معنى وتعريف هجمات الصفر يوم zero day
هجمات الصفر يوم zero day هو مصطلح واسع يصف الثغرات الأمنية المكتشفة مؤخرًا والتي يمكن للقراصنة استخدامها لمهاجمة الأنظمة.
يشير مصطلح “هجمات الصفر يوم zero day” إلى حقيقة أن البائع أو المطور قد علم للتو بالعيب – مما يعني أنه ليس أمامهم “أيام” لإصلاحه.
أي تحدث هجمات الصفر يوم zero day عندما يستغل المتسللون الخلل قبل أن تتاح للمطورين فرصة لمعالجته.
تتم كتابة Zero-day أحيانًا كـ 0-day. عادةً ما يتم استخدام كلمات الضعف والاستغلال والهجوم جنبًا إلى جنب مع الصفر يوم، ومن المفيد فهم الفرق:
zero-day vulnerability ثغرة هجمات الصفر يوم zero day هي ثغرة برمجية اكتشفها المهاجمون قبل أن يصبح البائع على علم بها.
نظرًا لأن البائعين ليسوا على دراية، فلا يوجد تصحيح لثغرات هجمات الصفر يوم zero day، مما يجعل الهجمات محتملة النجاح جداً (تعرف أيضاً هجمات دون انتظار).
zero-day exploitis استغلال لهجمات الصفر يوم zero day هو الأسلوب الذي يستخدمه المتسللون لمهاجمة الأنظمة التي تحتوي على ثغرة أمنية لم يتم التعرف عليها من قبل.
zero-day attack هجمات الصفر يوم zero day هو استخدام ثغرة هجمات الصفر يوم zero day لإحداث ضرر أو سرقة البيانات من نظام متأثر بالثغرة الأمنية.
اقرأ أيضاً هجمات الحرمان من الخدمات DDoS – ما هي؟
كيف تعمل هجمات Zero-Day ؟
غالبًا ما تحتوي البرامج على ثغرات أمنية يمكن للقراصنة استغلالها لإحداث الفوضى. يبحث مطورو البرامج دائمًا عن الثغرات الأمنية من أجل “التصحيح” – أي تطوير حل يصدرونه في تحديث جديد.
ومع ذلك، في بعض الأحيان يكتشف المتسللون أو الجهات الخبيثة الثغرة الأمنية قبل مطوري البرامج. بينما لا تزال الثغرة الأمنية مفتوحة، يمكن للمهاجمين كتابة التعليمات البرمجية وتنفيذها للاستفادة منها.
قد يؤدي رمز الاستغلال إلى تعرض مستخدمي البرنامج للإيذاء – على سبيل المثال، من خلال سرقة الهوية أو أشكال أخرى من الجرائم الإلكترونية.
بمجرد أن يحدد المهاجمون ثغرة هجمات الصفر يوم zero day، فإنهم يحتاجون إلى طريقة للوصول إلى النظام المعرض للخطر.
غالبًا ما يفعلون ذلك من خلال بريد إلكتروني مصمم اجتماعيًا – أي بريد إلكتروني أو رسالة أخرى يفترض أنها من مراسل معروف أو شرعي ولكنها في الواقع من مهاجم.
تحاول الرسالة إقناع المستخدم بتنفيذ إجراء مثل فتح ملف أو زيارة موقع ويب ضار. يؤدي القيام بذلك إلى تنزيل البرامج الضارة للمهاجم، والتي تتسلل إلى ملفات المستخدم وتسرق البيانات السرية.
عندما تُعرف ثغرة أمنية، يحاول المطورون تصحيحها لإيقاف الهجوم. ومع ذلك، غالبًا لا يتم اكتشاف الثغرات الأمنية على الفور.
قد يستغرق الأمر أحيانًا أيامًا أو أسابيع أو حتى شهورًا قبل أن يحدد المطورون الثغرة الأمنية التي أدت إلى الهجوم.
وحتى بمجرد إصدار تصحيح هجمات الصفر يوم zero day، لا يسارع جميع المستخدمين في تنفيذه.
في السنوات الأخيرة، كان المتسللون أسرع في استغلال نقاط الضعف بعد وقت قصير من اكتشافها.
تعتبر هجمات Zero-day خطيرة بشكل خاص لأن الأشخاص الذين يعرفون عنها فقط هم المهاجمون أنفسهم. بمجرد اختراقهم لشبكة.
يمكن للمجرمين إما الهجوم على الفور أو الجلوس وانتظار الوقت الأكثر فائدة للقيام بذلك.
اقرأ أيضاً ما هو الأمن السحابي؟ – و لماذا يعتبر مهماً في عصرنا الحالي؟
أمثلة عن هجمات الصفر يوم zero day
فيما يلي بعض الثغرات الأمنية المعروفة التي تم اكتشافها خلال العامين الماضيين:
هجوم الكاسية
في يوم الجمعة، 2 يوليو، تمكن مشغلو برامج الفدية من REvil من اختراق برنامج Kaseya VSA، المستخدم لمراقبة وإدارة البنية التحتية لعملاء Kaseya.
استخدم مشغلو REvil Ransomware ثغرات هجمات الصفر يوم zero day لتقديم تحديث ضار، مما أدى إلى اختراق أقل من 60 عميلًا من عملاء Kaseya و 1500 شركة في مجال المصب، وفقًا لبيان Kaseya العام.
SonicWall VPN
في 4 فبراير 2021، أعلن فريق الاستجابة لحوادث أمان المنتجات (PSIRT) التابع لـ SonicWall عن ثغرة أمنية جديدة.
CVE-2021-20016، والتي تؤثر على أجهزة SMA (الوصول الآمن عبر الهاتف المحمول).
في الوثائق، ذكرت SonicWall أن هذه الثغرة الأمنية الجديدة تؤثر على منتج SMA 100 series، والتحديثات مطلوبة للإصدارات التي تعمل بنظام 10.x الثابت.
لم تذكر SonicWall ما إذا كان هذا الاستغلال الأحدث يؤثر على أي أجهزة SRA VPN قديمة لا تزال في بيئات الإنتاج أم لا.
مرحل التخزين المؤقت للطابعة MSRPC (CVE-2021-1678)
في يوم الثلاثاء، 12 يناير 2021، أصدرت Microsoft تصحيحًا لـ CVE-2021-1678، وهي ثغرة أمنية مهمة اكتشفها باحثو CrowdStrike®.
تسمح هذه الثغرة الأمنية للمهاجم بترحيل جلسات مصادقة NTLM إلى جهاز مهاجم، واستخدام واجهة MSRPC للتخزين المؤقت للطابعة لتنفيذ التعليمات البرمجية عن بُعد على الجهاز المهاجم.
زيرولوجون
في 11 أغسطس 2020، أصدرت Microsoft تحديثًا أمنيًا يتضمن تصحيحًا لثغرة أمنية خطيرة في بروتوكول NETLOGON (CVE-2020-1472) الذي اكتشفه باحثو Secura.
نظرًا لعدم نشر تفاصيل فنية أولية، فشلت CVE في التحديث الأمني في تلقي الكثير من الاهتمام، على الرغم من أنها حصلت على أقصى درجات CVSS وهي 10.
تسمح مشكلة عدم الحصانة هذه لمهاجم غير مصدق لديه وصول للشبكة إلى وحدة تحكم المجال، لتأسيس جلسة Netlogon ضعيفة والحصول في النهاية على امتيازات مسؤول المجال.
تعتبر الثغرة خطيرة بشكل خاص لأن الشرط الوحيد لاستغلال ناجح هو القدرة على إنشاء اتصال مع وحدة تحكم المجال.
ثغرة NTLM
في يونيو 2019 يوم الثلاثاء، أصدرت Microsoft تصحيحات لـ CVE-2019-1040 و CVE-2019-1019، وهما ثغرتان تم اكتشافهما بواسطة باحثين Preempt (الآن CrowdStrike).
تتكون نقاط الضعف الحرجة من ثلاثة عيوب منطقية في NTLM (بروتوكول المصادقة الخاص بشركة Microsoft). تمكن الباحثون الاستباقيون من تجاوز جميع آليات حماية NTLM الرئيسية.
تسمح هذه الثغرات الأمنية للمهاجمين بتنفيذ تعليمات برمجية ضارة عن بُعد على أي جهاز يعمل بنظام Windows
أو المصادقة على أي خادم HTTP يدعم مصادقة Windows المتكاملة (WIA) مثل Exchange أو ADFS. جميع إصدارات Windows التي لم تطبق هذا التصحيح ضعيفة.
ستوكسنت
واحدة من أشهر هجمات الصفر يوم zero day هي Stuxnet ، الدودة التي يعتقد أنها مسؤولة عن التسبب في أضرار جسيمة لبرنامج إيران النووي.
استغلت هذه الدودة أربع نقاط ضعف مختلفة في نظام التشغيل Microsoft Windows.
كيفية التعرف على هجمات
نظرًا لأن ثغرات هجمات الصفر يوم zero day يمكن أن تتخذ أشكالًا متعددة .
مثل تشفير البيانات المفقودة، والتفويضات المفقودة، والخوارزميات المعطلة، والأخطاء، ومشكلات أمان كلمة المرور، وما إلى ذلك – فقد يكون من الصعب اكتشافها.
نظرًا لطبيعة هذه الأنواع من الثغرات الأمنية، فإن المعلومات التفصيلية حول عمليات استغلال ثغرات هجمات الصفر يوم zero day متاحة فقط بعد تحديد هذه الثغرات.
قد ترى المنظمات التي تتعرض للهجوم من خلال استغلال لهجمات الصفر يوم zero day حركة مرور غير متوقعة أو نشاط مسح مشبوه ينشأ من عميل أو خدمة. تتضمن بعض تقنيات اكتشاف اليوم صفر ما يلي:
استخدام قواعد البيانات الموجودة للبرامج الضارة وكيفية تصرفها. على الرغم من أن قواعد البيانات هذه يتم تحديثها بسرعة كبيرة ويمكن أن تكون مفيدة كنقطة مرجعية.
فإن ثغرات هجمات الصفر يوم zero day جديدة وغير معروفة. لذلك هناك حد لمقدار قاعدة البيانات الحالية التي يمكن أن تخبرك بها.
بدلاً من ذلك، تبحث بعض التقنيات عن خصائص البرامج الضارة في هجمات الصفر يوم zero day بناءً على كيفية تفاعلها مع النظام المستهدف.
بدلاً من فحص رمز الملفات الواردة، تبحث هذه التقنية في التفاعلات التي تجريها مع البرامج الحالية وتحاول تحديد ما إذا كانت ناتجة عن إجراءات ضارة.
اقرأ أيضاً أهم أدوات الحماية – 12 أداة رائعة
الحماية من هجمات Zero-day
لاكتشاف هجمات هجمات الصفر يوم zero day والتخفيف من حدتها بشكل فعال، هناك حاجة إلى دفاع منسق يتضمن كلاً من تقنية الوقاية وخطة استجابة شاملة في حالة وقوع هجوم.
نظرًا لأن البرامج التي بها ثغرات أمنية يمكن أن تكون في بيئة أي شركة، فإن محاولة الاختراق أمر لا مفر منه، لذلك من الضروري أن يكون لديك أمان نقطة النهاية مع إمكانات مكافحة الاستغلال وما بعد الاستغلال.
لتحسين الدفاع، يجب على المؤسسات تنفيذ أفضل تقنية وقائية عند نقطة الهجوم، مع وجود خطة لسيناريوهات أسوأ الحالات.
بعد ذلك، إذا نجح المهاجم في الدخول إلى الشبكة، فسيكون لدى فريق الأمان الأدوات والعمليات والتكنولوجيا اللازمة للتخفيف من الحدث قبل حدوث ضرر حقيقي.
