¿Porcentaje de vulnerabilidades de 0 días utilizadas como vectores para infecciones?

Navega tus respuestas
3

Elegí ese título, pero probablemente hay varias formas de hacer esta pregunta. Se trata de comprender cómo se puede infectar una computadora (especialmente la de escritorio, pero podría generalizar esto en servidores) si está siempre actualizada (actualizaciones diarias) y si no es lo suficientemente estúpido como para permitir explícitamente la ejecución de software no confiable. Por ejemplo, todos dicen que no debes abrir archivos adjuntos sospechosos en los correos electrónicos, pero ¿por qué no? Si hay código o macros en los archivos adjuntos, la aplicación debería avisarle y preguntarle si desea ejecutarlo (al menos eso debería ser lo que hace LibreOffice). Si conecta una llave USB a su computadora, ningún software en esa llave debería ejecutarse automáticamente (eso es lo que hace Linux, y espero que Windows le solicite confirmación de todos modos). Lo mismo para las "descargas no autorizadas", si no acepta descargar un archivo, instalar un complemento, etc., ¿cómo puede suceder algo con solo navegar por un sitio web?

A MENOS QUE ...

A menos que los archivos adjuntos, las llaves USB, los sitios web, etc. exploten una vulnerabilidad de 0 días. Entonces sí, todo puede suceder sin su consentimiento, y todo es posible en teoría. ¿Pero qué tan común es esto? Entonces, volviendo a la pregunta en el título: ¿qué porcentaje de infecciones se deben a las vulnerabilidades de 0 días? Mi impresión, que podría estar equivocada por supuesto, es que es un porcentaje muy pequeño, casi cero , y que todas las infecciones se deben a que las personas no actualizan su software con regularidad, hacen clic en "ok" para dar permiso para ejecutar algo que no debería tener ninguna razón para ejecutarse (como document.doc.exe, ¿desea ejecutar lo siguiente?) ¿Programa? ¡Por supuesto! Haga clic ), las personas que aceptan descargar actualizaciones para cualquier software o complemento de sitios web no oficiales, y así sucesivamente.

Entonces, pregunto por 0 días porque me parece que es la única clase de vulnerabilidades que tiene sentido considerar. Si no actualiza su software, no puede decir "Me infecté solo por navegar en un sitio web", sino que debería decir "Me infecté solo por olvidar actualizar mi navegador / SO / etc". Mi razonamiento básicamente me hizo llegar a 3 clases de vulnerabilidades (software desactualizado, consentimiento explícito para ejecutar software no confiable y vulnerabilidades de 0 días) y dado que las dos primeras clases pueden neutralizarse fácilmente, solo me estoy enfocando en el probabilidad de la tercera. A menos que, por supuesto, todo mi razonamiento sea incorrecto.

    
pregunta reed 20.04.2018 - 23:36
fuente

2 respuestas

4

Es una pregunta válida y no puedo encontrar datos para responderla con precisión. El DBIR de Verizon no parece señalar las vulnerabilidades de día cero utilizadas, y no estoy al tanto de ningún estudio que lo haga. Sin embargo, creo que las posibilidades de ser pequeño.

Sin embargo, creo que estás viendo una porción muy estrecha de cosas, ya que parece que estás centrado principalmente en estaciones de trabajo aisladas. Sí, esos serán básicamente comprometidos por:

  1. Usuarios que ejecutan cosas (incluidas macros de documentos, archivos en unidades flash, descargas, lo que sea)
  2. Vulnerabilidades conocidas (y parcheadas en sentido ascendente, pero parche no implementado)
  3. Vulnerabilidades conocidas (y no sincronizadas en sentido ascendente)
  4. Vulnerabilidades desconocidas (0 días)

Estoy completamente de acuerdo en que para los usuarios domésticos, la última categoría es un pequeño porcentaje de infecciones. Sin embargo, hay un tiempo de demora no trivial entre un "día quemado" de 0 días (es decir, el proveedor se da cuenta de ello y se convierte en un día) y la disponibilidad general de un parche. Durante este tiempo, un usuario comprometido no se ve comprometido por un día de 0 días, pero tampoco puede detenerlo mediante la aplicación de parches.

Sin embargo, en la empresa, las cosas se vuelven diferentes muy rápidamente. En primer lugar, tenemos que agregar "movimiento lateral" y "credenciales robadas" a nuestra lista de vectores. En segundo lugar, agregamos aplicaciones empresariales, muchas escritas internamente sin atención a la seguridad, a nuestro panorama de amenazas. Estos pueden tener "0 días" por docena, y se usan comúnmente para violar empresas. Finalmente, la mayoría de las empresas implementan parches muy lentamente en comparación con la tasa de malware que aparece y explota una vulnerabilidad. Es posible que a los autores de malware no les importe si su malware se bloquea el 50% del tiempo, pero es mejor que creas que a una empresa le importa si el 50% de sus estaciones de trabajo comienzan a fallar debido a un mal parche.

    
respondido por el David 21.04.2018 - 01:20
fuente
1

No tiene sentido calcular el porcentaje de infecciones causadas por días cero y puede variar de 0 a un número significativo en caso de un brote de tipo pandémico. Los tuvimos en el pasado. En 2017, hemos reportado 40 vulnerabilidades de día cero que fueron explotadas antes del conocimiento público o parche del proveedor.

www.zero-day.cz (estadísticas para 2017)

Algunos de ellos se usaron en ataques dirigidos, otros se detectaron como puertas traseras, inyectados por actores maliciosos (por ejemplo, CCleaner, brote de ransomware NotPetya). Aconsejar a un usuario que no abra archivos enviados desde fuentes no confiables / desconocidas es un buen consejo contra ataques aleatorios, ya que la mayoría de los usuarios no tienen estaciones de trabajo reforzadas, macro deshabilitada en el software de Office, etc. no ayuda contra un ataque dirigido, bcs puede recibir ese archivo de una persona de confianza =)

El resultado final es: traerá una falsa sensación de seguridad al decir que el porcentaje de días cero en los ataques del mundo real es CERO y no debería preocuparse por ellos.

    
respondido por el Valery Marchuk 21.04.2018 - 14:38
fuente

Lea otras preguntas en las etiquetas

¿Puede la verificación de los encabezados HTTP proteger contra CSRF? [duplicar] NMAP - Cerrado vs Filtrado