Hoe hielpen zero-day kwetsbaarheden Coinbase aan te vallen? Hoe werd het voorkomen?
Coinbase – een van de grootste cryptocurrency-uitwisselingen in de VS – was het doelwit van aanvallers in mei-juni 2019. Gelukkig verijdelde Coinbase de aanval – “een geavanceerde, zeer gerichte, doordachte aanval”, aldus Coinbase.
De aanval was bedoeld om zijn systemen in gevaar te brengen met als doel toegang te krijgen tot de fondsen van zijn gebruikers – cryptocurrencies ter waarde van miljarden dollars. De aanval was gepland met behulp van twee zero-day-kwetsbaarheden in Mozilla Firefox (een open-source webbrowser). Het team detecteerde en stopte de aanval echter op tijd.
Dit brengt ons bij de vraag: wat zijn zero-day-kwetsbaarheden en hoe kan men zich ertegen verdedigen? Laten we hun antwoorden een voor een in dit bericht vinden.
Wat is een zero-day-kwetsbaarheid??
Een zero-day exploit (ook wel 0-day genoemd) – kwetsbaarheid is een softwarekwetsbaarheid die onbekend is of niet wordt aangepakt door de betrokken partijen. Aangezien de kwetsbaarheid nog niet bekend of beperkt is, kunnen computerhackers van deze mogelijkheid gebruik maken om de kwetsbaarheid te misbruiken om de software, de gegevens of de aangesloten machines of netwerken te compromitteren. Bijgevolg wordt deze aanval of exploit bekend als zero-day-aanval of zero-day-exploit, omdat ze allebei gebruikmaken van een zero-day-kwetsbaarheid.
Wat is een softwarekwetsbaarheid? Een bug of kwetsbaarheid is een fout in een software of besturingssysteem. De hoofdoorzaak van een bug of fout kan een ontwikkelingsfout of een onjuiste configuratie zijn. In beide gevallen creëert een kwetsbaarheid – indien niet geadresseerd of niet opgelost – een beveiligingslek, dat kan worden gebruikt door cybercriminelen.
Hoe wordt een kwetsbaarheid uitgebuit? “Hackers schrijven code om een specifiek zwakke plek in de beveiliging aan te pakken. Ze verpakken het in malware, een zogenaamde zero-day-exploit. De kwaadaardige software maakt gebruik van een kwetsbaarheid om een computersysteem in gevaar te brengen of onbedoeld gedrag te veroorzaken ”, aldus Norton – een beveiligingsexpert.
Een exploit kan uw systeem in gevaar brengen met als doel het te controleren, u ervan te weerhouden, uw digitale activiteiten te bespioneren, uw gegevens te stelen of te vergrendelen voor losgeld, enz. Ook kan een dergelijke exploit rechtstreeks worden verspreid via geïnfecteerde media of websites en mailinglijsten of gecombineerd met andere soorten aanvallen om een meer geavanceerde aanval uit te voeren – zoals het geval was met de aanval op Coinbase.
Hoe werd Coinbase aangevallen?
De aanval gebruikte een combinatie van strategieën: spear phishing en social engineering gecombineerd met twee zero-day-kwetsbaarheden. Eind mei stuurden aanvallers verschillende phishing-e-mails van Gregory Harris, een Research Grants-beheerder aan de Universiteit van Cambridge. Deze e-mails bevatten geen bijlagen of links en hebben alle beveiligingstests doorstaan. Ze leken dus legitiem voor de ontvangers.
Echter; “Op 17 juni om 06:31 stuurde Gregory Harris nog een e-mail, maar deze was anders. Het bevatte een URL die, wanneer geopend in Firefox, malware zou installeren die iemands computer kan overnemen. Coinbase Security ontdekte al snel dat deze e-mails allesbehalve gewoon waren … Binnen een paar uur ontdekte Coinbase Security de aanval en blokkeerde deze ”, schreef Coinbase.
De aanvallers hebben voor deze aanval twee zero-day-kwetsbaarheden aan elkaar geketend. Met de eerste kon een aanvaller rechten van een pagina naar de browser verhogen via JavaScript (CVE-2019-11707). Met de andere kon de aanvaller de sandbox van de browser compromitteren om code op de hostcomputer uit te voeren (CVE-2019-11708). Zoals hierboven vermeld, waren deze zero-day-kwetsbaarheden gericht op Mozilla Firefox.
Hoe verdedigde Coinbase het??
Coinbase verwachtte een aanval; het was klaar met een aanvalsdetectie- en responsstrategie. Dat is waarom het de aanvalspoging kon verijdelen. “We waren in staat om ons tegen deze aanval te verdedigen dankzij onze veiligheidscultuur bij Coinbase, volledige inzet van onze detectie- en reactietools, duidelijke en goed geoefende playbooks en de mogelijkheid om snel de toegang in te trekken”, aldus Coinbase.
Coinbase geeft allereerst veiligheidstrainingen aan haar medewerkers. De aanval werd voor het eerst opgemerkt en gemeld door een van de medewerkers. Het werd ook gemarkeerd door hun aanvalsdetectiesysteem. Vervolgens onderzocht hun beveiligingsteam de machine van de betreffende medewerker. Ze ontdekten dat Mozilla Firefox uit de hand liep – een populaire tool om gegevens over te dragen via verschillende protocollen, waaronder HTTP.
Dit was verdacht genoeg om te begrijpen dat ze naar een aanval keken. Ze probeerden de omvang van de aanval te achterhalen en onderzochten hun netwerken op verdachte activiteiten. Ten slotte isoleerden ze de aanval op de gecompromitteerde machine door alle inloggegevens in te trekken en alle accounts van de betrokken werknemer te vergrendelen. Dat is hoe ze de aanval konden beheersen.
Hoe Zero-Day Exploits te voorkomen?
Er zijn verschillende soorten verdedigingstechnieken om zero-day exploits op te sporen en te verdedigen. “De onderzoeksgemeenschap heeft de verdedigingstechnieken tegen zero-day exploits globaal geclassificeerd als statistische, op handtekeningen gebaseerde, op gedrag gebaseerde en hybride technieken (Kaur & Singh, 2014). Het primaire doel van elk van deze technieken is om de exploit in realtime of zo dicht mogelijk bij realtime te identificeren en de specifieke aanval in quarantaine te plaatsen om de schade veroorzaakt door de aanval te elimineren of te minimaliseren, “aldus een whitepaper van SANS Institute.
U hoeft echter niet al deze verdedigingstechnieken toe te passen, maar u moet bevestigen dat uw beveiligingsoplossing deze technieken implementeert. Dat gezegd hebbende, laten we de essentiële maatregelen bespreken die u in uw organisatie moet nemen.
1. Update uw systemen
Aangezien zero-day-exploits gebaseerd zijn op nieuwe of ongepatchte kwetsbaarheden, is het het beste om zowel de software als het besturingssysteem regelmatig bij te werken. Als de patch beschikbaar is, vinden en richten aanvallers machines met niet-gepatchte software.
Dat was het geval met Heartbleed – een kritieke bug in OpenSSL, een open-source cryptografische bibliotheek die SSL / TLS implementeert (de coderingsmethode die wordt gebruikt om internet te beveiligen). “Nu iets meer dan twee maanden na Heartbleed hebben we gescand … vonden 300k (309.197) nog steeds kwetsbaar,” schreef Errata-beveiliging.
2. Scan op kwetsbaarheden
Het is niet genoeg om alleen systemen bij te werken; u moet kwetsbaarheidsscans uitvoeren, aangezien deze zero-day-kwetsbaarheden kunnen identificeren. Dergelijke oplossingen simuleren aanvallen en voeren code reviews uit op de betreffende software (bijvoorbeeld na een update) om nieuwe kwetsbaarheden te vinden. Als een kwetsbaarheid wordt gevonden, moet het beveiligingsteam codebeoordelingen uitvoeren, de software testen en de kwetsbare code snel opschonen.
In de meeste gevallen reageren organisaties traag op dergelijke beveiligingsrapporten, wat meestal resulteert in een succesvolle aanval. Waarom? De aanvallers maken meestal snel misbruik van een zero-day-kwetsbaarheid, zoals het geval was bij de aanval op Coinbase. Het was ook het geval bij Equifax – een kredietbureau in de VS. Het beveiligingsteam van Equifax was twee maanden traag met het repareren van een bug in Apache Struts, wat leidde tot een datalek van zijn 147 miljoen klanten, inclusief hun persoonlijke gegevens.
3. Kies voor een App Firewall
Web Application Firewall (WAF) is een gespecialiseerde firewall die fungeert als een schild tussen uw software en het web van kwaadwillende actoren. Het controleert het verkeer dat naar uw toepassing komt om kwaadaardig verkeer te detecteren en te blokkeren.
Een WAF beschermt tegen de meest kritieke beveiligingsrisico’s en kwetsbaarheden, waaronder zero-day kwetsbaarheden. Het implementeert meestal enkele aanvalsdetectie- en aanvalsvalidatiefuncties die helpen om aanvallen uit te filteren. Vervolgens kan het ook worden geïntegreerd met andere beveiligingsoplossingen om een overkoepelende oplossing te bieden.
Dat gaat allemaal over de zero-day-kwetsbaarheden en hoe u zich kunt verdedigen tegen de zero-day-exploits.