Qu'est-ce qu'une Attaque, une Vulnérabilité ou un Exploit Zero Day ?

avril 15, 2022

Qu’est-ce qu’une vulnérabilité zero day ?

Une vulnérabilité zero day est une vulnérabilité de sécurité ou une faille logicielle inconnue qu’un cybercriminel peut cibler avec du code malveillant. L’expression anglaise « zero day » (jour zéro) désigne le fait que l’éditeur du logiciel n’était pas conscient de la vulnérabilité du logiciel au moment de sa publication et qu’il a eu « 0 » jour pour élaborer un correctif de sécurité ou une mise à jour pour résoudre le problème.

De manière générale, lorsqu’une vulnérabilité zero day est détectée, elle est ajoutée à la liste des failles et vulnérabilités communes (CVE, Common Vulnerabilities and Exposures). La liste CVE consiste en un répertoire de définitions de chaque vulnérabilité de cybersécurité publiquement divulguée.

Ces définitions ont pour but de faciliter le partage des données entre les différentes fonctionnalités de gestion des vulnérabilités (outils, bases de données et services). Les entrées de la liste CVE comprennent un numéro d’identification, une description et au moins une référence publique.

Qu’est-ce qu’un exploit zero day ?

Un exploit zero day est une technique ou une tactique utilisée par un cybercriminel pour exploiter une vulnérabilité et compromettre un système.

Qu’est-ce qu’une attaque zero day ?

On parle d’attaque zero day lorsqu’un cybercriminel utilise un logiciel malveillant pour exploiter une vulnérabilité logicielle avant que le développeur du logiciel n’ait le temps de corriger la faille. Les attaques zero day sont extrêmement dangereuses pour les entreprises. En effet, comme elles sont inconnues et difficilement détectables, elles représentent un risque grave pour la sécurité. Elles s’apparentent à un voleur qui s’introduit par la porte arrière laissée ouverte par inadvertance.

2024 CrowdStrike Global Threat Report: résumé

Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.

Télécharger

Exemples de vulnérabilités, d’exploits et d’attaques zero day

Voici quelques exemples de vulnérabilités connues découvertes ces deux dernières années :

Attaque contre Kaseya

Le vendredi 2 juillet 2021, les opérateurs du ransomware REvil ont réussi à compromettre le logiciel VSA de l’entreprise Kaseya, conçu pour surveiller et gérer l’infrastructure clients de l’entreprise. D’après la déclaration officielle de Kaseya, les opérateurs du ransomware REvil ont utilisé des vulnérabilités zero day pour distribuer une mise à jour malveillante, qui a conduit à la compromission de près de 60 clients de l’entreprise et de 1 500 entreprises en aval. En savoir plus >

Vulnérabilité du VPN de SonicWall

Le 4 février 2021, l’équipe Product Security Incident Response Team (PSIRT) de SonicWall a annoncé une nouvelle vulnérabilité zero day (CVE-2021-20016) affectant ses appareils SMA (Secure Mobile Access). Selon SonicWall, cette nouvelle vulnérabilité touche les produits de la série SMA 100 et une mise à jour est nécessaire pour les versions exécutant le firmware 10.x. SonicWall n’a pas précisé si ou de quelle manière ce nouvel exploit affecte les VPN SRA (Secure Remote Access) plus anciens toujours présents dans les environnements de production. En savoir plus >

Attaque par relais de l’interface MSRPC du spouleur d’imprimante (CVE-2021-1678)

Lors du Patch Tuesday du 12 janvier 2021, Microsoft a publié un correctif pour CVE-2021-1678, une vulnérabilité majeure découverte par les chercheurs de CrowdStrike®. Cette vulnérabilité permet au cybercriminel de relayer les sessions d’authentification NTLM vers la machine qu’il attaque et d’utiliser une interface MSRPC du spouleur d’imprimante pour exécuter à distance un code sur la machine.

Zerologon

Le 11 août 2020, Microsoft a publié une mise à jour de sécurité comprenant un correctif pour une vulnérabilité critique du protocole NETLOGON (CVE-2020-1472) découverte par les chercheurs de Secura. En raison de l’absence de détails techniques dans la publication initiale, la vulnérabilité de la mise à jour de sécurité n’a pas fait l’objet d’une grande attention, bien qu’un score CVSS de 10 lui ait été attribué.

Cette vulnérabilité permet à un cybercriminel non authentifié doté d’un accès réseau à un contrôleur de domaine d’ouvrir une session Netlogon vulnérable et d’obtenir des privilèges d’administrateur de domaine. Elle s’avère particulièrement grave dans la mesure où la réussite de l’exploitation est uniquement subordonnée à l’établissement d’une connexion avec un contrôleur de domaine.

Lire notre analyse technique de l’attaque Zerologon

Vulnérabilité du protocole NTLM

Lors du Patch Tuesday de juin 2019, Microsoft a publié des correctifs pour les vulnérabilités CVE-2019-1040 et CVE-2019-1019, toutes deux découvertes par les chercheurs de Preempt (désormais CrowdStrike). Ces vulnérabilités critiques consistent en trois failles logiques de NTLM (protocole d’authentification propriétaire de Microsoft). Les chercheurs de Preempt ont réussi à contourner tous les mécanismes majeurs de protection de NTLM.

Ces vulnérabilités permettent au cybercriminel d’exécuter à distance un code malveillant sur n’importe quelle machine Windows ou de s’authentifier sur un serveur HTTP quelconque prenant en charge l’authentification intégrée de Windows, comme Exchange ou ADFS. Toutes les versions de Windows sur lesquelles le correctif n’a pas été appliqué sont considérées comme vulnérables.

En savoir plus sur la découverte de cette vulnérabilité

Stuxnet

Stuxnet est l’une des attaques zero day les plus connues. Ce ver aurait porté gravement atteinte au programme nucléaire de l’Iran. Il a exploité quatre vulnérabilités zero day différentes du système d’exploitation Microsoft Windows.

Protection contre les attaques zero day

Pour détecter et atténuer efficacement les attaques zero day, une défense coordonnée est nécessaire, autrement dit une défense qui intègre à la fois des technologies de prévention et un plan de réponse exhaustif en cas d’attaque. Pour se préparer à faire face à ces événements furtifs et destructeurs, les entreprises peuvent déployer une solution de protection des endpoints complète combinant diverses technologies, telles qu’un antivirus de nouvelle génération (NGAV), une solution de détection et d’intervention sur les endpoints (EDR) et la cyberveille.

Dans la mesure où un logiciel présentant des vulnérabilités peut être présent dans l’environnement de toute entreprise, les tentatives de compromission sont inévitables. Il est donc essentiel que les entreprises se dotent d’une solution de sécurité des endpoints intégrant des fonctionnalités anti-exploit et post-exploit.

Pour optimiser leur protection, les entreprises doivent implémenter la meilleure technologie de prévention qui soit au point d’attaque et élaborer un plan couvrant les pires scénarios. Ainsi, en cas d’intrusion d’un cyberattaquant sur le réseau, l’équipe de sécurité disposera des outils, processus et technologies nécessaires pour limiter les conséquences de l’événement avant que des dommages sérieux ne soient causés.

CrowdStrike Falcon® Endpoint Protection permet aux entreprises de bloquer les attaques zero day au point d’attaque grâce au Machine Learning et à l’analyse comportementale. La plateforme Falcon comprend également une logique de prévention et de détection automatiques pour les activités post-exploitation afin d’offrir aux équipes de sécurité une visibilité immédiate sur une attaque, même si celle-ci parvient à contourner les autres défenses.

Regardez la vidéo suivante pour découvrir de quelle manière la plateforme Falcon bloque les attaques zero day :

En plus de détecter les indicateurs d’attaque, Falcon intègre également une technologie d’atténuation des exploits afin de prévenir l’exploitation du système d’exploitation sous-jacent. De ce fait, le cyberadversaire est dans l’incapacité d’utiliser les techniques d’exploitation courantes étant donné que l’exécution du code de l’exploit est stoppée au niveau de l’endpoint, en temps réel. Les attaques zero day qui utilisent des logiciels malveillants jusque-là non détectés sont donc bloquées.

La combinaison par la plateforme Falcon d’une technologie de prévention basée sur les indicateurs d’attaque et de techniques d’atténuation des exploits est une ligne de défense efficace contre les menaces zero day inconnues.

Pour en savoir plus sur CrowdStrike® Falcon et demander une évaluation gratuite, cliquez sur le bouton ci-dessous :

DÉMARRER L’ÉVALUATION GRATUITE