Hur hjälpte nolldagars sårbarheter att attackera Coinbase? Hur förhindrades det?
Coinbase – ett av de största kryptovalutautbytena i USA – var riktat av angripare under maj-juni 2019. Lyckligtvis förkastade Coinbase attacken – “en sofistikerad, mycket riktad, genomtänkt attack” Coinbase.
Attacken syftade till att kompromissa med sina system med målet att få tillgång till användarnas medel – kryptovalutor värda miljarder dollar. Attacken planerades med två nolldagars sårbarheter i Mozilla Firefox (en webbläsare med öppen källkod). Men teamet upptäckte och stoppade attacken i tid.
Detta leder oss till frågan: vad är nolldagars sårbarheter och hur man kan försvara sig mot dem? Låt oss hitta deras svar en efter en i det här inlägget.
Vad är en nolldagssårbarhet?
En nolldagars exploatering (även känd som 0-dagars) – sårbarhet är en programvarusårbarhet som är okänd eller inte adresserad av berörda parter. Eftersom sårbarheten ännu inte är känd eller lindrad kan datorhackare utnyttja denna möjlighet för att utnyttja sårbarheten för att äventyra programvaran, dess data eller anslutna maskiner eller nätverk. Följaktligen kallas denna attack eller exploatering som zero-day attack eller zero-day exploit eftersom de båda använder en zero-day sårbarhet.
Vad är en programvarusårbarhet? En bugg eller sårbarhet är ett fel i en programvara eller ett operativsystem. Grundorsaken till ett fel eller fel kan vara ett utvecklingsfel eller felaktig konfiguration. I båda fallen skapar en sårbarhet – om den inte är adresserad eller ofixerad – ett säkerhetshål som kan användas av cyberbrottslingar.
Hur utnyttjas en sårbarhet? ”Hackare skriver kod för att rikta in sig på en viss säkerhetssvaghet. De paketerar det i skadlig programvara som kallas en zero-day exploatering. Den skadliga programvaran utnyttjar en sårbarhet för att äventyra ett datorsystem eller orsaka ett oavsiktligt beteende, ”enligt Norton – en säkerhetsexpert.
En exploatering kan äventyra ditt system med målet att kontrollera det, låsa dig ur det, spionera på dina digitala aktiviteter, stjäla eller låsa dina data för lösen, etc. En sådan exploatering kan också distribueras direkt via infekterade media eller webbplatser och e-postlistor eller i kombination med andra typer av attacker för att starta en mer sofistikerad attack – som var fallet med attacken mot Coinbase.
Hur attackerades Coinbase?
Attacken använde en blandning av strategier – spjutfiske och socialteknik i kombination med två nolldagars sårbarheter. I slutet av maj skickade angripare flera phishing-e-postmeddelanden från Gregory Harris, en administratör för forskningsbidrag vid University of Cambridge. Dessa e-postmeddelanden innehöll inga bilagor eller länkar och klarade alla säkerhetstester. De verkade således legitima för mottagarna.
I alla fall; ”Den 17 juni kl 06:31 skickade Gregory Harris ytterligare ett e-postmeddelande, men det här var annorlunda. Den innehöll en URL som, när den öppnades i Firefox, skulle installera skadlig kod som kan ta över någons maskin. Coinbase Security upptäckte snabbt att dessa e-postmeddelanden var allt annat än vanliga … Inom några timmar upptäckte och blockerade Coinbase Security attacken, ”skrev Coinbase.
Angriparna kedjade två nolldagars sårbarheter tillsammans för denna attack. Den första tillät en angripare att höja behörigheter från en sida till webbläsaren via JavaScript (CVE-2019–11707). Den andra tillät angriparen att äventyra webbläsarens sandlåda för att köra kod på värdmaskinen (CVE-2019–11708). Som sagt ovan riktade sig dessa nolldagars sårbarheter till Mozilla Firefox.
Hur försvarade Coinbase det?
Coinbase förväntade sig en attack; det var klart med en attackdetekterings- och svarsstrategi. Det var därför det kunde försvåra attackförsöket. “Vi kunde försvara oss från denna attack på grund av vår första säkerhetskultur på Coinbase, fullständig användning av vårt verktyg för detektering och respons, tydliga och väl praktiserade spelböcker och förmågan att snabbt återkalla åtkomst,” enligt Coinbase.
Först och främst ger Coinbase säkerhetsutbildning till sina anställda. Attacken först märktes och rapporterades av en av de anställda. Det flaggades också av deras attackdetekteringssystem. Sedan undersökte deras säkerhetsteam den anställdes maskin i fråga. De fann att Mozilla Firefox avskalade för att krulla – ett populärt verktyg för att överföra data över olika protokoll inklusive HTTP.
Detta var tillräckligt misstänkt för att de skulle förstå att de tittade på en attack. De försökte hitta omfattningen av attacken, sedan undersökte de sina nätverk för misstänkta aktiviteter. Slutligen isolerade de attacken på den komprometterade maskinen genom att återkalla alla uppgifter och låsa alla konton för den berörda medarbetaren. Det var så de lyckades begränsa attacken.
Hur man förhindrar nolldagars exploateringar?
Det finns olika typer av försvarstekniker för att upptäcka och försvara sig mot nolldagars exploatering. ”Forskarsamhället har i stort sett klassificerat försvarsteknikerna mot nolldagars utnyttjande som statistikbaserade, signaturbaserade, beteendebaserade och hybridtekniker (Kaur & Singh, 2014). Det primära målet med var och en av dessa tekniker är att identifiera utnyttjandet i realtid eller så nära realtid som möjligt och karantänera den specifika attacken för att eliminera eller minimera skadan som orsakats av attacken, ”enligt en vitbok från SANS Institute.
Du behöver dock inte tillämpa alla dessa försvarstekniker, men du måste bekräfta att din säkerhetslösning implementerar dessa tekniker. Med det sagt, låt oss diskutera de väsentliga åtgärderna du måste vidta i din organisation.
1. Uppdatera dina system
Eftersom nolldagars utnyttjande är baserade på nya eller omatchade sårbarheter är det bäst att uppdatera programvaran såväl som operativsystemet regelbundet. Om korrigeringsfilen är tillgänglig kan angripare hitta och rikta in sig på maskiner med programvara som inte har patchats.
Det var fallet med Heartbleed – ett kritiskt fel i OpenSSL, ett kryptografiskt bibliotek med öppen källkod som implementerar SSL / TLS (den krypteringsmetod som används för att säkra Internet). “Nu drygt två månader efter Heartbleed skannade vi … hittade 300k (309197) fortfarande sårbara”, skrev Errata säkerhet.
2. Sök efter sårbarheter
Det räcker inte att bara uppdatera system; du måste göra sårbarhetsskanningar eftersom de kan identifiera nolldagars sårbarheter. Sådana lösningar simulerar attacker och utför kodgranskningar på den berörda programvaran (säg efter en uppdatering) för att hitta nya sårbarheter. Om en sårbarhet hittas måste säkerhetsteamet utföra kodgranskningar, testa programvaran och sanera den sårbara koden snabbt.
I de flesta fall svarar organisationer långsamt på sådana säkerhetsrapporter, och detta leder vanligtvis till en framgångsrik attack. Varför? Angriparna är mestadels snabba att utnyttja en noll-dagars sårbarhet som var fallet med attacken på Coinbase. Det var också fallet med Equifax – ett kreditföretag i USA. Säkerhetsteamet på Equifax var två månader långsamt med att lappa en bugg i Apache Struts, vilket ledde till ett dataintrång från sina 147 miljoner kunder inklusive deras personuppgifter..
3. Välj en app-brandvägg
Web Application Firewall (WAF) är en specialiserad brandvägg som fungerar som en sköld mellan din programvara och skadliga aktörers nät. Den övervakar trafiken som kommer till din applikation för att upptäcka och blockera skadlig trafik.
En WAF skyddar mot de mest kritiska säkerhetsriskerna och sårbarheterna inklusive nolldagars sårbarheter. Det implementerar vanligtvis vissa attackdetekterings- och attackvalideringsfunktioner som hjälper till att filtrera bort attacker. Då kan det också integreras med andra säkerhetslösningar för att ge en paraplylösning.
Det handlar om nolldagens sårbarheter och hur du kan försvara dig mot nolldagens exploateringar.