Ý nghĩa và định nghĩa Zero-day
"Zero-day" là một thuật ngữ rộng mô tả các lỗ hổng bảo mật được phát hiện gần đây mà tin tặc có thể sử dụng để tấn công hệ thống. Thuật ngữ "zero-day" ám chỉ việc nhà cung cấp hoặc nhà phát triển chỉ vừa mới biết về lỗ hổng – điều đó có nghĩa là họ có "không ngày" để khắc phục. Một cuộc tấn công zero-day xảy ra khi tin tặc khai thác lỗ hổng trước khi các nhà phát triển có cơ hội giải quyết.
Zero-day đôi khi được viết là 0-day. Cùng với zero-day, các từ thường được sử dụng là lỗ hổng bảo mật, khai thác và tấn công và việc hiểu sự khác biệt giữa chúng rất hữu ích:
- Lỗ hổng bảo mật zero-day là lỗ hổng phần mềm được kẻ tấn công phát hiện trước khi nhà cung cấp biết đến. Vì các nhà cung cấp không biết nên không có bản vá nào sẵn có cho lỗ hổng bảo mật zero-day, do vậy các cuộc tấn công có cơ hội thành công.
- Khai thác zero-day là một phương thức mà tin tặc sử dụng để tấn công các hệ thống có lỗ hổng bảo mật chưa được xác định trước đó.
- Tấn công zero-day là việc sử dụng khai thác zero-day để gây thiệt hại hoặc đánh cắp dữ liệu từ một hệ thống bị ảnh hưởng bởi lỗ hổng bảo mật.
Tấn công zero-day là gì và tấn công zero-day hoạt động như thế nào?
Phần mềm thường có những lỗ hổng bảo mật mà tin tặc có thể khai thác để gây thiệt hại. Các nhà phát triển phần mềm luôn tìm kiếm các lỗ hổng bảo mật để "vá" – tức là phát triển một giải pháp mà họ phát hành trong bản cập nhật mới.
Tuy nhiên, đôi khi tin tặc hoặc các tác nhân độc hại phát hiện ra lỗ hổng bảo mật trước khi các nhà phát triển phần mềm nhận ra. Trong khi lỗ hổng bảo mật vẫn còn đang mở, kẻ tấn công có thể viết và thực thi mã để lợi dụng nó. Đây được gọi là mã khai thác.
Mã khai thác có thể khiến người dùng phần mềm trở thành nạn nhân – ví dụ, thông qua việc trộm cắp danh tính hoặc các hình thức tội phạm mạng khác. Khi kẻ tấn công xác định được một lỗ hổng bảo mật zero-day, chúng cần tìm cách tiếp cận hệ thống dễ bị tấn công này. Chúng thường làm việc này thông qua một email sử dụng công nghệ xã hội – nghĩa là một email hoặc tin nhắn khác được cho là từ một người quen hoặc hợp pháp nhưng thực chất lại là từ kẻ tấn công. Tin nhắn này cố gắng thuyết phục người dùng thực hiện một hành động như mở tập tin hoặc truy cập một trang web độc hại. Việc làm này sẽ tải xuống phần mềm độc hại của kẻ tấn công, xâm nhập vào các tập tin của người dùng và đánh cắp dữ liệu bí mật.
Khi phát hiện ra một lỗ hổng bảo mật, các nhà phát triển sẽ cố gắng vá nó để ngăn chặn cuộc tấn công. Tuy nhiên, lỗ hổng bảo mật thường không được phát hiện ngay lập tức. Đôi khi có thể mất nhiều ngày, nhiều tuần hoặc thậm chí nhiều tháng các nhà phát triển mới xác định được lỗ hổng bảo mật dẫn đến cuộc tấn công. Và kể cả khi họ đã phát hành bản vá lỗi zero-day, không phải tất cả người dùng đều nhanh chóng thực thi nó. Trong những năm gần đây, tin tặc đã nhanh tay hơn trong việc khai thác lỗ hổng bảo mật ngay sau khi phát hiện ra chúng.
Chúng có thể bán các khai thác trên web tối với số tiền lớn. Khi một khai thác được phát hiện và vá lại, nó không còn được coi là mối đe dọa zero-day nữa.
Các cuộc tấn công zero-day đặc biệt nguy hiểm vì chỉ những kẻ tấn công mới biết về chúng. Sau khi đã xâm nhập vào một mạng, bọn tội phạm có thể tấn công ngay lập tức hoặc ngồi chờ thời điểm thuận lợi nhất để hành động.
Ai thực hiện các cuộc tấn công zero day?
Các tác nhân độc hại thực hiện những cuộc tấn công zero-day được chia thành nhiều loại khác nhau, tùy thuộc vào động cơ của chúng. Ví dụ:
- Tội phạm mạng – những tin tặc mà động cơ của chúng thường là lợi ích tài chính
- Kẻ theo chủ nghĩa xâm nhập – những tin tặc có động cơ chính trị hoặc xã hội muốn mọi người thấy các cuộc tấn công của chúng để thu hút họ chú ý đến mục đích của chúng
- Gián điệp doanh nghiệp – những tin tặc có mục đích theo dõi các công ty để lấy thông tin về họ
- Chiến tranh mạng – các quốc gia hoặc tác nhân chính trị muốn do thám hoặc tấn công cơ sở hạ tầng mạng của quốc gia khác
Mục tiêu của các cuộc khai thác zero-day là ai?
Một cuộc xâm nhập zero-day có thể khai thác các lỗ hổng bảo mật trong nhiều hệ thống, bao gồm:
- Hệ điều hành
- Trình duyệt web
- Các ứng dụng văn phòng
- Các thành phần nguồn mở
- Phần cứng và firmware
- Internet vạn vật (IoT)
Kết quả là có nhiều nạn nhân tiềm năng:
- Những cá nhân sử dụng một hệ thống dễ bị tấn công, chẳng hạn như trình duyệt hoặc hệ điều hành. Tin tặc có thể sử dụng các lỗ hổng bảo mật để xâm phạm các thiết bị và xây dựng các botnet lớn
- Các cá nhân có quyền truy cập vào dữ liệu kinh doanh có giá trị, chẳng hạn như sở hữu trí tuệ
- Các thiết bị phần cứng, firmware và internet vạn vật
- Các doanh nghiệp và tổ chức lớn
- Các cơ quan chính phủ
- Các mục tiêu chính trị và/hoặc các mối đe dọa bảo mật quốc gia
Sẽ hữu ích khi nghĩ về các cuộc tấn công zero-day có mục tiêu và không có mục tiêu:
- Các cuộc tấn công zero-day có mục tiêu được thực hiện nhắm vào các mục tiêu có giá trị tiềm năng – chẳng hạn như các tổ chức lớn, các cơ quan chính phủ hoặc các cá nhân có địa vị cao.
- Các cuộc tấn công zero-day không có mục tiêu thường nhắm vào người dùng các hệ thống dễ bị tấn công, chẳng hạn như hệ điều hành hoặc trình duyệt.
Kể cả khi kẻ tấn công không nhắm vào một cá nhân cụ thể, một số lượng lớn người vẫn có thể bị ảnh hưởng bởi các cuộc tấn công zero-day, thường là thiệt hại ngoài ý muốn. Các cuộc tấn công không có mục tiêu nhằm mục đích thu thập càng nhiều người dùng càng tốt, nghĩa là dữ liệu người dùng trung bình có thể bị ảnh hưởng.
Cách xác định các cuộc tấn công zero-day
Vì lỗ hổng bảo mật zero-day có thể xuất hiện dưới nhiều hình thức – chẳng hạn như thiếu mã hóa dữ liệu, thiếu cấp quyền, thuật toán bị hỏng, lỗi, vấn đề về bảo mật bằng mật khẩu, v.v. – nên việc phát hiện chúng có thể rất khó khăn. Do bản chất của các loại lỗ hổng bảo mật này, thông tin chi tiết về các khai thác zero-day chỉ có sau khi xác định được việc khai thác.
Các tổ chức bị tấn công bằng một khai thác zero-day có thể thấy lưu lượng bất thường hoặc hoạt động quét đáng ngờ xuất phát từ một máy khách hoặc dịch vụ. Một số kỹ thuật phát hiện zero-day bao gồm:
- Sử dụng cơ sở dữ liệu phần mềm độc hại hiện có và cách chúng hoạt động như một nguồn tham chiếu. Mặc dù các cơ sở dữ liệu này được cập nhật rất nhanh và có thể là một điểm tham chiếu hữu ích, nhưng theo định nghĩa, các khai thác zero-day đều mới và chưa được biết đến. Vì vậy, có một giới hạn về lượng thông tin mà cơ sở dữ liệu hiện tại có thể cung cấp cho bạn.
- Ngoài ra, một số kỹ thuật còn tìm kiếm đặc điểm của phần mềm độc hại zero-day dựa trên cách chúng tương tác với hệ thống mục tiêu. Thay vì kiểm tra mã của các tập tin đến, kỹ thuật này xem xét các tương tác của chúng với phần mềm hiện có và cố gắng xác định liệu chúng có phải là kết quả của các hành động độc hại hay không.
- Học máy ngày càng được sử dụng để phát hiện dữ liệu từ các lần khai thác được ghi lại trước đó nhằm thiết lập đường cơ sở cho hành vi hệ thống an toàn dựa trên dữ liệu về các tương tác trước đây và hiện tại với hệ thống. Càng có nhiều dữ liệu thì việc phát hiện càng đáng tin cậy.
Thông thường, người ta sử dụng kết hợp nhiều hệ thống phát hiện khác nhau.
Ví dụ về các cuộc tấn công zero-day
Một số ví dụ gần đây về các cuộc tấn công zero-day bao gồm:
2021: Lỗ hổng bảo mật zero-day của Chrome
Năm 2021, Chrome của Google đã gặp phải một loạt các mối đe dọa zero-day khiến Chrome phải phát hành các bản cập nhật. Lỗ hổng bảo mật này xuất phát từ một lỗi trong động cơ JavaScript V8 được sử dụng trong trình duyệt web.
2020: Zoom
Một lỗ hổng bảo mật đã được phát hiện trên nền tảng hội nghị truyền hình phổ biến này. Ví dụ về cuộc tấn công zero-day này liên quan đến việc tin tặc truy cập từ xa vào một máy tính của người dùng nếu họ đang chạy phiên bản Windows cũ hơn. Nếu mục tiêu là quản trị viên, tin tặc có thể chiếm toàn bộ máy của họ và truy cập vào tất cả các tập tin.
2020: iOS của Apple
iOS của Apple thường được mô tả là an toàn nhất trong số các nền tảng điện thoại thông minh lớn. Tuy nhiên, năm 2020, ứng dụng này đã trở thành nạn nhân của ít nhất hai lỗ hổng bảo mật zero-day trên iOS, bao gồm một lỗi zero-day cho phép kẻ tấn công xâm nhập iPhone từ xa.
2019: Microsoft Windows, Đông Âu
Cuộc tấn công này tập trung vào các đặc quyền leo thang cục bộ, một phần dễ bị tấn công của Microsoft Windows và nhắm vào các tổ chức chính phủ ở Đông Âu. Khai thác zero-day đã lợi dụng một lỗ hổng bảo mật đặc quyền cục bộ trong Microsoft Windows để chạy mã tùy ý, cài đặt các ứng dụng, xem và thay đổi dữ liệu trên các ứng dụng bị xâm phạm. Sau khi cuộc tấn công được xác định và báo cáo cho Trung tâm phản hồi bảo mật của Microsoft, họ đã phát triển và triển khai một bản vá.
2017: Microsoft Word
Khai thác zero-day này đã xâm phạm tài khoản ngân hàng cá nhân. Nạn nhân là những người đã vô tình mở một tài liệu Word độc hại. Tài liệu hiển thị lời nhắc "tải nội dung từ xa", người dùng thấy một cửa sổ bật lên yêu cầu quyền truy cập bên ngoài từ một chương trình khác. Khi nạn nhân nhấn vào "có", tài liệu đã cài đặt phần mềm độc hại vào thiết bị của họ, có thể đánh cắp thông tin đăng nhập ngân hàng.
Stuxnet
Một trong những ví dụ nổi tiếng nhất về cuộc tấn công zero-day là Stuxnet. Được phát hiện lần đầu tiên vào năm 2010 nhưng có gốc rễ từ năm 2005, loại sâu máy tính độc hại này đã ảnh hưởng đến các máy tính sản xuất chạy phần mềm bộ điều khiển logic lập trình (PLC). Mục tiêu chính là các nhà máy làm giàu uranium của Iran nhằm phá vỡ chương trình hạt nhân của nước này. Sâu này đã lây nhiễm các PLC thông qua các lỗ hổng bảo mật trong phần mềm Siemens Step7, khiến PLC thực hiện các lệnh không mong muốn trên máy móc thuộc dây chuyền lắp ráp. Câu chuyện về Stuxnet sau đó đã được dựng thành một bộ phim tài liệu có tên là Zero Days.
Cách tự bảo vệ bạn khỏi các cuộc tấn công zero-day
Để bảo vệ trước zero-day và giữ an toàn cho máy tính và dữ liệu của bạn, điều quan trọng là các cá nhân và tổ chức cần tuân thủ các biện pháp bảo mật mạng tốt nhất. Biện pháp bao gồm:
Luôn cập nhật tất cả phần mềm và hệ điều hành. Đó là vì các nhà cung cấp thường đưa vào các bản vá bảo mật để khắc phục các lỗ hổng bảo mật mới được phát hiện trong các bản phát hành mới. Việc cập nhật thường xuyên sẽ giúp bạn an toàn hơn.
Chỉ sử dụng những ứng dụng cần thiết. Càng có nhiều phần mềm, bạn càng có nhiều lỗ hổng bảo mật tiềm ẩn. Bạn có thể giảm thiểu rủi ro cho mạng của bạn bằng cách chỉ sử dụng những ứng dụng cần thiết.
Sử dụng tường lửa. Tường lửa đóng vai trò thiết yếu trong việc bảo vệ hệ thống của bạn khỏi các mối đe dọa zero-day. Bạn có thể đảm bảo sự bảo vệ tối đa bằng cách cấu hình nó để chỉ cho phép các giao dịch cần thiết.
Giáo dục người dùng trong tổ chức. Nhiều cuộc tấn công zero-day lợi dụng lỗi của con người. Việc dạy cho nhân viên và người dùng những thói quen tốt về an toàn và bảo mật sẽ giúp họ an toàn khi trực tuyến và bảo vệ các tổ chức khỏi những cuộc khai thác zero-day và các mối đe dọa kỹ thuật số khác.
Sử dụng giải pháp phần mềm diệt virus toàn diện. Kaspersky Premium giúp bảo vệ thiết bị của bạn an toàn bằng cách chặn các mối đe dọa đã biết và chưa biết.
Sản phẩm được khuyến cáo:
