零日漏洞(zero-day)又叫
零时差攻击,是指被发现后立即被恶意利用的
安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
攻击威胁
虽然还没有出现大量的“零日漏洞”攻击,但其威胁日益增长,证据如下:黑客更加善于在发现安全漏洞不久后利用它们。过去,安全漏洞被利用一般需要几个月时间。最近,发现与利用之间的时间间隔已经减少到了数天。
利用漏洞的攻击被设计为迅速传播,感染数量越来越多的系统。攻击由之前被动式的、传播缓慢的文件和宏病毒演化为利用几天或几小时传播的更加主动的、
自我传播的电子邮件
蠕虫和混合威胁。
人们掌握的安全漏洞知识越来越多,就有越来越多的漏洞被发现和利用。一般使用
防火墙、
入侵检测系统和防病毒软件来保护关键业务IT基础设施。这些系统提供了良好的第一级保护,但是尽管安全人员尽了最大的努力,他们仍不能免遭受零日漏洞攻击。
发现方法
按照定义,有关“零日漏洞”攻击的详细信息只在攻击被确定后才会出现。以下是当发生“零日漏洞”攻击时将看到的重要迹象:发源于一台客户机或服务器的出乎意料的合法数据流或大量的扫描活动;合法端口上的意外数据流;甚至在安装了最新的补丁程序后,受到攻击的客户机或服务器仍发生类似活动。
防御方法
预防:良好的预防安全实践是必不可少的。这些实践包括谨慎地安装和遵守适应业务与应用需要的
防火墙政策,随时升级防病毒软件,阻止潜在有害的文件附件,随时修补所有系统抵御已知漏洞。
漏洞扫描是评估预防规程有效性的好办法。
实时保护:部署提供全面保护的
入侵防护系统(IPS)。在考虑IPS时,寻找以下功能:网络级保护、应用完整性检查、应用协议“征求意见”(RFC)确认、内容确认和取证能力。
计划的事件响应:即使在采用以上措施后,企业仍可能受到“零日漏洞”影响。周密计划的事件响应措施以及包括关键任务活动优先次序在内的定义的规则和规程,对于将企业损失减少到最小程度至关重要。
防止传播:这可以通过将连接限制在满足企业需要所必须的机器上。这样做可以在发生初次感染后,减少利用漏洞的攻击所传播的范围。
“零日漏洞”攻击对于警惕性最高的系统管理人员来说也是一种挑战。但是,部署到位的安全护保措施可以大大降低关键数据和系统面临的风险。
相关新闻
零日漏洞来袭 微软狠遭考验
微软无法在研究人员给定的合理时间里解决最初在2013年10月发现的IE浏览器零日漏洞,因此这个漏洞已经正式公开。
惠普零日项目(Zero-Day Initiative, ZDI)是一个在Pwn2Own黑客竞技研究团队。根据他们所发布的一份报告,IE零日漏洞只影响到微软IE 8。当浏览器处理CMarkup对象时,这个漏洞就会暴露无遗。
虽然这个漏洞只影响到IE 8,但是在同一个库中又出现另一个问题,攻击者可以利用这个漏洞获得IE 10的本地访问权限。对于这个漏洞,微软在公开宣布这个漏洞之前就发布了一个“修复”工具包。
当用户访问一个恶意网站时,就可能触发当前这个漏洞,如果黑客成功入侵这个漏洞,那么他就可以在受攻击的主机上远程执行任何代码,以及获得与当前用户相同的访问权限。用户交互会加剧这个漏洞的严重性——通用漏洞评分系统将这个漏洞评定为6.8分。
ZDI报告指出:“然而,在所有情况中,攻击者可能并没有办法迫使用户查看攻击者所控制的内容。相反,攻击者可能不得不用一些手段说服用户自己主动去操作。通常就是诱导用户去点击邮件内容或即时消息中的一个超链接,从而让用户访问攻击者的网站,或者诱导用户打开电子邮件的附件。”
ZDI指出,他们第一次是在2013年10月份向微软报告了IE零日(CVE-2014-1770)漏洞,当时是比利时安全研究员Peter Van Eeckhoutte发现了这个漏洞,随后微软在2014年2月确认了这个问题。ZDI通常给供应商预留180天的漏洞处理时间,之后他们才会向公众公开漏洞,这表示微软在4月份之前都有时间修复这个漏洞。
在这个事件中,微软实际上有另一个机会在5月初解决这个问题,但是它同样没有重视ZDI关于公开这个漏洞的警告。近几个月来,微软的安全团队一直在全力奋战——他们被迫在本月初发布了一个用于修复另一个IE零日漏洞的编外补丁,其中还特别包含了一个已经不提供支持的XP操作系统的修复包。
ZDI报告提供了一些处理IE零日漏洞的技术方法,其中包括将IE安全域设置为“高”,或者配置浏览器为运行Active Scripting之前弹出提示。或许,解决这个问题的最简单方法是安装和运行微软的增强减灾体验工具套件(Enhanced Mitigation Experience Toolkit),微软自己也非常希望在补丁发布之前就找到处理零日漏洞的方法。
2020年4月3日,据《福布斯》报道,苹果向一名黑客给予了75,000美元的奖励,因为后者发现了苹果公司软件中的多个零日漏洞,其中一些漏洞可用于劫持MacBook或iPhone上的相机。
攻击事件
2022年9月,《西北工业大学遭美国NSA网络攻击事件调查报告》公布,报告显示,美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序(详见有关研究报告),控制了大批跳板机。