает новую или так называемую 0day уязвимость? Учитывая то, что никаких защитных механизмов против нее еще не разработано, уязвимость может эксплуатироваться в приложении без какой-либо возможности от нее защититься. Сам этот термин означает, что у разработчиков не было ни одного дня на исправление обнаруженного дефекта. Если требуется гарантированный результат, то злоумышленник должен использовать именно 0day уязвимость, иначе производитель ПО выпустит патч, который со временем ее закроет. Кроме того, попытка воспользоваться эксплоитом (программой, использующей данную ошибку в софте для атаки системы) может привести к срабатыванию соответствующей сигнатуры антивирусной программы или межсетевого экрана. Однако если вирусописатель применил шифрование тела вируса и обфускацию его исходного кода, антивирусная программа, скорее всего, не обнаружит вирус, эксплуатирующий неизвестную уязвимость.

Сколько времени обычно проходит от обнаружения уязвимости до выпуска патча?  

Если хакер является именно злоумышленником, а не легальным пентестером, то сразу после эксплуатации уязвимости и достижения своих черных целей он может опубликовать результаты своих исследований на соответствующих форумах. Даже если он этого не сделает, после удачного взлома часто остаются следы, которые позволяют определить, какая именно уязвимость привела к утечке информации, и передать данные производителю программы. Если уязвимость критическая, то устранение ее займет дни и недели — после этого пользователям будет предложено обновиться и система будет снова защищена. Однако после обнаружения уязвимости могут пройти месяцы — и все это время система будет незащищенной. Самое важное — насколько широкий круг лиц посвящен в проблему: чем он больше, тем выше вероятность эксплуатации уязвимости.

Уязвимости операционной системы

Если речь идет об уязвимостях операционной системы, то тут все усложняется. В большинстве случаев, ваш ПК является частью локальной сети. Если одна из рабочих станций уязвима (например, там установлена устаревшая версия ОС), то она представляет собой слабое звено цепи, через которое легко получить доступ к другим компьютерам и скомпрометировать всю сеть. Если речь идет о домашнем ПК, то угроза не столь высока. Однако, через эксплуатацию какой-либо известной уязвимости ваш компьютер будет инфицирован и, например, без вашего ведома будет принимать участие в DDoS-атаках, т.е. станет частью ботнета.

Зачем это нужно знать разработчику?

Уязвимости можно найти практически в любой программе, вопрос лишь в том, сколько времени и усилий злоумышленнику на это потребуется. В большинстве случаев, уязвимости можно обнаружить стандартным сканером. Например, если вы пишете веб-приложение, то одним из самых известных сканеров является Acunetix. Если злоумышленник не сможет в короткий срок найти уязвимость в программе с помощью сканера, есть высокая вероятность того, что он вообще откажется от попыток взлома. Поиск неизвестных ранее уязвимостей с помощью реверсинга программы может занять довольно продолжительное время и потребует совершенно другой квалификации хакера. В то же время, как уже было сказано выше, неизвестная ранее 0day уязвимость – это успех, что позволит гарантированно взломать приложение без каких-либо шансов предотвратить атаку с помощью антивирусного ПО.

Защита от реверсинга и взлома

Затруднить взлом своей программы можно и нужно, для этого используется целый ряд способов, начиная от обфускации кода до удаленного запуска части кода на удаленных серверах, однако это уже тема для отдельной статьи.

Интересно почитать продолжение?

 А тем, кто определился с тем, что хочет стать программистом, рекомендуем профессию «Веб-разработчик».

From Wikipedia, the free encyclopedia

A zero-day (also known as a 0-day) is a computer-software vulnerability previously unknown to those who should be interested in its mitigation, like the vendor of the target software.^[1] Until the vulnerability is mitigated, hackers can exploit it to adversely affect programs, data, additional computers or a network.^[2] An exploit taking advantage of a zero-day is called a zero-day exploit, or zero-day attack.

The term «zero-day» originally referred to the number of days since a new piece of software was released to the public, so «zero-day software» was obtained by hacking into a developer’s computer before release. Eventually the term was applied to the vulnerabilities that allowed this hacking, and to the number of days that the vendor has had to fix them.^[3][4][5] Once the vendors learn of the vulnerability, they will usually create patches or advise workarounds to mitigate it.

The more recently that the vendor has become aware of the vulnerability, the more likely it is that no fix or mitigation has been developed. Once a fix is developed, the chance of the exploit succeeding decreases as more users apply the fix over time. For zero-day exploits, unless the vulnerability is inadvertently fixed, such as by an unrelated update that happens to fix the vulnerability, the probability that a user has applied a vendor-supplied patch that fixes the problem is zero, so the exploit would remain available. Zero-day attacks are a severe threat.^[6]

Attack vectors[edit]

Potential attack vectors for a zero-day vulnerability are identical to known vulnerabilities and those that have available patches. For example, when a user visits a rogue website, malicious code on the site can exploit unpatched vulnerabilities in a Web browser. Web browsers are a particular target for criminals because of their widespread distribution and usage. Cybercriminals, as well as international vendors of spyware such as Israel’s NSO Group,^[7] can also send malicious e-mail attachments via SMTP, which exploit vulnerabilities in the application opening the attachment.^[8] Exploits that take advantage of common file types are numerous and frequent, as evidenced by their increasing appearances in databases such as US-CERT. Criminals can engineer malware to take advantage of these file type exploits to compromise attacked systems or steal confidential data.^[9]

Window of vulnerability[edit]

The time from when a software exploit first becomes active to the time when the number of vulnerable systems shrinks to insignificance is known as the window of vulnerability.^[10] The timeline for each software vulnerability is defined by the following main events:

• t₀: The vulnerability is discovered (by anyone).
• t_1a: A security patch is published (e.g., by the software vendor).
• t_1b: An exploit becomes active.
• t₂: Most vulnerable systems have applied the patch.

Thus the formula for the length of the window of vulnerability is: t₂ − t_1b.

In this formulation, it is always true that t₀ ≤ t_1a, and t₀ ≤ t_1b. Note that t₀ is not the same as day zero. For example, if a hacker is the first to discover (at t₀) the vulnerability, the vendor might not learn of it until much later (on day zero).

For normal vulnerabilities, t_1b > t_1a. This implies that the software vendor was aware of the vulnerability and had time to publish a security patch (t_1a) before any hacker could craft a workable exploit (t_1b). For zero-day exploits, t_1b ≤ t_1a, such that the exploit becomes active before a patch is made available.

By not disclosing known vulnerabilities, a software vendor hopes to reach t₂ before t_1b is reached, thus avoiding any exploits. However, the vendor has no guarantees that hackers will not find vulnerabilities on their own. Furthermore, hackers can analyze the security patches themselves, and thereby discover the underlying vulnerabilities and automatically generate working exploits.^[11] These exploits can be used effectively up until time t₂.

In practice, the length of the window of vulnerability varies between systems, vendors, and individual vulnerabilities. It is often measured in days, with one report from 2006 estimating the average as 28 days.^[12]

Protection[edit]

Zero-day protection is the ability to provide protection against zero-day exploits. Since zero-day attacks are generally unknown to the public, it is often difficult to defend against them. Zero-day attacks are often effective against «secure» networks and can remain undetected even after they are launched. Thus, users of so-called secure systems must also exercise common sense and practice safe computing habits.^[13]

Many techniques exist to limit the effectiveness of zero-day memory corruption vulnerabilities such as buffer overflows. These protection mechanisms exist in contemporary operating systems such as macOS, Windows Vista and beyond (see also: Security and safety features new to Windows Vista), Solaris, Linux, Unix, and Unix-like environments; Windows XP Service Pack 2 includes limited protection against generic memory corruption vulnerabilities^[14] and previous versions include even less. Desktop and server protection software also exist to mitigate zero-day buffer overflow vulnerabilities. Typically, these technologies involve heuristic termination analysis in order to stop attacks before they cause any harm.^[15]

It has been suggested that a solution of this kind may be out of reach because it is algorithmically impossible in the general case to analyze any arbitrary code to determine if it is malicious, as such an analysis reduces to the halting problem over a linear bounded automaton, which is unsolvable. It is, however, unnecessary to address the general case (that is, to sort all programs into the categories of malicious or non-malicious) under most circumstances in order to eliminate a wide range of malicious behaviors. It suffices to recognize the safety of a limited set of programs (e.g., those that can access or modify only a given subset of machine resources) while rejecting both some safe and all unsafe programs. This does require the integrity of those safe programs to be maintained, which may prove difficult in the face of a kernel-level exploit.^{[citation needed]}

The Zeroday Emergency Response Team (ZERT) was a group of software engineers who worked to release non-vendor patches for zero-day exploits.

Worms[edit]

Zero-day worms take advantage of a surprise attack while they are still unknown to computer security professionals. Recent history shows an increasing rate of worm propagation.^[16] Well designed worms can spread very fast with devastating consequences to the Internet and other systems.^{[citation needed]}

Ethics[edit]

Differing ideologies exist relating to the collection and use of zero-day vulnerability information. Many computer security vendors perform research on zero-day vulnerabilities in order to better understand the nature of vulnerabilities and their exploitation by individuals, computer worms and viruses. Alternatively, some vendors purchase vulnerabilities to augment their research capacity.^{[clarification needed]} An example of such a program is TippingPoint’s Zero Day Initiative. While selling and buying these vulnerabilities is not technically illegal in most parts of the world, there is a lot of controversy over the method of disclosure. A 2006 German decision to include Article 6 of the Convention on Cybercrime and the EU Framework Decision on Attacks against Information Systems may make selling or even manufacturing vulnerabilities illegal.^{[citation needed]}

Most formal programs follow some form of Rain Forest Puppy’s disclosure guidelines or the more recent OIS Guidelines for Security Vulnerability Reporting and Response.^{[citation needed]} In general, these rules forbid the public disclosure of vulnerabilities without notification to the vendor and adequate time to produce a patch.

Viruses[edit]

A zero-day virus (also known as zero-day malware or next-generation malware) is a previously unknown computer virus or other malware for which specific antivirus software signatures are not yet available.^[17]

Traditionally, antivirus software relied upon signatures to identify malware. A virus signature is a unique pattern or code that can be used to detect and identify specific viruses. The antivirus scans file signatures and compares them to a database of known malicious codes. If they match, the file is flagged and treated as a threat. The major limitation of signature-based detection is that it is only capable of flagging already known malware, making it useless against zero-day attacks.^[18] Most modern antivirus software still uses signatures but also carries out other types of analysis.^{[citation needed]}

Code analysis[edit]

In code analysis, the machine code of the file is analysed to see if there is anything that looks suspicious. Typically, malware has characteristic behaviour; code analysis attempts to detect if this is present in the code.

Although useful, code analysis has significant limitations. It is not always easy to determine what a section of code is intended to do, particularly if it is very complex and has been deliberately written with the intention of defeating analysis. Another limitation of code analysis is the time and resources available. In the competitive world of antivirus software, there is always a balance between the effectiveness of analysis and the time delay involved.

One approach to overcome the limitations of code analysis is for the antivirus software to run suspect sections of code in a safe sandbox and observe their behavior. This can be orders of magnitude faster than analyzing the same code, but must resist (and detect) attempts by the code to detect the sandbox.

Generic signatures[edit]

Generic signatures are signatures that are specific to certain behaviour rather than a specific item of malware. Most new malware is not totally novel, but is a variation on earlier malware, or contains code from one or more earlier examples of malware. Thus, the results of previous analysis can be used against new malware.

Competitiveness in the antivirus software industry[edit]

It is generally accepted in the antivirus industry that most vendors’ signature-based protection is identically effective. If a signature is available for an item of malware, then every product (unless dysfunctional) should detect it. However, some vendors are significantly faster than others at becoming aware of new viruses and/or updating their customers’ signature databases to detect them.^[19]

There is a wide range of effectiveness in terms of zero-day virus protection. The German computer magazine c’t found that detection rates for zero-day viruses varied from 20% to 68%.^[20] It is primarily in the area of zero-day virus performance that manufacturers now compete.

U.S. government involvement[edit]

NSA’s use of zero-day exploits (2017)[edit]

In mid-April 2017 the hackers known as The Shadow Brokers (TSB), who are allegedly linked to the Russian government,^[21][22] released files from the NSA (initially just regarded as alleged to be from the NSA, later confirmed through internal details and by American whistleblower Edward Snowden)^[23] which include a series of ‘zero-day exploits’ targeting Microsoft Windows software and a tool to penetrate the Society for Worldwide Interbank Financial Telecommunication (SWIFT)’s service provider.^[24][25][26] Ars Technica had reported Shadow Brokers’ hacking claims in mid-January 2017,^[27] and in April the Shadow Brokers posted the exploits as proof.^[27]

Vulnerabilities Equities Process[edit]

The Vulnerabilities Equities Process, first revealed publicly in 2016, is a process used by the U.S. federal government to determine on a case-by-case basis how it should treat zero-day computer security vulnerabilities: whether to disclose them to the public to help improve general computer security or to keep them secret for offensive use against the government’s adversaries.^[28] The process has been criticized for a number of deficiencies, including restriction by non-disclosure agreements, lack of risk ratings, special treatment for the NSA, and a less than full commitment to disclosure as the default option.^[29]

See also[edit]

• Access control
• Bug bounty program
• Exploit-as-a-Service
• Heuristic analysis
• Market for zero-day exploits
• Network Access Control
• Network Access Protection
• Network Admission Control
• Software-defined protection
• Targeted attacks
• Vault 7
• White hat (computer security)
• Zero Days, a documentary about the 4 zero-days in stuxnet

References[edit]

Further reading[edit]

• Messmer, Ellen (April 6, 2007). «Is Desktop Antivirus Dead?». PC World. Archived from the original on April 24, 2016. Retrieved July 24, 2015.
• Naraine, Ryan (December 1, 2006). «Anti-Virus Is Dead, D-E-A-D, Dead!». eWeek. Archived from the original on January 7, 2010.

Examples of zero-day attacks

(Chronological order)

• «PowerPoint Zero-Day Attack May Be Case of Corporate Espionage». FoxNews. July 24, 2006.
• Naraine, Ryan (December 7, 2006). «Microsoft Issues Word Zero-Day Attack Alert». eWeek.
• «Attackers seize on new zero-day in Word». InfoWorld. February 15, 2007.

From Wikipedia, the free encyclopedia

A zero-day (also known as a 0-day) is a computer-software vulnerability previously unknown to those who should be interested in its mitigation, like the vendor of the target software.^[1] Until the vulnerability is mitigated, hackers can exploit it to adversely affect programs, data, additional computers or a network.^[2] An exploit taking advantage of a zero-day is called a zero-day exploit, or zero-day attack.

The term «zero-day» originally referred to the number of days since a new piece of software was released to the public, so «zero-day software» was obtained by hacking into a developer’s computer before release. Eventually the term was applied to the vulnerabilities that allowed this hacking, and to the number of days that the vendor has had to fix them.^[3][4][5] Once the vendors learn of the vulnerability, they will usually create patches or advise workarounds to mitigate it.

The more recently that the vendor has become aware of the vulnerability, the more likely it is that no fix or mitigation has been developed. Once a fix is developed, the chance of the exploit succeeding decreases as more users apply the fix over time. For zero-day exploits, unless the vulnerability is inadvertently fixed, such as by an unrelated update that happens to fix the vulnerability, the probability that a user has applied a vendor-supplied patch that fixes the problem is zero, so the exploit would remain available. Zero-day attacks are a severe threat.^[6]

Attack vectors[edit]

Potential attack vectors for a zero-day vulnerability are identical to known vulnerabilities and those that have available patches. For example, when a user visits a rogue website, malicious code on the site can exploit unpatched vulnerabilities in a Web browser. Web browsers are a particular target for criminals because of their widespread distribution and usage. Cybercriminals, as well as international vendors of spyware such as Israel’s NSO Group,^[7] can also send malicious e-mail attachments via SMTP, which exploit vulnerabilities in the application opening the attachment.^[8] Exploits that take advantage of common file types are numerous and frequent, as evidenced by their increasing appearances in databases such as US-CERT. Criminals can engineer malware to take advantage of these file type exploits to compromise attacked systems or steal confidential data.^[9]

Window of vulnerability[edit]

The time from when a software exploit first becomes active to the time when the number of vulnerable systems shrinks to insignificance is known as the window of vulnerability.^[10] The timeline for each software vulnerability is defined by the following main events:

• t₀: The vulnerability is discovered (by anyone).
• t_1a: A security patch is published (e.g., by the software vendor).
• t_1b: An exploit becomes active.
• t₂: Most vulnerable systems have applied the patch.

Thus the formula for the length of the window of vulnerability is: t₂ − t_1b.

In this formulation, it is always true that t₀ ≤ t_1a, and t₀ ≤ t_1b. Note that t₀ is not the same as day zero. For example, if a hacker is the first to discover (at t₀) the vulnerability, the vendor might not learn of it until much later (on day zero).

For normal vulnerabilities, t_1b > t_1a. This implies that the software vendor was aware of the vulnerability and had time to publish a security patch (t_1a) before any hacker could craft a workable exploit (t_1b). For zero-day exploits, t_1b ≤ t_1a, such that the exploit becomes active before a patch is made available.

By not disclosing known vulnerabilities, a software vendor hopes to reach t₂ before t_1b is reached, thus avoiding any exploits. However, the vendor has no guarantees that hackers will not find vulnerabilities on their own. Furthermore, hackers can analyze the security patches themselves, and thereby discover the underlying vulnerabilities and automatically generate working exploits.^[11] These exploits can be used effectively up until time t₂.

In practice, the length of the window of vulnerability varies between systems, vendors, and individual vulnerabilities. It is often measured in days, with one report from 2006 estimating the average as 28 days.^[12]

Protection[edit]

Zero-day protection is the ability to provide protection against zero-day exploits. Since zero-day attacks are generally unknown to the public, it is often difficult to defend against them. Zero-day attacks are often effective against «secure» networks and can remain undetected even after they are launched. Thus, users of so-called secure systems must also exercise common sense and practice safe computing habits.^[13]

Many techniques exist to limit the effectiveness of zero-day memory corruption vulnerabilities such as buffer overflows. These protection mechanisms exist in contemporary operating systems such as macOS, Windows Vista and beyond (see also: Security and safety features new to Windows Vista), Solaris, Linux, Unix, and Unix-like environments; Windows XP Service Pack 2 includes limited protection against generic memory corruption vulnerabilities^[14] and previous versions include even less. Desktop and server protection software also exist to mitigate zero-day buffer overflow vulnerabilities. Typically, these technologies involve heuristic termination analysis in order to stop attacks before they cause any harm.^[15]

It has been suggested that a solution of this kind may be out of reach because it is algorithmically impossible in the general case to analyze any arbitrary code to determine if it is malicious, as such an analysis reduces to the halting problem over a linear bounded automaton, which is unsolvable. It is, however, unnecessary to address the general case (that is, to sort all programs into the categories of malicious or non-malicious) under most circumstances in order to eliminate a wide range of malicious behaviors. It suffices to recognize the safety of a limited set of programs (e.g., those that can access or modify only a given subset of machine resources) while rejecting both some safe and all unsafe programs. This does require the integrity of those safe programs to be maintained, which may prove difficult in the face of a kernel-level exploit.^{[citation needed]}

The Zeroday Emergency Response Team (ZERT) was a group of software engineers who worked to release non-vendor patches for zero-day exploits.

Worms[edit]

Zero-day worms take advantage of a surprise attack while they are still unknown to computer security professionals. Recent history shows an increasing rate of worm propagation.^[16] Well designed worms can spread very fast with devastating consequences to the Internet and other systems.^{[citation needed]}

Ethics[edit]

Differing ideologies exist relating to the collection and use of zero-day vulnerability information. Many computer security vendors perform research on zero-day vulnerabilities in order to better understand the nature of vulnerabilities and their exploitation by individuals, computer worms and viruses. Alternatively, some vendors purchase vulnerabilities to augment their research capacity.^{[clarification needed]} An example of such a program is TippingPoint’s Zero Day Initiative. While selling and buying these vulnerabilities is not technically illegal in most parts of the world, there is a lot of controversy over the method of disclosure. A 2006 German decision to include Article 6 of the Convention on Cybercrime and the EU Framework Decision on Attacks against Information Systems may make selling or even manufacturing vulnerabilities illegal.^{[citation needed]}

Most formal programs follow some form of Rain Forest Puppy’s disclosure guidelines or the more recent OIS Guidelines for Security Vulnerability Reporting and Response.^{[citation needed]} In general, these rules forbid the public disclosure of vulnerabilities without notification to the vendor and adequate time to produce a patch.

Viruses[edit]

A zero-day virus (also known as zero-day malware or next-generation malware) is a previously unknown computer virus or other malware for which specific antivirus software signatures are not yet available.^[17]

Traditionally, antivirus software relied upon signatures to identify malware. A virus signature is a unique pattern or code that can be used to detect and identify specific viruses. The antivirus scans file signatures and compares them to a database of known malicious codes. If they match, the file is flagged and treated as a threat. The major limitation of signature-based detection is that it is only capable of flagging already known malware, making it useless against zero-day attacks.^[18] Most modern antivirus software still uses signatures but also carries out other types of analysis.^{[citation needed]}

Code analysis[edit]

In code analysis, the machine code of the file is analysed to see if there is anything that looks suspicious. Typically, malware has characteristic behaviour; code analysis attempts to detect if this is present in the code.

Although useful, code analysis has significant limitations. It is not always easy to determine what a section of code is intended to do, particularly if it is very complex and has been deliberately written with the intention of defeating analysis. Another limitation of code analysis is the time and resources available. In the competitive world of antivirus software, there is always a balance between the effectiveness of analysis and the time delay involved.

One approach to overcome the limitations of code analysis is for the antivirus software to run suspect sections of code in a safe sandbox and observe their behavior. This can be orders of magnitude faster than analyzing the same code, but must resist (and detect) attempts by the code to detect the sandbox.

Generic signatures[edit]

Generic signatures are signatures that are specific to certain behaviour rather than a specific item of malware. Most new malware is not totally novel, but is a variation on earlier malware, or contains code from one or more earlier examples of malware. Thus, the results of previous analysis can be used against new malware.

Competitiveness in the antivirus software industry[edit]

It is generally accepted in the antivirus industry that most vendors’ signature-based protection is identically effective. If a signature is available for an item of malware, then every product (unless dysfunctional) should detect it. However, some vendors are significantly faster than others at becoming aware of new viruses and/or updating their customers’ signature databases to detect them.^[19]

There is a wide range of effectiveness in terms of zero-day virus protection. The German computer magazine c’t found that detection rates for zero-day viruses varied from 20% to 68%.^[20] It is primarily in the area of zero-day virus performance that manufacturers now compete.

U.S. government involvement[edit]

NSA’s use of zero-day exploits (2017)[edit]

In mid-April 2017 the hackers known as The Shadow Brokers (TSB), who are allegedly linked to the Russian government,^[21][22] released files from the NSA (initially just regarded as alleged to be from the NSA, later confirmed through internal details and by American whistleblower Edward Snowden)^[23] which include a series of ‘zero-day exploits’ targeting Microsoft Windows software and a tool to penetrate the Society for Worldwide Interbank Financial Telecommunication (SWIFT)’s service provider.^[24][25][26] Ars Technica had reported Shadow Brokers’ hacking claims in mid-January 2017,^[27] and in April the Shadow Brokers posted the exploits as proof.^[27]

Vulnerabilities Equities Process[edit]

The Vulnerabilities Equities Process, first revealed publicly in 2016, is a process used by the U.S. federal government to determine on a case-by-case basis how it should treat zero-day computer security vulnerabilities: whether to disclose them to the public to help improve general computer security or to keep them secret for offensive use against the government’s adversaries.^[28] The process has been criticized for a number of deficiencies, including restriction by non-disclosure agreements, lack of risk ratings, special treatment for the NSA, and a less than full commitment to disclosure as the default option.^[29]

See also[edit]

• Access control
• Bug bounty program
• Exploit-as-a-Service
• Heuristic analysis
• Market for zero-day exploits
• Network Access Control
• Network Access Protection
• Network Admission Control
• Software-defined protection
• Targeted attacks
• Vault 7
• White hat (computer security)
• Zero Days, a documentary about the 4 zero-days in stuxnet

References[edit]

Further reading[edit]

• Messmer, Ellen (April 6, 2007). «Is Desktop Antivirus Dead?». PC World. Archived from the original on April 24, 2016. Retrieved July 24, 2015.
• Naraine, Ryan (December 1, 2006). «Anti-Virus Is Dead, D-E-A-D, Dead!». eWeek. Archived from the original on January 7, 2010.

Examples of zero-day attacks

(Chronological order)

• «PowerPoint Zero-Day Attack May Be Case of Corporate Espionage». FoxNews. July 24, 2006.
• Naraine, Ryan (December 7, 2006). «Microsoft Issues Word Zero-Day Attack Alert». eWeek.
• «Attackers seize on new zero-day in Word». InfoWorld. February 15, 2007.