Como as vulnerabilidades de dia zero ajudaram a atacar a Coinbase? Como foi evitado?

A Coinbase – uma das maiores bolsas de criptomoedas dos EUA – foi alvo de invasores durante maio-junho de 2019. Felizmente, a Coinbase frustrou o ataque – “um ataque sofisticado, altamente direcionado e pensado”, por Coinbase.

O ataque visava comprometer seus sistemas com o objetivo de acessar os fundos de seus usuários – criptomoedas no valor de bilhões de dólares. O ataque foi planejado usando duas vulnerabilidades de dia zero no Mozilla Firefox (um navegador de código aberto). No entanto, sua equipe detectou e parou o ataque a tempo.

Isso nos leva à pergunta: o que são vulnerabilidades de dia zero e como se pode defender contra elas? Vamos encontrar as respostas uma por uma nesta postagem.

O que é uma vulnerabilidade de dia zero?

Um exploit de dia zero (também conhecido como dia 0) – vulnerabilidade é uma vulnerabilidade de software desconhecida ou não resolvida pelas partes envolvidas. Como a vulnerabilidade ainda não foi conhecida ou atenuada, os hackers de computador podem aproveitar essa oportunidade para explorar a vulnerabilidade para comprometer o software, seus dados ou as máquinas ou redes conectadas. Consequentemente, esse ataque ou exploração é conhecido como ataque de dia zero ou exploração de dia zero, pois ambos utilizam uma vulnerabilidade de dia zero.

O que é uma vulnerabilidade de software? Um bug ou vulnerabilidade é uma falha em um software ou sistema operacional. A causa raiz de um bug ou falha pode ser um erro de desenvolvimento ou configuração inadequada. Em ambos os casos, uma vulnerabilidade – se não tratada ou corrigida – cria uma brecha de segurança, que pode ser usada por cibercriminosos.

Como uma vulnerabilidade é explorada? “Os hackers escrevem códigos para atingir uma falha de segurança específica. Eles o empacotam em um malware chamado de exploração de dia zero. O software malicioso se aproveita de uma vulnerabilidade para comprometer um sistema de computador ou causar um comportamento indesejado ”, de acordo com Norton – um especialista em segurança.

Uma exploração pode comprometer seu sistema com o objetivo de controlá-lo, bloqueá-lo, espionar suas atividades digitais, roubar ou bloquear seus dados para resgate, etc. Além disso, tal exploração pode ser distribuída diretamente por meio de mídia ou sites infectados e listas de e-mail ou combinados com outros tipos de ataques para lançar um ataque mais sofisticado – como foi o caso do ataque ao Coinbase.

Como o Coinbase foi atacado?

O ataque usou uma combinação de estratégias – spear phishing e engenharia social combinadas com duas vulnerabilidades de dia zero. No final de maio, os invasores enviaram vários e-mails de phishing de Gregory Harris, administrador de bolsas de pesquisa da Universidade de Cambridge. Esses e-mails não continham anexos ou links e passaram em todos os testes de segurança. Assim, eles pareciam legítimos para os destinatários.

Porém; “Em 17 de junho às 6h31, Gregory Harris enviou outro e-mail, mas este era diferente. Ele continha um URL que, quando aberto no Firefox, instalaria malware capaz de assumir o controle da máquina de alguém. A Coinbase Security descobriu rapidamente que esses e-mails eram tudo menos comuns … Em questão de horas, a Coinbase Security detectou e bloqueou o ataque ”, escreveu Coinbase.

Os invasores encadearam duas vulnerabilidades de dia zero para este ataque. O primeiro permitiu que um invasor aumentasse os privilégios de uma página para o navegador via JavaScript (CVE-2019–11707). O outro permitiu que o invasor comprometesse a sandbox do navegador para executar o código na máquina host (CVE-2019–11708). Como foi dito acima, essas vulnerabilidades de dia zero tinham como alvo o Mozilla Firefox.

Como Coinbase o defendeu?

Coinbase esperava um ataque; estava pronto com uma estratégia de detecção e resposta a ataques. É por isso que ele foi capaz de frustrar a tentativa de ataque. “Conseguimos nos defender desse ataque devido à nossa cultura de segurança em primeiro lugar na Coinbase, implantação completa de nossas ferramentas de detecção e resposta, manuais claros e bem praticados e a capacidade de revogar o acesso rapidamente”, de acordo com Coinbase.

Em primeiro lugar, a Coinbase oferece treinamento de segurança aos seus funcionários. O ataque foi notado e relatado pela primeira vez por um dos funcionários. Além disso, foi sinalizado por seu sistema de detecção de ataques. Em seguida, sua equipe de segurança examinou a máquina do funcionário em questão. Eles descobriram que o Mozilla Firefox investia no curl – uma ferramenta popular para transferir dados por meio de vários protocolos, incluindo HTTP.

Isso era suspeito o suficiente para eles entenderem que estavam diante de um ataque. Eles tentaram descobrir o escopo do ataque e, em seguida, investigaram suas redes em busca de atividades suspeitas. Então, finalmente, eles isolaram o ataque à máquina comprometida revogando todas as credenciais e bloqueando todas as contas do funcionário em questão. É assim que eles foram capazes de conter o ataque.

Como evitar explorações de dia zero?

Existem vários tipos de técnicas de defesa para detectar e se defender contra exploits de dia zero. “A comunidade de pesquisa classificou amplamente as técnicas de defesa contra exploits de dia zero como técnicas baseadas em estatísticas, baseadas em assinaturas, baseadas em comportamento e híbridas (Kaur & Singh, 2014). O objetivo principal de cada uma dessas técnicas é identificar a exploração em tempo real ou o mais próximo possível do tempo real e colocar em quarentena o ataque específico para eliminar ou minimizar os danos causados ​​pelo ataque ”, de acordo com um white paper do SANS Institute.

No entanto, você não precisa aplicar todas essas técnicas de defesa, mas deve confirmar se sua solução de segurança implementa essas técnicas. Dito isso, vamos discutir as medidas essenciais que você deve realizar em sua organização.

1. Atualize seus sistemas

Como os exploits de dia zero são baseados em vulnerabilidades novas ou não corrigidas, é melhor atualizar o software, bem como o sistema operacional regularmente. Se o patch estiver disponível, os invasores localizam e visam as máquinas com software sem patch.

Foi o caso do Heartbleed – um bug crítico no OpenSSL, uma biblioteca criptográfica de código aberto que implementa SSL / TLS (a metodologia de criptografia usada para proteger a Internet). “Agora, pouco mais de dois meses após o Heartbleed, nós digitalizamos … encontramos 300k (309.197) ainda vulneráveis”, escreveu Segurança de errata.

2. Verificar vulnerabilidades

Não é suficiente apenas atualizar os sistemas; você deve fazer varreduras de vulnerabilidade, pois elas podem identificar vulnerabilidades de dia zero. Essas soluções simulam ataques e realizam revisões de código no software em questão (digamos, após uma atualização) para encontrar novas vulnerabilidades. Se uma vulnerabilidade for encontrada, a equipe de segurança deve realizar análises de código, testar o software e limpar o código vulnerável rapidamente.

Na maioria dos casos, as organizações demoram a responder a esses relatórios de segurança e isso geralmente resulta em um ataque bem-sucedido. Por quê? Os invasores são, em sua maioria, rápidos em explorar uma vulnerabilidade de dia zero, como foi o caso com o ataque ao Coinbase. Foi também o caso da Equifax – uma agência de crédito dos Estados Unidos. A equipe de segurança da Equifax demorou dois meses a corrigir um bug no Apache Struts, o que levou a uma violação de dados de seus 147 milhões de clientes, incluindo seus dados pessoais.

3. Opte por um firewall de aplicativo

O Web Application Firewall (WAF) é um firewall especializado que atua como um escudo entre o seu software e a rede de agentes mal-intencionados. Ele monitora o tráfego que chega ao seu aplicativo, a fim de detectar e bloquear o tráfego malicioso.

Um WAF protege contra os riscos e vulnerabilidades de segurança mais críticos, incluindo vulnerabilidades de dia zero. Geralmente implementa alguns recursos de detecção e validação de ataques que ajudam a filtrar os ataques. Então, ele também pode se integrar com outras soluções de segurança para fornecer uma solução abrangente.

Isso é tudo sobre as vulnerabilidades de dia zero e como você pode se defender contra as explorações de dia zero.