“零日漏洞”(zero-day)又叫零時差攻擊,是指被發現後立即被惡意利用的安全漏洞。通俗地講,即安全補丁與瑕疵曝光的同一日內,相關的惡意程式就出現。這種攻擊往往具有很大的突發性與破壞性。
基本介紹
- 中文名:零日漏洞
- 外文名:zero-day
- 又稱:零時差攻擊
- 預防方法:良好的預防安全實踐
攻擊威脅,發現方法,防禦方法,相關新聞,
攻擊威脅
雖然還沒有出現大量的“零日漏洞”攻擊,但其威脅日益增長,證據如下:黑客更加善於在發現安全漏洞不久後利用它們。過去,安全漏洞被利用一般需要幾個月時間。最近,發現與利用之間的時間間隔已經減少到了數天。
人們掌握的安全漏洞知識越來越多,就有越來越多的漏洞被發現和利用。一般使用防火牆、入侵檢測系統和防病毒軟體來保護關鍵業務IT基礎設施。這些系統提供了良好的第一級保護,但是儘管安全人員盡了最大的努力,他們仍不能免遭受零日漏洞攻擊。
發現方法
按照定義,有關“零日漏洞”攻擊的詳細信息只在攻擊被確定後才會出現。以下是當發生“零日漏洞”攻擊時將看到的重要跡象:發源於一台客戶機或伺服器的出乎意料的合法數據流或大量的掃描活動;合法連線埠上的意外數據流;甚至在安裝了最新的補丁程式後,受到攻擊的客戶機或伺服器仍發生類似活動。
防禦方法
預防:良好的預防安全實踐是必不可少的。這些實踐包括謹慎地安裝和遵守適應業務與套用需要的防火牆政策,隨時升級防病毒軟體,阻止潛在有害的檔案附屬檔案,隨時修補所有系統抵禦已知漏洞。漏洞掃描是評估預防規程有效性的好辦法。
實時保護:部署提供全面保護的入侵防護系統(IPS)。在考慮IPS時,尋找以下功能:網路級保護、套用完整性檢查、套用協定“徵求意見”(RFC)確認、內容確認和取證能力。
計畫的事件回響:即使在採用以上措施後,企業仍可能受到“零日漏洞”影響。周密計畫的事件回響措施以及包括關鍵任務活動優先次序在內的定義的規則和規程,對於將企業損失減少到最小程度至關重要。
防止傳播:這可以通過將連線惟一限制在滿足企業需要所必須的機器上。這樣做可以在發生初次感染後,減少利用漏洞的攻擊所傳播的範圍。
“零日漏洞”攻擊對於警惕性最高的系統管理人員來說也是一種挑戰。但是,部署到位的安全護保措施可以大大降低關鍵數據和系統面臨的風險。
“零日漏洞”(zero-day)又叫零時差攻擊,是指被發現後立即被惡意利用的安全漏洞。通俗地講,即安全補丁與瑕疵曝光的同一日內,相關的惡意程式就出現。這種攻擊往往具有很大的突發性與破壞性。
相關新聞
零日漏洞來襲 微軟狠遭考驗
微軟無法在研究人員給定的合理時間裡解決最初在2013年10月發現的IE瀏覽器零日漏洞,因此這個漏洞現在已經正式公開。
惠普零日項目(Zero-Day Initiative, ZDI)是一個在Pwn2Own黑客競技研究團隊。根據他們所發布的一份報告,IE零日漏洞只影響到微軟IE 8。當瀏覽器處理CMarkup對象時,這個漏洞就會暴露無遺。
雖然這個漏洞只影響到IE 8,但是今年2月份在同一個庫中又出現另一個問題,攻擊者可以利用這個漏洞獲得IE 10的本地訪問許可權。對於這個漏洞,微軟在公開宣布這個漏洞之前就發布了一個“修復”工具包。
當用戶訪問一個惡意網站時,就可能觸發當前這個漏洞,如果黑客成功入侵這個漏洞,那么他就可以在受攻擊的主機上遠程執行任何代碼,以及獲得與當前用戶相同的訪問許可權。用戶互動會加劇這個漏洞的嚴重性——通用漏洞評分系統將這個漏洞評定為6.8分。
ZDI報告指出:“然而,在所有情況中,攻擊者可能並沒有辦法迫使用戶查看攻擊者所控制的內容。相反,攻擊者可能不得不用一些手段說服用戶自己主動去操作。通常就是誘導用戶去點擊郵件內容或即時訊息中的一個超連結,從而讓用戶訪問攻擊者的網站,或者誘導用戶打開電子郵件的附屬檔案。”
ZDI指出,他們第一次是在2013年10月份向微軟報告了IE零日(CVE-2014-1770)漏洞,當時是比利時安全研究員Peter Van Eeckhoutte發現了這個漏洞,隨後微軟在2014年2月確認了這個問題。ZDI通常給供應商預留180天的漏洞處理時間,之後他們才會向公眾公開漏洞,這表示微軟在4月份之前都有時間修復這個漏洞。
在這個事件中,微軟實際上有另一個機會在5月初解決這個問題,但是它同樣沒有重視ZDI關於公開這個漏洞的警告。近幾個月來,微軟的安全團隊一直在全力奮戰——他們被迫在本月初發布了一個用於修復另一個IE零日漏洞的編外補丁,其中還特別包含了一個針對目前已經不提供支持的XP作業系統的修復包。
ZDI報告提供了一些處理IE零日漏洞的技術方法,其中包括將IE安全域設定為“高”,或者配置瀏覽器為運行Active Scripting之前彈出提示。或許,解決這個問題的最簡單方法是安裝和運行微軟的增強減災體驗工具套件(Enhanced Mitigation Experience Toolkit),微軟自己也非常希望在補丁發布之前就找到處理零日漏洞的方法。
惠普零日項目(Zero-Day Initiative, ZDI)是一個在Pwn2Own黑客競技研究團隊。根據他們所發布的一份報告,IE零日漏洞只影響到微軟IE 8。當瀏覽器處理CMarkup對象時,這個漏洞就會暴露無遺。
雖然這個漏洞只影響到IE 8,但是今年2月份在同一個庫中又出現另一個問題,攻擊者可以利用這個漏洞獲得IE 10的本地訪問許可權。對於這個漏洞,微軟在公開宣布這個漏洞之前就發布了一個“修復”工具包。
當用戶訪問一個惡意網站時,就可能觸發當前這個漏洞,如果黑客成功入侵這個漏洞,那么他就可以在受攻擊的主機上遠程執行任何代碼,以及獲得與當前用戶相同的訪問許可權。用戶互動會加劇這個漏洞的嚴重性——通用漏洞評分系統將這個漏洞評定為6.8分。
ZDI報告指出:“然而,在所有情況中,攻擊者可能並沒有辦法迫使用戶查看攻擊者所控制的內容。相反,攻擊者可能不得不用一些手段說服用戶自己主動去操作。通常就是誘導用戶去點擊郵件內容或即時訊息中的一個超連結,從而讓用戶訪問攻擊者的網站,或者誘導用戶打開電子郵件的附屬檔案。”
ZDI指出,他們第一次是在2013年10月份向微軟報告了IE零日(CVE-2014-1770)漏洞,當時是比利時安全研究員Peter Van Eeckhoutte發現了這個漏洞,隨後微軟在2014年2月確認了這個問題。ZDI通常給供應商預留180天的漏洞處理時間,之後他們才會向公眾公開漏洞,這表示微軟在4月份之前都有時間修復這個漏洞。
在這個事件中,微軟實際上有另一個機會在5月初解決這個問題,但是它同樣沒有重視ZDI關於公開這個漏洞的警告。近幾個月來,微軟的安全團隊一直在全力奮戰——他們被迫在本月初發布了一個用於修復另一個IE零日漏洞的編外補丁,其中還特別包含了一個針對目前已經不提供支持的XP作業系統的修復包。
ZDI報告提供了一些處理IE零日漏洞的技術方法,其中包括將IE安全域設定為“高”,或者配置瀏覽器為運行Active Scripting之前彈出提示。或許,解決這個問題的最簡單方法是安裝和運行微軟的增強減災體驗工具套件(Enhanced Mitigation Experience Toolkit),微軟自己也非常希望在補丁發布之前就找到處理零日漏洞的方法。
