Pesquisa de site

O que é um exploit?

Um exploit é um software, dados ou sequência de comandos que aproveita uma vulnerabilidade para causar comportamento não intencional ou obter acesso não autorizado a dados confidenciais.

Depois que as vulnerabilidades são identificadas, elas são publicadas em Vulnerabilidades e Exposições Comuns (CVE).

CVE é um dicionário de vulnerabilidades gratuito projetado para melhorar a segurança cibernética global e a resiliência cibernética, criando um identificador padronizado para uma determinada vulnerabilidade ou exposição.

Como funcionam os exploits?

Os exploits tiram proveito de uma falha de segurança em um sistema operacional, software, sistema de computador, dispositivo de Internet das Coisas (IoT) ou outra vulnerabilidade de segurança.

Depois que um exploit é usado, ele geralmente se torna conhecido pelos desenvolvedores de software do sistema ou software vulnerável e geralmente é corrigido por meio de um patch e se torna inutilizável.

É por isso que muitos cibercriminosos, bem como agências militares ou governamentais, não publicam exploits no CVE, mas optam por mantê-los privados.

Quando isso acontece, a vulnerabilidade é conhecida como vulnerabilidade de dia zero ou exploração de dia zero.

Um exemplo famoso de uma agência governamental (a NSA) que opta por manter uma vulnerabilidade de software privada é o EternalBlue.

A EternalBlue explorou versões legadas do sistema operacional Microsoft Windows que usavam uma versão desatualizada do protocolo Server Message Block (SMB).

Os cibercriminosos desenvolveram o worm ransomware WannaCry que explorou o EternalBlue e se espalhou para cerca de 200.000+ computadores em 150 países, com danos que variam de centenas de milhões a bilhões de dólares antes do EternalBlue ser corrigido.

Apesar dos desenvolvedores de software emitirem um patch para corrigir o EternalBlue, essa vulnerabilidade conhecida continua a ser um grande risco de segurança cibernética devido à baixa adoção do patch pelo usuário.

Quais são os diferentes tipos de exploits?

Os exploits podem ser classificados em cinco grandes categorias:

  1. Hardware: criptografia ruim, falta de gerenciamento de configuração ou vulnerabilidade de firmware.
  2. Software: violações de segurança de memória (estouros de buffer, leituras excessivas, ponteiros pendentes), erros de validação de entrada (injeção de código, cross-site scripting (XSS), travessia de diretório, injeção de e-mail, ataques de string de formato, injeção de cabeçalho HTTP, divisão de resposta HTTP, injeção de SQL), bugs de confusão de privilégios (clickjacking, falsificação de solicitação entre sites, ataque de rejeição de FTP), condições de corrida (corridas de links simbólicos, bugs de tempo de verificação para tempo de uso), ataques de canal lateral, ataques de temporização e falhas na interface do usuário (culpar a vítima, condições de corrida, fadiga de aviso).
  3. Rede: Linhas de comunicação não criptografadas, ataques man-in-the-middle, sequestro de domínio, typosquatting, segurança de rede ruim, falta de autenticação ou senhas padrão.
  4. Pessoal: Política e processo de recrutamento inadequados, falta de treinamento de conscientização de segurança, baixa adesão à política de segurança da informação, gerenciamento de senhas deficiente ou queda em ataques comuns de engenharia social, como phishing, spear phishing, pretexto, armadilha de mel, smishing, waterholing ou whaling.
  5. Local físico: Baixa segurança física, utilização não autorizada e falta de controle de acesso por cartão-chave.

Em cada uma dessas categorias, podemos dividir as vulnerabilidades em dois grupos: vulnerabilidades conhecidas e explorações de dia zero:

  • Vulnerabilidades conhecidas: explora as que os pesquisadores de segurança conhecem e documentaram. As explorações que visam vulnerabilidades conhecidas geralmente já foram corrigidas, mas ainda permanecem uma ameaça viável devido à lentidão da correção.
  • Explorações de dia zero: vulnerabilidades que não foram relatadas ao público ou listadas no CVE. Isso significa que os cibercriminosos encontraram o exploit antes que os desenvolvedores pudessem lançar um patch, em alguns casos, o desenvolvedor pode nem saber da vulnerabilidade.

Como ocorrem as explorações?

Há várias maneiras pelas quais as explorações ocorrem:

  • Explorações remotas: funciona em uma rede e explora a vulnerabilidade sem acesso prévio ao sistema vulnerável.
  • Explorações locais: requer acesso prévio ao sistema vulnerável e aumenta o privilégio do invasor além daqueles concedidos pelo administrador de segurança.
  • Explorações de cliente: existem explorações contra aplicativos cliente e geralmente consistem em servidores modificados que enviam uma exploração quando acessados com um aplicativo cliente. Eles também podem exigir interação do usuário e contar com técnicas de engenharia social, como phishing ou spear phishing, para espalhar ou adware.

Em geral, os exploits são projetados para prejudicar a confidencialidade, integridade ou disponibilidade (tríade da CIA) de software ou sistema.

Muitos cibercriminosos devem fazer isso visando vários vetores de ataque, primeiro obtendo acesso limitado e depois usando uma segunda vulnerabilidade para aumentar os privilégios até obter acesso root.

É por isso que aqueles que têm a tarefa de proteger a segurança da informação, a segurança da rede e a segurança dos dados devem empregar a defesa em profundidade.

Por exemplo, um invasor pode prejudicar a confidencialidade de um computador instalando malware no computador, a integridade de uma página da Web injetando código mal-intencionado no navegador da Web ou a disponibilidade executando um ataque de negação de serviço distribuído (DDoS) alimentado por um botnet de cavalos de Troia.

O que é um Exploit Kit?

Um kit de exploração é um programa que os invasores podem usar para iniciar explorações contra vulnerabilidades conhecidas em softwares comumente instalados, como Adobe Flash, Java e Microsoft Silverlight.

Um kit de exploração típico fornece um console de gerenciamento, vulnerabilidades direcionadas a diferentes aplicativos e vários plug-ins que facilitam o lançamento de um ataque cibernético.

Devido à sua natureza automatizada, os kits de exploits são um método popular de espalhar diferentes tipos de malware e gerar lucro. Os criadores de kits de exploração podem oferecer seu kit de exploração como um serviço ou como uma compra única.

Como posso mitigar o risco de explorações?

Sua organização pode mitigar o risco de explorações instalando todos os patches de software assim que forem lançados, fornecendo conscientização sobre segurança cibernética e treinamento OPSEC e investindo em software de segurança como antivírus, descoberta automatizada de credenciais vazadas e detecção de exposição de dados.

Também vale a pena entender a segurança na nuvem, pois a segurança do S3 é falha por design.

O outro vetor de ataque, muitas vezes negligenciado, que representa um risco significativo de segurança cibernética são os fornecedores terceirizados.

Seus fornecedores que processam dados confidenciais (por exemplo, informações de saúde protegidas (PHI), informações de identificação pessoal (PII) ou dados biométricos) podem ser alvos de espionagem corporativa ou ataques cibernéticos se tiverem uma segurança cibernética pior do que sua organização.

>

O gerenciamento de riscos de fornecedores é uma parte cada vez mais importante do gerenciamento de riscos de informações, invista no desenvolvimento de uma estrutura robusta de gerenciamento de riscos de terceiros, política de gerenciamento de fornecedores e processo de avaliação de riscos de segurança cibernética.

Peça aos fornecedores atuais e potenciais seu relatório de garantia SOC 2 e evite fornecedores que não atendam aos seus padrões de segurança.

O risco de terceiros e o risco de terceiros estão no centro de muitas violações e vazamentos de dados. Com o custo da violação de dados envolvendo terceiros atingindo uma média de US$4,29 milhões, vale a pena evitar violações de dados.

Se sua equipe de segurança for pequena, considere automatizar o gerenciamento de riscos do fornecedor.

Resumindo, concentre-se em prevenir explorações em vez de limpá-las. Mesmo que você reconheça que foi atacado, a atribuição de IP e a análise forense digital nem sempre serão capazes de fornecer respostas.

O que são exemplos de exploits?

Em 2016, o Yahoo anunciou que mais de 1 bilhão de contas de usuários haviam vazado, tornando-se uma das maiores violações de dados de todos os tempos. Os invasores conseguiram obter acesso porque o Yahoo estava usando um algoritmo de hash fraco e desatualizado chamado MD5.

Outro exemplo famoso é o cryptoworm ransomware WannaCry, que explorou a vulnerabilidade EternalBlue. EternalBlue foi roubado e vazado por um grupo chamado The Shadow Brokers alguns meses antes do ataque.

Embora o EternalBlue tenha sido corrigido rapidamente, grande parte do sucesso do WannaCry se deveu ao fato de as organizações não corrigirem ou usarem sistemas Windows mais antigos.

Na UpGuard, podemos proteger sua empresa contra violações de dados e ajudá-lo a monitorar continuamente a postura de segurança de todos os seus fornecedores.

Não espere que um ataque cibernético prejudique seus negócios, CLIQUE AQUI para uma avaliação GRATUITA do UpGuard agora!

Artigos relacionados