Conoce Atico34 - Solicita presupuesto
Ciberseguridad

Ataques de día cero. ¿Por qué son tan peligrosos?

En este artículo, proporcionaremos información sobre el funcionamiento de los ataques de día cero, discutiremos las principales tendencias de vulnerabilidad de día cero y veremos algunos ejemplos de ataques de día cero. Sigue leyendo para obtener más información y conocer las técnicas de prevención y protección.

¿Qué son los ataques de día cero?

De vez en cuando, se descubren vulnerabilidades en los sistemas informáticos. Estas vulnerabilidades en la seguridad permiten a los atacantes obtener acceso no autorizado, dañar o comprometer un sistema.

Tanto los proveedores de software como los investigadores de seguridad independientes buscan constantemente nuevas vulnerabilidades en los productos de software. Cuando se descubre una vulnerabilidad, el proveedor de software es responsable de sacar cuanto antes un parche para solucionar ese problema de seguridad: los usuarios del software pueden protegerse instalando el parche.

Una vulnerabilidad de día cero es una vulnerabilidad de software que los atacantes descubren antes de que el proveedor se dé cuenta. Al no existir un parche en ese momento, los atacantes pueden explotar fácilmente la vulnerabilidad sabiendo que no existen defensas para la misma. Esto hace que las vulnerabilidades de día cero sean una grave amenaza de seguridad.

Una vez identificada una vulnerabilidad de día cero, los atacantes necesitan un sistema de entrega para acceder al sistema vulnerable.

En muchos casos, el mecanismo de entrega es un correo electrónico de ingeniería social: un correo electrónico u otro mensaje que supuestamente proviene de un corresponsal conocido o legítimo, pero en realidad es de un atacante. El mensaje intenta convencer a un usuario para que realice una acción como abrir un archivo o visitar un sitio web malicioso, activando involuntariamente el exploit.

Un ataque de día 0 se define como el período entre el momento en que se descubre una vulnerabilidad no parcheada y el ataque real. El día cero se refiere al día en que el receptor del ataque descubre el exploit y comienza a trabajar en una solución. Por lo tanto, la carrera comienza para que el receptor del ataque repare la vulnerabilidad antes de que el ataque comience por completo.

Básicamente, los atacantes buscan vulnerabilidades en los sistemas, como software sin parches, y aprovechan esa oportunidad. Los exploits de día cero pueden tomar la forma de malware, virus, gusanos polimórficos o troyanos. Los hackers pueden publicar los exploits en la Deep Web, donde los compran, venden o intercambian.

Tipos

Estos ataques pueden dividirse en ataques dirigidos y no dirigidos.

Los ataques dirigidos de día cero se llevan a cabo contra objetivos de alto perfil, como instituciones gubernamentales o públicas, grandes organizaciones y empleados de alto nivel que tienen acceso privilegiado a sistemas corporativos, acceso a datos confidenciales, propiedad intelectual o activos financieros.

Los ataques de día cero no dirigidos generalmente se lanzan contra una gran cantidad de usuarios domésticos o comerciales que usan un sistema vulnerable, como un sistema operativo o navegador. A menudo, el objetivo del atacante será comprometer estos sistemas y usarlos para construir botnets masivas.

Un ejemplo reciente fue el ataque WannaCry, que utilizó el exploit EternalBlue en el protocolo de archivo SMB de Windows para comprometer más de 200.000 máquinas en un día. Los ataques no dirigidos también pueden atacar hardware, firmware e Internet de las cosas (IoT).

¿Cuáles son sus fases de desarrollo?

Un ataque de día cero generalmente ocurre de la siguiente manera:

  • Buscando vulnerabilidades: los atacantes buscan a través del código o experimentan con aplicaciones populares, buscando vulnerabilidades. También pueden comprar vulnerabilidades en el mercado negro.
  • Código de explotación creado: los atacantes crean un programa de malware u otros medios técnicos para aprovechar la vulnerabilidad.
  • Buscando sistemas afectados por la vulnerabilidad: los atacantes pueden usar bots, escáneres automáticos y otros métodos para identificar sistemas que sufren la vulnerabilidad.
  • Planificación del ataque: en un ataque dirigido a una organización específica, los atacantes pueden realizar un reconocimiento detallado para identificar la mejor manera de penetrar en el sistema vulnerable. En un ataque no dirigido, los atacantes suelen utilizar bots o campañas masivas de phishing para intentar penetrar en la mayor cantidad de sistemas vulnerables posible.
  • Infiltración: un atacante atraviesa las defensas perimetrales de una organización o dispositivo personal.
  • Lanzamiento de exploit de día cero: los atacantes ahora pueden ejecutar código de forma remota en la máquina comprometida.

Los actores de amenazas que planifican y llevan a cabo ataques de día cero pueden pertenecer a varias categorías:

  • Cibercriminales: piratas informáticos cuyo motivo principal suele ser financiero.
  • Hacktivistas: atacantes motivados por una ideología, por lo general querrán que los ataques sean altamente visibles para ayudarlos en su causa.
  • Espionaje corporativo: atacantes que buscan obtener información privada de otras organizaciones de manera ilícita.
  • Ciberguerra: en los últimos años, los estados nacionales y los organismos de seguridad nacional a menudo han recurrido a las amenazas cibernéticas contra la infraestructura de otro país, u organizaciones dentro de otro país que representan infraestructura crítica.

¿Cómo se soluciona una vulnerabilidad de día cero?

Los ataques de día cero son difíciles de defender, pero hay formas de prepararse. Estas son las mejores prácticas que pueden ayudarte a prevenir ataques de día cero:

  • Windows Defender Exploit Guard: una herramienta de seguridad integrada en Windows 2010, que tiene varias capacidades que pueden proteger eficazmente contra ataques de día cero. Puede ser una primera línea de defensa contra los ataques de día cero dirigidos a los endpints de Windows.
  • Antivirus de próxima generación: el antivirus tradicional es en gran medida ineficaz contra las vulnerabilidades de día cero, ya que utilizan vulnerabilidades en el software existente. Sin embargo, las soluciones de Next Generation Antivirus (NGAV) aprovechan la inteligencia sobre amenazas, análisis de comportamiento, análisis de código de aprendizaje automático y técnicas dedicadas contra la explotación que pueden ser efectivas contra algunos ataques de día cero.
  • Administración de parches: establecer un proceso formal e implementar herramientas automatizadas puede ayudar a las organizaciones a detectar sistemas que necesitan parches, obtener parches e implementarlos rápidamente, antes de que los atacantes puedan atacar con un ataque de día cero.
  • Plan de respuesta a incidentes: tener un plan específico centrado en los ataques de día cero puede reducir la confusión y aumentar las posibilidades de detectar, mitigar y reducir el daño causado por los ataques de día cero.

¿A qué tipo de usuarios o empresas suelen afectar?

Si bien los ataques de día cero con frecuencia apuntan a empresas y gobiernos de alto perfil, ninguna organización está a salvo de este tipo de amenaza. De hecho, la investigación muestra que las pymes, que pueden no tener soluciones o equipos de ciberseguridad adecuados debido a limitaciones de inversión, pueden sufrir más que las organizaciones más grandes por las consecuencias de los ataques de día cero.

En promedio, las pymes soportan el doble de los costes de daño asociados con un ataque de punto final exitoso en comparación con las grandes empresas.

Las víctimas principales de los ataques de día cero son las grandes empresas digitales como Microsoft, Google o Apple. Por tanto, todas las empresas y usuarios particulares que usen el software de dichas compañías tienen riesgo de sufrir este tipo de ataques.

Cuanto más grande es la empresa más riesgo tiene de ser objetivo de los ciberdelincuentes a través de un ataque de día cero. Pero también las pequeñas empresas que prestan servicios esenciales pueden verse afectadas por estos ataques, usados normalmente para el espionaje industrial.

Ejemplos de ataques de día cero

La prevención efectiva de ataques de día cero es un desafío importante para cualquier equipo de seguridad. Estos ataques se producen sin previo aviso y pueden pasar por alto muchos sistemas de seguridad. Particularmente aquellos que dependen de métodos basados ​​en firmas.

Para ayudar a mejorar tu seguridad y disminuir el riesgo, puedes comenzar viendo los tipos de ataques que ocurrieron recientemente.

Microsoft

En marzo de 2020, Microsoft advirtió a los usuarios de ataques de día cero que explotaban dos vulnerabilidades separadas. Estas vulnerabilidades afectaron a todas las versiones compatibles de Windows y no se esperaba ningún parche hasta semanas después. Actualmente no hay un identificador CVE para esta vulnerabilidad.

Los ataques apuntaron a vulnerabilidades de ejecución remota de código (RCE) en la biblioteca Adobe Type Manager (ATM). Esta biblioteca está integrada en Windows para administrar las fuentes PostScript Tipo 1.

Los fallos en los cajeros automáticos permitieron a los atacantes usar documentos maliciosos para ejecutar scripts de forma remota. Los documentos llegaron por correo no deseado o fueron descargados por usuarios desprevenidos. Cuando se abren o se previsualizan con el Explorador de archivos de Windows, los scripts se ejecutarán e infectarán los dispositivos de los usuarios.

Internet Explorer

Internet Explorer, el navegador heredado de Microsoft, es otra fuente reciente de ataques de día cero. Esta vulnerabilidad ( CVE-2020-0674 ) ocurre debido a un fallo en la forma en que el motor de secuencias de comandos de IE administra los objetos en la memoria.

Los atacantes pueden aprovechar esta vulnerabilidad engañando a los usuarios para que visiten un sitio web diseñado para explotar el fallo. Esto se puede lograr mediante correos electrónicos de phishing o mediante la redirección de enlaces y solicitudes del servidor.

Sophos

En abril de 2020, se informaron ataques de día cero contra el firewall XG de Sophos. Estos ataques intentaron explotar una vulnerabilidad de inyección SQL ( CVE-2020-12271 ) dirigida al servidor de base de datos PostgreSQL incorporado del firewall.

Si se explota con éxito, esta vulnerabilidad permitiría a los atacantes inyectar código en la base de datos. Este código podría usarse para modificar la configuración del firewall, otorgar acceso a los sistemas o permitir la instalación de malware.

¿Por qué los zero day exploits tienen tanto peligro?

Un exploit de día cero es cuando un atacante aprovecha una vulnerabilidad de día cero para atacar un sistema. Estas vulnerabilidades son especialmente peligrosas porque tienen más probabilidades de tener éxito que los ataques contra las vulnerabilidades establecidas.

En el día cero, cuando se hace pública una vulnerabilidad, las organizaciones aún no han tenido la oportunidad de corregir la vulnerabilidad, lo que hace posible la explotación.

Algo que hace que las hazañas de día cero sean aún más peligrosas es que algunos grupos cibercriminales avanzados usan las hazañas de día cero estratégicamente. Estos grupos reservan exploits de día cero para su uso con objetivos de alto valor, como instituciones médicas o financieras u organizaciones gubernamentales. Esto reduce la posibilidad de que la víctima descubra una vulnerabilidad y puede aumentar la vida útil de la explotación.

Incluso después de desarrollar un parche, los usuarios deben actualizar sus sistemas. Si no lo hacen, los atacantes pueden continuar aprovechando un exploit de día cero hasta que se repare el sistema.

Cómo detectar un ataque 0-day

Las principales técnicas de detección para exploits de día cero son:

Mediante estadística

Este enfoque para detectar exploits de día cero en tiempo real se basa en perfiles de ataque construidos a partir de datos históricos.

Estudiando comportamientos

Afortunadamente, muchos antivirus tienen capacidades avanzadas que les permiten combatir los ataques de día cero de manera efectiva. La detección de malware a través del análisis de comportamiento está ganando terreno, y las mejores soluciones antivirus están implementando esta técnica.

La detección de comportamiento busca malware malicioso registrando patrones de comportamiento sospechosos para identificar el malware. La observación de comportamientos en lugar de las firmas permite que el software antivirus busque malware no detectado y luche eficazmente contra los ataques de día cero.

Mediante firma

El software antivirus tradicional se queda corto frente a los ataques de día cero porque están basados ​​en firmas. Cuando se descubren nuevos virus, tu proveedor de antivirus codifica una firma para protegerse contra él. Luego, cuando esa firma se escanea más tarde, el virus no puede ingresar a tu red.

Por definición, los exploits de día cero son peligrosos porque tu software antivirus no tiene firmas para identificarlos. Hasta que se identifique y se repare la vulnerabilidad, las vulnerabilidades de día cero pueden pasar desapercibidas a través del software antivirus tradicional.

Métodos combinados

Como su nombre indica, este enfoque es una combinación de diferentes enfoques.

El enfoque tradicional para detectar exploits de día cero a menudo implica confiar en dispares tecnologías de protección de redes y terminales, que pueden causar lagunas en el sistema de seguridad.

Desafortunadamente, esto puede no ser suficiente para combatir a los atacantes que usan métodos de ataque avanzados. La detección de ataques dirigidos avanzados requiere un enfoque integrado de varias capas.

Consejos para prevenir los ataques día cero

Si bien sería imposible mitigar todos los riesgos previsibles de día cero, hay varias medidas procesables que cualquier empresa, pequeña o grande, puede tomar para reducir ese riesgo.

  1. Mantén tu software actualizado.
  2. Busca una solución cuando se anuncie una vulnerabilidad de día cero y aplica los parches que lanzan los proveedores de software.
  3. No subestimes la amenaza. Los ciberdelincuentes trabajan continuamente para descubrir y explotar agujeros de seguridad, incluidos aquellos que pueden otorgarles acceso total a tus dispositivos. La información de identificación personal a la que pueden acceder sobre ti, tus empleados y tus clientes puede abrir a las víctimas para identificar robos, fraudes bancarios e incluso ransomware.
  4. Usa AI para predecir e identificar ataques de día cero en tiempo real. Las herramientas de IA crean una comprensión básica de la red de una empresa e identifican las anomalías a medida que ocurren, permitiendo que los ataques de día cero sean alertados cuando ocurren en tiempo real.

Protección de día cero

Dentro de las medidas de protección frente a ataques de día cero, podemos destacar las siguientes:

Parche y actualización

Aplica parches a servidores, sistemas y redes tan pronto como estén disponibles. Nunca dejes pasar los parches por un período prolongado de tiempo. Esto ayuda a reducir la cantidad de fallos dentro de stus sistemas. Las empresas también deben incluir los ataques de día cero en las políticas de administración de parches y en las políticas y procedimientos generales de seguridad cibernética.

Usa múltiples capas de seguridad

Utiliza firewall o sistemas de detección de intrusos basados ​​en IA que filtren el tráfico malicioso o las actividades de red. Además, utiliza cajas de arena para poner en cuarentena los archivos sospechosos o como entornos de trabajo.

Restringe el uso de software de código abierto

Al restringir el uso y asegurar tu software de código abierto, se pueden prevenir mejor los ataques de día cero. Asegúrate de realizar un seguimiento del uso de software de código abierto en toda tu organización y actualízalo frecuentemente. Esto ayudará a garantizar que las vulnerabilidades ocurran con menos frecuencia.

Usa redes de área local virtuales

Al segregar áreas de la red con segmentos de red físicos o virtuales dedicados, también conocidos como VLAN (Red de área local virtual), puedes aislar el tráfico sensible que fluye entre los servidores. Las VLAN hacen posible que los administradores de red particionen una red conmutada para satisfacer sus propias necesidades.

Protege las puertas de enlace de correo electrónico, los servidores y las redes

Asegúralos por igual, ya que los ataques de día cero pueden presentarse a varias partes de una organización. Ya sea que los piratas informáticos busquen implementar malware o entregar cargas útiles, es importante tener en cuenta cada impacto potencial para evitar que se inicie un exploit de día cero.

Cambiar todas las contraseñas predeterminadas

La mayoría de los dispositivos IoT vienen con contraseñas predeterminadas, lo que puede ser más fácil de adivinar para los humanos. Además, las contraseñas predeterminadas son objetivos fáciles para ataques automáticos que escanean Internet en busca de dispositivos con credenciales predeterminadas, y también deberían reducir el riesgo de que una organización sea víctima de ataques de fuerza bruta.

Practica regularmente la ciberseguridad

Los esfuerzos de ciberseguridad deberían ser una parte continua de tus esfuerzos para proteger tu red y tus datos. Promueve una cultura de conciencia cuando se trata de ciberseguridad y, por ejemplo, cómo los usuarios pueden ser atraídos por un ataque de phishing o vishing. Educa a los empleados regularmente sobre los peligros que acechan y cómo pueden ayudar a proteger los datos de tu empresa.

Ten una estrategia de recuperación ante desastres

Si te ves afectado por un ataque de día cero, es imprescindible contar con un plan de recuperación ante desastres. Esto te permitirá mitigar el daño si ocurre un ataque. Utiliza una combinación de almacenamiento dentro y fuera del sitio para hacer una copia de seguridad de tus datos.

Desbordamiento de búferes

Un error de acceso a la memoria que se encuentra con frecuencia y que resulta en el almacenamiento de datos en
una ubicación diferente a la prevista por el programador es un desbordamiento de búfer. Tales errores generalmente ocurren al copiar datos entre buffers sin comprobar su tamaño.

Esperar para actualizar una versión

Deben implementarse parches de software lo antes posible para las vulnerabilidades de software recién descubiertas. Si bien esto no puede evitar ataques de día cero, la aplicación rápida de parches y actualizaciones de software puede reducir significativamente el riesgo de un ataque.

Sin embargo, hay tres factores que pueden retrasar la implementación de parches de seguridad. Los proveedores de software se toman el tiempo para descubrir vulnerabilidades, desarrollar un parche y distribuirlo a los usuarios. También puede llevar tiempo aplicar el parche en los sistemas organizacionales. Cuanto más tiempo lleve este proceso, mayor será el riesgo de un ataque de día cero.