Viete, čo je Zero day útok?

Určite ste niekde zachytili pojem „Zero day“. Spája sa najčastejšie s kybernetickými útokmi a hrozbami, ktoré zasiahnu zraniteľnosť, na ktorú ešte neexistuje, nie je vyvinutá ochrana. V podstate, kým na túto zraniteľnosť niekto útokom nepoukáže, tak vo väčšinou prípadoch sa o nej ani nevie.

Tento druh zraniteľnosti môže byť zneužitý pomocou „Zero day exploitu“. Čo sa za tým skrýva? Napríklad softvér, aplikácia alebo časť, sekvencia príkazu. A práve to všetko môže využiť programátorskú chybu, ktorá zraniteľnosť spôsobuje. Útočník vie využiť neobjavenú chybu k infikovaniu systému. Môže to urobiť za pomoci spyware, ransomware, malware, keylogger alebo trojským koňom. To všetko môže v konečnom dôsledku spôsobiť únik dát, poškodenie alebo úplne prevzatie, kontrolu nad cieľovým zariadením, systémom.

V poslednej dobe sa o kyberbezpečnosti rozpráva veľa a všade, ale aj tak sú firmy a jednotlivci, ktorí bezpečnosť podceňujú alebo ju úplne ignorujú. Ak si používateľ môže vybrať medzi predplatným na hudobnú alebo filmovú službu a firma medzi veľkosťou cloudového úložiska a bezpečnostným riešením, čo myslíte, čo vyhráva?

Vráťme sa však k nášmu termínu „Zero day útok“. Ako to funguje, kto je najčastejšie cieľovou skupinou takého útoku a ako sa brániť voči „Zero day útokom“?

Akým spôsobom Zero day útok funguje?

Väčšinou softwarových chýb vývojári v podstate odhalia a opravia pomocou aktualizácií. Ale do tejto chvíle, kým vývojár príde na to, v čom je problém alebo kde je v bezpečnostná diera, tak toto obdobie sa vlastne berie, ako Zero day zraniteľnosť.

Útočníci využijú túto chybu predtým, než sa vývojár dostane k tomu, že túto chybu objaví a opraví. Agresor vytvorí škodlivý kód, ktorý je schopný preniknúť do systému rýchlo cez túto chybu a škodiť. Takže toto je základný fakt, že Zero day útok je vlastne niečo, čo hľadá ten časový priestor medzi tým, než sa na túto chybu oficiálne príde.

Zero day útoky sú mierené na rôzne cieľové skupiny

Môžu to byť jednotlivci, môžu to byť korporácie, rôzne firmy, vládne organizácie. Môžeme povedať, že v podstate nehľadá sa cieľ, ale hľadá sa chyba, trhlina. Keď si zoberieme jednotlivca, klasického používateľa, tak útočníci môžu cieliť buď z osobných dôvodov, že chcú odcudziť ich dáta k finančným účtom. Môžu tak ukradnúť nielen osobné údaje, ale hlavne údaje k tým platobným účtom.

Firmy a korporácie sú ďalšia cieľová skupina a toto je vlastne dosť riskantná vec a citlivá téma. Firmy a korporácie zastrešujú rôzne osobné dáta, obchodné tajomstva a takýto útok dokáže spôsobiť finančné škody. Útočníci sa práve vďaka útoku Zero day zraniteľnosti dokážu dostať k  informáciám, ktoré môžu predať, zneužiť a napadnutú firmu úplne zdiskreditovať.

Vládne organizácie, tak toto je už naozaj silnejšie. Zero day útoky môžu byť použité k prieniku do vládnych systémov na získanie obzvlášť citlivých informácií a vojenských stratégií. Potom je to ohrozenie kybernetickej bezpečnosti štátu, vládnych organizácií a toto už je naozaj veľmi citlivá téma. Niekedy zraniteľnosť, útok, Zero day používajú aj aktivisti (haktivisti), ktorí chcú poukázať na niečo, čo sa im v tej vládnej organizácii nepáči.

Aj samotní aktivisti a novinári je skupina, na ktorú sa ti útočníci môžu zamerať. Chcú odhaliť nejaké získané. odhalené informácie, ktoré viac menej predajú ďalej.

Najväčší dopad má Zero day útok na kritickú infraštruktúru, ako sú vodné zdroje, energetické systémy, dopravná sieť. Tam už ide o škody spôsobené nielen organizácii ale aj celej spoločnosti. Už len samotný výpadok internetu spôsobený útokom má dopad na enormné množstvo organizácii a jednotlivcov.

Dá sa zabrániť útokom Zero day?

Zabrániť niečomu o čom neviete, že existuje je ťažké. Jediná možnosť sú preventívne opatrenia, ktoré môžu minimalizovať riziká. Tie sú v podstate rovnaké, či už pre jednotlivca alebo organizáciu.

Najzákladnejším je aktualizácia softvéru v každom zariadení, či už ide o PC alebo mobilné zariadenie. Vývojári na základe používateľskej odozvy opravujú množstvo problémov a často objavujú za behu chyby v svojich produktoch, ktoré sú už v oficiálnej verzii.

Investícia do bezpečnostného softvéru je základ. Okrem antivírového a antimalvéroveho softvéru je dôležitým ochranným prvkom Firewall.

V neposlednom rade je to monitorovanie aktivity v systémoch a zálohovanie dát.

Ďalším krokom je bezpečné správanie sa na internete (neklikať na všetko, čo sa objaví) a samozrejme školenie zamestnancov v rámci hrozieb a zraniteľností Zero day.

Firmy môžu spolupracovať s bezpečnostnými odborníkmi, ktorí sa postarajú o správu záplat, pravidelné penetračné testy.

Riešením je aj implantácia Zero Trust modelu. Nastavenie spočíva v predpoklade, že žiadne zariadenie a užívateľ v sieti nie je dôveryhodný a musí sa identifikovať a preukázať opravením pri každom prístupe.

PrintNightmare

Pozrime sa však bezpečnostné opatrenia pri tlači, ako to tam vyzerá. V roku 2021 odhalili bezpečnostní vývojári závažnú zraniteľnosť. Išlo o zraniteľnosť v službe Print Spooler service, ktorá je súčasťou všetkých verzií Windows. Bola to neopravená Zero day zraniteľnosť vo všetkých podporovaných verziách a verziách rozšírenej aktualizácie zabezpečenia OS Windows. Exploit sa veľmi rýchlo šíril a chyba spočívala v tom, že útočník dokázal vzdialene spúšťať kód so systémovými oprávneniami. Táto zraniteľnosť tlačových služieb MS Windows dostala meno PrintNightmare. 

Exploit je typ škodlivého kódu, ktorý využíva chyby alebo zraniteľnosti v systéme na to, aby spôsobil neočakávané alebo nechcené správanie počítača. Môže získať kontrolu nad celým počítačovým systémom, eskaláciu oprávnení alebo odopretie služby (útoky typu DDoS).

Prečo sa stala táto zraniteľnosť pre firmy nočnou morou?

Využitie existuje v rámci ovládača RpcAddPrinterdriver. Slúži na podporu vzdialenej tlače a inštalácie ovládača. Ide o nevyhnutnú funkciu, ktorá umožňuje IT administrátorom SeLoadDriverPrivilege. Poskytuje im to možnosť inštalovať nové ovládače tlačiarne do vzdialeného zaraďovača tlače.

V podstate sa to stáva zneužitím, pretože to znamená, že každý „autentizovaný“ používateľ, nielen dôveryhodní, povolení správcovia systému, môže do systému Windows pridať ľubovoľný „ovládač tlače“. Každý náhodný používateľ môže toto privilégium povýšiť a stať sa správcom domény. Takto dokáže útočník spôsobovať chaos škodlivým kódom.

Microsoft opravil exploit, v dôsledku čoho neustále menili predvolené hodnoty pre Windows Point and Print. Komplikáciou pri Point and Print bolo, že pri pripojení k tlačiarni zdieľanej zo servera s ovládačmi typu 3 sa ovládač tlače (softvér) stiahne zo servera na klientsky počítač.

Oprava exploitu predstavovala zmenu pravidiel pre Point and Print. To malo však nepríjemné vedľajšie účinky pre mnohé tlačové prostredia Windows. Nové pravidlo, ktoré spoločnosť Microsoft vytvorila pre funkciu Point and Print, je, že teraz musíte byť správcom/mať správcovský prístup na klientskom zariadení, aby ste mohli nainštalovať ovládač tlače z tlačového servera. Ďalšou novou predvolenou hodnotou, ktorú zaviedli, bolo, že ak nie ste v systéme Windows, nemôžete sa pripojiť k zdieľanej tlačiarni Windows.

Preto sa stala zraniteľnosť PrintNightmare známym príbehom. Microsoft riešil tento exploit pomerne rýchlo svojimi záplatami. Hoci zastavenie tlačovej služby bolo rýchlym riešením, zastavila sa ja tlač, čo nebolo dobré. Aktualizáciou po vydaní záplat Windowsu sa tento problém opravil. Vidíme aj na tomto prípade, že aj tlačiarne a vzdialená tlač je možným terčom pre zraniteľnosti Zero day.

Napriek tomu, že sa PrintNightmare a jeho varianty teoreticky zaoberali Microsoftom, do dnešného dňa to stále ovplyvňuje niektoré organizácie. Hlavným dôvodom sú dosť mätúce skupinové politiky a nastavenia firemnej tlače.