Что такое нулевой день в виндовс

Обновлено: 23.01.2025

Microsoft поделилась временным исправлением уязвимости нулевого дня (SeriousSAM, HiveNightmare, CVE-2021-36934) в Windows 10 и Windows 11, которая может позволить злоумышленникам получить права администратора в уязвимых системах и выполнить произвольный код с привилегиями SYSTEM.

Ошибка локального повышения привилегий в недавно выпущенных версиях Windows позволяет пользователям с низкими привилегиями получать доступ к конфиденциальным файлам базы данных реестра.

Уязвимы все версии Windows 10, выпущенные с 2018 года, а также Windows 11

Брешь в системе безопасности, публично раскрытая исследователем безопасности Йонасом Ликкегаардом (Jonas Lykkegaard) , опубликованная в Twitter и еще не получившая официального исправления, теперь отслеживается Microsoft как уязвимость CVE-2021-36934.

Как далее сообщили в компании Microsoft, данная уязвимость «нулевого дня» затрагивает все выпуски Windows с октября 2018 года, начиная с Windows 10 версии 1809.

Исследовать безопасности также обнаружил, что Windows 11, находящаяся на этапе инсайдерского тестирования, также уязвима.

Исправление уязвимости «нулевого дня» SeriousSAM (HiveNightmare, CVE-2021-36934)

Базы данных, открытые для несанкционированного доступа пользователей из-за этой уязвимости - SYSTEM, SECURITY, SAM, DEFAULT, и SOFTWARE, расположены в папке C:\Windows\system32\config.

Разработчик Mimikatz - приложения с открытым исходным кодов, позвляющее пользователям просматривать и сохранять учетные данные аутентификации, Бенджамин Делпи сообщил порталу BleepingComputer, что злоумышленник может легко воспользоваться неверными правами доступа к файлу, чтобы украсть NTLM-хешированный пароль учетной записи с повышенными правами и получить более высокие привилегии с помощью атаки pass-the-hash.

Хотя злоумышленники не могут напрямую получить доступ к базам данных из-за нарушений доступа, вызванных файлами, всегда используемыми ОС, они могут получить к ним доступ через теневые копии томов.

Microsoft рекомендует ограничить доступ к проблемной папке и удалить теневые копии службы теневого копирования томов (VSS), чтобы смягчить данную проблему.

Имейте ввиду!

Пользователи должны знать, что удаление теневых копий из их систем может повлиять на операции восстановления системы и файлов, такие как восстановление данных с помощью сторонних приложений для резервного копирования.

Вот шаги, необходимые для временной блокировки использования уязвимости «нулевого дня» (SeriousSAM, HiveNightmare, CVE-2021-36934):

Ограничьте доступ к содержимому %windir%\system32\config:

• Откройте Командную строку от имени Администратора.
• Выполните следующую команду:

Удалите теневые копии службы теневого копирования томов (VSS):

• Удалите все точки восстановления системы и теневые тома, которые существовали до ограничения доступа к %windir%\system32\config
• Создайте новую точку восстановления системы (при желании).

Microsoft все еще исследует уязвимость и работает над патчем, который, скорее всего, будет выпущен как дополнительное обновление безопасности позже на этой неделе.

Как проверить, уязвим ли ваш компьютер

Вы можете проверить, подвержен ли ваш компьютер уязвимости (SeriousSAM, HiveNightmare, CVE-2021-36934), проверив два момента.

Запустите Командную строку Windows (наберите «cmd.exe» в строке поиска внизу экрана) и введите следующую команду, затем нажмите клавишу Enter:

Если вы получили ответ, содержащий следующую строку:

. то это означает, что непривилегированные пользователи могут читать файл SAM, и ваша система может быть уязвима.

В таком случае вы захотите проверить, существуют ли теневые копии. Для этого вам нужно будет запустить Командную строку от имени Администратора.

В окно Командной строки введите следующую команду и затем нажмите клавишу Enter:

У вас отобразится полный отчет, который выглядит следующим образом:

В случае отсутствия теневой копии вы получили следующий результат вывода предыдущей команды:

Итак, если по результату двух проверок оказалось, что обычные пользователи имеют доступ к чтению файла SAM и вас также существуют теневые копии, то ваша система Windows уязвима для атак.

Моя система уязвима. Что теперь делать?

Рассмотрим инструкцию по ограничению уязвимости. Дорманн из координационного центра CERT/CC рекомендует предпринять следующие шаги, чтобы избежать риска атак с использованием этой уязвимости. Обратите внимание, что описанное ниже решение удалит существующие теневые копии, поэтому ваш компьютер временно не будет иметь точек восстановления.

Cетевые СМИ часто пишут о новых и опасных, так называемых, уязвимостях нулевого дня или “Zero-Day” Exploit. Но что это за уязвимости? Что на самом деле делает их настолько опасным? Как можно защититься от них? Давайте попробуем разобраться со всеми этими вопросами.

Уязвимость нулевого дня, что это?

Данный термин применяют чтобы определить не устранённые уязвимости, не найденные разработчиками «дырки» в программном коде на стадии тестирования. А также вредоносные программы, вирусы, сетевые черви, боты и трояны против которых ещё не разработана какая-либо защита.

Атака с нулевым днем – это опасность от которой нереально защититься, потому что невозможно огородиться от того, что не знаешь…

Уязвимости в программном обеспечении

В каждой программе можно найти недочёты. Браузер, в котором вы читаете эту статью, будь то Google Chrome, Firefox, Internet Explorer или любой другой, гарантированно содержит ошибки. Такое сложное программное обеспечение написано людьми и содержит уязвимости, о которых мы пока еще не знаем. Многие из этих ошибок не очень опасны – возможно, они вызывают просто сбои в отображении и работе веб-сайтов, или отказ какого-либо модуля вашего браузера. Однако некоторые ошибки – это «дыры» в безопасности. Злоумышленник, который знает об ошибке, может воспользоваться ею для получения доступа к вашей системе.

Конечно, некоторые программы более уязвимы, чем другие. Например, у Java был бесконечный поток уязвимостей. Веб-сайты, использующие подключаемый модуль Java, могли выйти из изолированной программной среды ПО и получить полный доступ к вашему компьютеру. Ошибки, которые скомпрометировали технологию песочницы Google Chrome, случались намного реже. Хотя, даже у Google Chrome уже находили уязвимости нулевого дня.

Обнаружение уязвимостей

Иногда уязвимость обнаруживают «хорошие парни». Хакеры находят ошибку и, не желая ею пользоваться, раскрывают ее разработчикам через службу поддержки, разнообразные форумы, Pwn2Own или программы Google Chrome bugy. Которая, в свою очередь, вознаграждает хакеров за качественное обнаружение «бага» в работе программы. Но чаще всего, разработчики сами обнаруживают опасное несоответствие в коде при тестировании ПО. И выпускают новую версию программы или обновление к существующей.

Впоследствии злоумышленники все-таки могут использовать данную уязвимость после ее раскрытия и исправления, но пользователи уже успеют подготовиться.

Некоторые компании не исправляют свое ПО своевременно после выявления «бага», поэтому, для них атаки могут быть опасными. Однако, если атака нацелена на программу с использованием уже известной уязвимости, для которой выпустили обновление, то это уже не уязвимость нулевого дня.

Атаки уязвимостей с нулевым днём

Иногда уязвимость обнаруживают «плохие парни». Те же хакеры, которые нашли «баг», могут продать ее другим людям и организациям, или использовать ее сами. Сейчас это большой бизнес! Это не просто подростки в подвалах, которые пытаются как-то вам напакостить, такими делами занимается организованная преступность.

Как защитить свою систему

Атаки с уязвимостью нулевого дня страшны тем, что мы о них не имеем никакого представления. Не можем предотвратить их даже если постоянно обновляем все ПО на компьютере. По определению для такой атаки не может быть панацеи.

Так что же мы можем сделать, чтобы защитить себя от таких атак?

• Можем избегать программного обеспечения где были угрозы ранее : мы не знаем наверняка, будет ли в будущем в Java еще одна уязвимость с нулевым днем. Но довольно продолжительная история таких атак в Java означает, что, вероятнее всего, будет. На данный момент, Java уязвим для нескольких атак с нулевым днем, которые еще не были исправлены. Удалите Java (или отключите подключаемый модуль, если вам нужно это ПО), и ваш компьютер будет менее подвержен риску. Adobe PDF Reader и Flash Player также исторически подвергались довольно многому количеству атак, хотя с несколькими последними обновлениями ситуация улучшилась.
• Можем сократить объекты нападения : то есть чем меньше программ, которые могут иметь уязвимости с нулевым днем, тем лучше. Поэтому также правильно удалить подключаемые модули браузера, которые вам не нужны. Не используйте серверное программное обеспечение непосредственно через Интернет. Это очень удобно, но может хранить опасность в будущем. Даже если серверное ПО полностью защищено, в конечном итоге может произойти атака нулевого дня.
• Установить антивирус и постоянно его обновлять : Они могут помочь в атаках с нулевым днем. Угроза, которая пытается установить вредоносное ПО на ваш компьютер, обнаружит себя, и антивирус запретит установку и защитить ваш ПК. Эвристический анализ антивируса может обнаружить подозрительную активность, и также заблокировать атаку. Антивирусные базы обновляются почти каждый день. Поэтому, вероятность того, что ваш антивирус «будет знать» об угрозе раньше, чем вы наткнётесь на вирус, крайне высока. Вот почему нужно использовать антивирусное ПО , независимо от того, насколько вы осторожны.
• Постоянно обновлять свое программное обеспечение : Когда вы регулярно обновляете все установленное программное обеспечение, то вы, по сути, постоянно исправляете все «баги», «дырки» и недочёты в коде ПО. Это не защитит вас от атаки нулевого дня, но обеспечит максимально быстрое исправление этой угрозы, при её обнаружении разработчиками. Именно поэтому важно уменьшить количество ПО, которое обновляется не регулярно, или не обновляется вообще.

Надеюсь, я смог объяснить, что такое уязвимость с нулевым днем, а также попытался дать рекомендации как минимизировать риск атаки. Разнообразные новые вредоносные программы, вирусы, сетевые черви, боты и трояны , которые используют все больше и больше уязвимостей появляются каждый день. Теперь им будет намного сложнее нанести неповторимый вред вашему ПК.

Нулевой день иногда обозначают как 0-день. Слова уязвимость, эксплойт и атака обычно используются в сочетании со словами «нулевого дня», и важно понимать разницу между этими терминами:

• Уязвимость нулевого дня – программная уязвимость, обнаруженная злоумышленниками до того, как о ней узнали производители программы. Для уязвимостей нулевого дня еще не выпущены патчи, что повышает вероятность атаки.
• Эксплойт нулевого дня – это метод, используемый злоумышленниками для атаки на системы с не выявленными ранее уязвимостями.
• Атака нулевого дня – это использование эксплойта нулевого дня для нанесения ущерба или кражи данных из системы, в которой имеется уязвимость.

Что такое и как работают атаки нулевого дня?

Однако иногда злоумышленники обнаруживают уязвимость раньше разработчиков. Пока уязвимость не закрыта, злоумышленники могут написать и внедрить код, позволяющий ей воспользоваться. Он называется кодом эксплойта.

Эксплойты продаются в даркнете за большие деньги. После обнаружения и исправления эксплойт больше не считается угрозой нулевого дня.

Особая опасность атак нулевого дня заключается в том, что о них знают только сами злоумышленники. После проникновения в сеть преступники могут либо атаковать немедленно, либо затаиться и ждать наиболее подходящего времени.

Кто совершает атаки нулевого дня?

Злоумышленники, совершающие атаки нулевого дня, делятся на категории в зависимости от мотивов. Например:

• Киберпреступники – хакеры, обычно мотивированные получением финансовой выгоды.
• Хактивисты – хакеры, мотивированные политическими или социальными факторами. С помощью атак они хотят привлечь внимание к определенным вопросам.
• Корпоративный шпионаж – целью таких атак является получение информации о компаниях посредством шпионажа.
• Кибервойна – страны или политические организации шпионят за киберинфраструктурами других стран или атакуют их.

На кого нацелены эксплойты нулевого дня?

При атаках нулевого дня могут использоваться различные уязвимые объекты:

• Операционные системы
• Веб-браузеры
• Офисные приложения
• Компоненты с открытым исходным кодом
• Аппаратное обеспечение и прошивка

В результате круг потенциальных жертв становится достаточно широким:

• Лица, использующие уязвимые системы, такие как браузер или операционная система. Хакеры могут использовать уязвимости системы безопасности для взлома устройств и создания крупных ботнетов.
• Лица, имеющие доступ к ценным бизнес-данным, таким как интеллектуальная собственность.
• Устройства и оборудование, прошивки и интернет вещей.
• Крупные предприятия и организации.
• Государственные организации.
• Политические объекты и объекты национальной безопасности.

Также полезно выделить целевые и нецелевые атаки нулевого дня:

• Целевые атаки нулевого дня проводятся против потенциально значимых объектов, таких как крупные организации, правительственные учреждения и высокопоставленные лица.
• Нецелевые атаки нулевого дня обычно направлены на пользователей уязвимых объектов: операционных систем и браузеров.

Даже когда атаки нулевого дня не нацелены ни на кого конкретного, от них все равно может пострадать большое количество людей, обычно вследствие побочного эффекта. Нецелевые атаки направлены на максимальное количество пользователей, а значит могут пострадать данные обычных людей.

Как выявить атаки нулевого дня

Существуют различные виды уязвимостей нулевого дня: отсутствие шифрования данных, отсутствие авторизации, неработающие алгоритмы, ошибки, проблемы с безопасностью паролей и прочие. Обнаружить их может оказаться непросто. Из-за характера этих уязвимостей подробная информация об эксплойтах нулевого дня доступна только после их идентификации.

Организации, подвергшиеся атаке нулевого дня, могут наблюдать нетипичный трафик или подозрительные действия, такие как сканирование, исходящие от клиента или сервиса. Некоторые методы обнаружения атак нулевого дня включают:

1. Использование существующих баз вредоносных программ, содержащих описание их поведения, в качестве справочника. Такие базы данных постоянно обновляются и могут быть полезны в качестве ориентира, однако эксплойты нулевого дня по определению являются новыми и неизвестными, так что существующая база данных не сможет предоставить полную информацию.
2. В качестве альтернативы выполняется поиск признаков вредоносных программ нулевого дня на основе их взаимодействия с целевой системой. При использовании этого метода не выполняется исследование кода входящих файлов, а рассматривается их взаимодействие с существующими программами и предпринимаются попытки выяснить, являются ли такое взаимодействие результатом злонамеренных действий.
3. Для обнаружения данных о ранее зафиксированных эксплойтах все чаще используется машинное обучение. При этом устанавливается эталон безопасного поведения системы на основе данных о прошлых и текущих взаимодействиях с системой. Чем больше данных доступно, тем надежнее обнаружение.

Часто используется комбинация различных систем обнаружения.

Примеры атак нулевого дня

Ниже приведены примеры последних атак нулевого дня.

2021: уязвимость нулевого дня Google Chrome

В 2021 году Google Chrome подвергся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Уязвимость возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере.

2020: Zoom

У популярной платформы видеоконференцсвязи была обнаружена уязвимость. В результате этой атаки нулевого дня злоумышленники получали удаленный доступ к компьютерам пользователей, на которых установлены ​​старые версии Windows. Если атака была нацелена на администратора, злоумышленники могли полностью захватить его компьютер и получить доступ ко всем файлам.

2020: Apple iOS

Apple iOS часто называют самой безопасной платформой для смартфонов. Однако в 2020 году она подверглась как минимум двум атакам нулевого дня. Одна из ошибок нулевого дня позволила злоумышленникам удаленно скомпрометировать iPhone.

2019: Microsoft Windows, Восточная Европа

2017: Microsoft Word

Результатом этого эксплойта нулевого дня стала компрометация личных банковских счетов. Жертвами оказались люди, которые неосознанно открывали вредоносный документ Word. В документе отображалось предложение загрузить удаленное содержимое – всплывающее окно, запрашивающее внешний доступ из другой программы. При нажатии на кнопку «Да» на устройства пользователей устанавливалось вредоносное ПО, перехватывающее учетные данные для входа в интернет-банк.

Stuxnet

Один из самых известных примеров атак нулевого дня – Stuxnet – вредоносный компьютерный червь, впервые обнаруженный в 2010 году, но зародившийся еще в 2005 году. Его атаке подверглись производственные компьютеры с программируемыми логическими контроллерами (ПЛК). Основной целью были заводы Ирана по обогащению урана, атака на которые могла подорвать ядерную программу страны. Червь проник на ПЛК через уязвимости в программном обеспечении Siemens Step7 и заставил ПЛК выполнять непредусмотренные команды на сборочном оборудовании. История Stuxnet впоследствии легла в основу документального фильма «Уязвимость нулевых дней» (Zero Days).

Как защититься от атак нулевого дня

Для защиты от атак нулевого дня и обеспечения безопасности компьютеров и данных частным лицам и организациям важно выполнять определенные правила кибербезопасности. Они включают:

Своевременное обновление программ и операционных систем. Производители включают в новые выпуски исправления безопасности для устранения недавно обнаруженных уязвимостей. Своевременное обновление повышает вашу безопасность.

Использование только необходимых программ. Чем больше у вас программного обеспечения, тем больше потенциальных уязвимостей. Использование только необходимых программ позволит снизить риск для сети.

Использование сетевого экрана. Сетевой экран играет важную роль в защите системы от угроз нулевого дня. Настройка сетевого экрана так, чтобы допускались только необходимые транзакции, позволит обеспечить максимальную защиту.

Обучение сотрудников организаций. Многие атаки нулевого дня основаны на человеческих ошибках. Обучение сотрудников и пользователей правильным навыкам обеспечения безопасности и защиты поможет как обеспечить их безопасность в интернете, так и защитить организацию от эксплойтов нулевого дня и других цифровых угроз.

Использование комплексного антивирусного программного решения. Kaspersky Total Security помогает защитить ваши устройства, блокируя известные и неизвестные угрозы.

Исследователь безопасности Абдельхамид Насери раскрыл технические подробности уязвимости Windows нулевого дня, связанной с повышением привилегий, и PoC-эксплойта, который дает привилегии SYSTEM при определенных условиях. Уязвимости оказались подвержены все версии Windows, включая Windows 10, Windows 11 и Windows Server 2022.

Эксплойт запускает командную строку с повышенными привилегиями с правами SYSTEM / BleepingComputer

Хорошая новость заключается в том, что эксплойт требует от злоумышленника знать имя пользователя и пароль другого юзера, поэтому он, скорее всего, не будет широко использоваться в атаках.

Ранее Microsoft выпустила обновление безопасности для «уязвимости службы профилей пользователей Windows, связанной с повышением привилегий», отслеживаемой как CVE-2021-34484.

Изучив исправление, Насери обнаружил, что его можно обойти с помощью нового эксплойта, который исследователь опубликовал на GitHub.

Он отмечает, что в предыдущем отчете описал ошибку, при которой хакер может злоупотреблять службой профилей пользователей, чтобы создать второе подключение. Однако, по словам Насери, Microsoft исправила ошибку произвольного удаления каталога, то есть, не саму уязвимость, а последствия использования эксплойта.

В итоге исследователь смог слегка видоизменить свой эксплойт, чтобы использовать его снова. Этот эксплойт вызовет запуск командной строки с повышенными привилегиями с правами SYSTEM, пока отображается запрос управления учетными записями пользователей (UAC).

Исследователи говорят, что требование наличия данных о двух учетных записях не сделает уязвимость популярной, но опасность использования эксплойта все равно есть. Microsoft пока никак не комментирует ситуацию.

Уязвимость нулевого дня (0day, zero day) — термин, который используется для обозначения не выявленных на стадии тестирования угроз безопасности, уязвимостей, брешей в программном коде, против которых не существует защиты. Изначально они не известны никому: разработчики, антивирусные компании, пользователи не подозревают об их существовании. Об уязвимости нулевого дня становится известно до того, как производитель выпускает обновления; следовательно, у разработчиков есть 0 дней, чтобы устранить изъян. Устройства, на которых установлена уязвимая программа, находятся в зоне риска, а пользователи не имеют возможности защититься.

Обнаружение и распознавание уязвимостей

Иногда уязвимость нулевого дня выявляют хакеры, которые не хотят использовать ее в злонамеренных целях и сообщают о ней разработчикам. В других случаях ошибку могут найти пользователи или сами разработчики, после чего производителями выпускается новая версия ПО или обновление. Кроме того, антивирусы тоже иногда могут зарегистрировать вредоносные действия.

Впрочем, очевидно, что обнаружить баг могут и хакеры-злоумышленники, преследующие вредоносные цели. Тогда они будут эксплуатировать его сами или продадут другим киберпреступникам.

Для обнаружения уязвимостей злоумышленники используют различные методы:

• дизассемблирование кода программы и поиск опасных ошибок в коде программного обеспечения;
• fuzz-тестирование или «стресс-тест» для ПО (программное обеспечение обрабатывает большой объем информации, которая содержит заведомо ложные настройки);
• реверс-инжиниринг и поиск уязвимостей в алгоритмах работы ПО.

В противоположном случае разработчик знает, что существует баг в коде, но не хочет или не может его устранить, не предупреждая никого об уязвимости.

Атаки на уязвимости нулевого дня

Если произошла атака с использованием уязвимости нулевого дня, то это значит, что злоумышленники знали о баге достаточное количество времени, чтобы написать и активировать вредоносную программу для его эксплуатации. Такие атаки опасны тем, что к ним невозможно подготовиться, а также тем, что постоянное обновление ПО не дает гарантии их предотвращения или снижения риска их возникновения.

Защита от уязвимостей нулевого дня и их устранение

Устранение ошибок входит в обязанности разработчика. Критическая проблема закрывается в течение нескольких дней или недель; все это время системы, использующие уязвимое ПО, будут находиться в опасности.

Для защиты можно использовать традиционные антивирусные технологии, а также проактивные средства:

Читайте также:

  
• Как включить аппаратное ускорение на виндовс 8
  
• Gdi32full dll windows 10 ошибка
  
• Как узнать версию java mac os
  
• Kb3172605 что за обновление windows 7 64 bit
  
• Как установить grub customizer в linux mint