Zero day exploit o vulnerabilidad de día cero

Definición

Un zero day exploit o vulnerabilidad de día cero es un fallo de seguridad informática que nunca se había visto antes. Por lo general, un atacante sondea a un sistema hasta que descubre una vulnerabilidad. Si nunca se ha reportado, entonces es de día cero, porque los desarrolladores han tenido precisamente cero días para corregirlo. Aprovechar el fallo de seguridad es un ataque (o exploit) de día cero, que suele llevar a una vulneración en el sistema objetivo. Las vulnerabilidades de día cero pueden estar disponibles durante años antes de reportarse. Los atacantes que los encuentran suelen vender sus zero day exploits en la darknet o internet oscura.

La formación en ciberseguridad empieza aquí

Iniciar una prueba gratuita

La prueba gratuita funciona de la siguiente manera:

  • Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
  • En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
  • ¡Conozca nuestra tecnología en acción!
  • Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.

Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.

Un representante de Proofpoint se comunicará con usted en breve.

Cómo funciona una vulnerabilidad de día cero

El tipo de exploit que se emplea para aprovecharse de una vulnerabilidad de día cero depende del fallo encontrado. Se pueden usar diversos exploits para aprovechar un mismo día cero. Por ejemplo, un ataque de intermediario podría usarse para interceptar datos y ejecutar un ataque de cross-site scripting (XSS).

El flujo de trabajo para un día cero comienza cuando el atacante halla una vulnerabilidad. La vulnerabilidad podría ser de hardware, firmware, software o cualquier otro sistema corporativo. Los pasos indicados a continuación ofrecen un flujo de trabajo general para un ataque de día cero:

  1. Los desarrolladores implementan una aplicación o actualización a una aplicación que contiene una vulnerabilidad desconocida.
  2. Un atacante escanea el software y detecta una vulnerabilidad, o un atacante encuentra un fallo en el código fuente después de descargarla del repositorio.
  3. Un atacante usa herramientas y recursos para aprovechar la vulnerabilidad. Esto podría consistir en software creado a medida por el atacante, o en herramientas disponibles en el mercado.
  4. Esta vulnerabilidad podría ser explotada durante años enteros antes de que se descubra, pero eventualmente ocurrirá que equipos investigadores, el público general o los profesionales de TI identificarán la actividad de los atacantes y notifiquen a los desarrolladores acerca de la vulnerabilidad.

El término de día cero hace referencia a la cantidad de tiempo que han tenido los desarrolladores para corregir la vulnerabilidad. Al momento de su descubrimiento, los desarrolladores han tenido exactamente cero días para corregirla. Una vez implementada la actualización, la vulnerabilidad ya no se considera de día cero. Ahora, si bien los desarrolladores pueden implementar una actualización, la vulnerabilidad puede permanecer activa si los administradores y usuarios no la instalan y el sistema permanece desactualizado. Los sistemas sin actualizar son la principal causa de filtraciones de datos críticas. Por ejemplo, la filtración de datos de Equifax, en la que los atacantes filtraron cientos de millones de registros, fue debido a un servidor web de cara al público que no se había actualizado.

Cómo detectar un zero day exploit

Los desarrolladores no piensan igual que los hackers, así que no es raro que una base de código grande contenga al menos una vulnerabilidad. Los atacantes escanean el software durante semanas y lo revisan para hallar errores. Los atacantes remotos usan diversos tipos de herramientas para hallar vulnerabilidades en el software basado en la nube, pero las organizaciones pueden tomar pasos para detectar comportamientos sospechosos y pararlos.

Algunas de las estrategias disponibles para detectar actividades sospechosas y evitar zero day exploits incluyen:

  • Monitorización basada en estadísticas: Los proveedores de antimalware publican estadísticas acerca de los exploits previamente detectados. Estos puntos de datos pueden introducirse en un sistema de aprendizaje automático para que este ayude a detectar ataques actuales. Este tipo de detección tiene una capacidad limitada de detectar amenazas avanzadas actuales, de modo que podría estar sujeta a falsos positivos o negativos.
  • Detección basada en firmas: Todos los exploits tienen una firma digital. Las firmas digitales también se pueden introducir en sistemas de inteligencia artificial y algoritmos de aprendizaje automático para detectar variantes a ataques anteriores.
  • Monitorización basada en comportamiento: El malware usa procedimientos específicos para sondear un sistema, y la detección basada en comportamiento envía alertas cuando se detectan tráfico y escaneos sospechosos en la red. En vez de analizar firmas o actividad dentro de la memoria, la detección basada en comportamiento identifica al malware basándose en su interacción con dispositivos.
  • Detección híbrida: Un enfoque híbrido emplea una combinación de los tres métodos antes indicados. Incluso puede usar los tres métodos de monitorización y detección para ser más eficaz para encontrar malware.

¿Por qué son peligrosos los exploits de día cero?

Como los zero day exploits son desconocidos, esto significa que hay potenciales vulnerabilidades que también quedan sin descubrir. La carga útil podría consistir en ejecución remota de código, ransomware, robo de credenciales, denegación de servicio (DoS) o una cantidad de otras posibilidades. La naturaleza insidiosa de una vulnerabilidad zero day podría poner en riesgo a una organización durante meses enteros antes de ser detectada y contenida.

Con una vulnerabilidad desconocida, la organización podría resultar víctima de una amenaza persistente avanzada (APT). Las APT son especialmente peligrosas, porque estos atacantes dejan puertas traseras y surcan internet usando malware complejo. No es raro que las organizaciones piensen que tienen contenida la amenaza, pero que resulte que la APT sigue presente en la red hasta que se complete una investigación forense exhaustiva de la incidencia.

Las vulnerabilidades no siempre comienzan por fallos de configuración o vulnerabilidades en la red corporativa. Las empresas con políticas que permiten traer su propio dispositivo (BYOD) introducen un riesgo adicional en la red local al permitir a los usuarios llevarse a casa los dispositivos del trabajo. Si el dispositivo de un usuario queda comprometido, podría llevar a una infección de la red corporativa entera.

Mientras más tiempo pase oculta una vulnerabilidad, más tiempo tendrá el atacante para aprovecharla. Una vulnerabilidad zero day desconocida podrían permitirle a un atacante, potencialmente, filtrar gigabytes de datos. Por lo general, los datos se filtran lentamente para evitar su detección, y es solamente después de que se han perdido millones de registros que la organización detecta el fallo.

¿Cómo evitar y recuperarse de una vulnerabilidad de día cero?

Las organizaciones y los individuos tienen diversas opciones disponibles para ayudarles a evitar y recuperarse de un ataque de día cero exitoso. Tanto las organizaciones como los individuos necesitan ser proactivos acerca de las defensas antimalware. Las defensas deberían ser una combinación de estrategias y técnicas de ciberseguridad estandarizadas para detener a los atacantes y enviar notificaciones de posibles vulnerabilidades.

Algunas defensas de ciberseguridad que pueden ayudar a remediar zero day exploits incluyen:

  • Aplicaciones antivirus: Tanto si es en un dispositivo móvil como en un dispositivo de escritorio, es importante instalar software antivirus. Las aplicaciones antivirus avanzadas que incorporan inteligencia artificial usan patrones y comportamientos de malware para detectar amenazas en vez de archivos de firmas como los antivirus tradicionales.
  • Cortafuegos: Un cortafuegos detiene los escaneos de puertos y el acceso a diferentes servicios en equipos de sobremesa o en la red. Pueden usarse para filtrar tráfico y acceso no autorizado a la red.
  • Aplicaciones de monitorización: Los sistemas de monitorización no son muy comunes en las redes caseras, pero son una necesidad para las organizaciones. El software de monitorización detecta actividad de tráfico inusual, solicitudes de acceso a archivos (tanto exitosas como fallidas), lecturas de bases de datos, cambios en las configuraciones de sistemas operativos y muchas otras acciones de atacantes.
  • Revisar regularmente las configuraciones del sistema: Los errores de configuración llevan a vulnerabilidades abiertas. Es necesario revisar las configuraciones del sistema para garantizar que bloqueen a los atacantes, incluyendo a los actores de amenaza internos.
  • Formar a los usuarios acerca de los peligros del phishing: Darles a los usuarios las herramientas para detectar y reportar el phishing reducirá significativamente el riesgo de ataques exitosos de phishing y de ingeniería social.

Si la organización sufre una vulneración, los siguientes pasos son la respuesta a incidencias y las investigaciones correspondientes. Reaccionar rápido después de detectar una vulneración es muy importante para poder contener y erradicar la amenaza del entorno rápidamente. Es posible que haga falta una investigación exhaustiva para identificar vulnerabilidades y cualquier puerta trasera que haya dejado el atacante. Los análisis forenses digitales ayudan a identificar al atacante, cosa que es clave durante la recuperación, sobre todo si el atacante es un actor interno.

¿Listo para probar Proofpoint?

Empiece con una versión de evaluación gratuita de Proofpoint.