Les exploits zero-day ciblent des vulnérabilités qu’un fabricant de logiciels n’a pas encore corrigées. En tirant parti d’une vulnérabilité largement inconnue, ces exploits ont une forte probabilité de succès et sont difficiles, voire impossibles, à protéger à l’aide d’outils de cybersécurité existants.
Les vulnérabilités logicielles peuvent être découvertes de différentes manières. Dans certains cas, la vulnérabilité est découverte en interne par le fabricant du logiciel ou signalée de manière éthique par un chercheur en sécurité externe. Dans d’autres, la vulnérabilité est découverte et exploitée par des cybercriminels.
La plupart des exploits Zero Day entrent dans cette deuxième catégorie. Dans ce cas, il y a une fenêtre entre l’exploitation publique de la vulnérabilité et la publication de défenses ciblées – sous la forme de signatures de logiciels malveillants ou d’une mise à jour logicielle. C’est ce que l’on appelle le « jour zéro » et c’est là que les vulnérabilités et les exploits zero-day obtiennent leur nom.
Un exemple de vulnérabilité zero-day est un ensemble de vulnérabilités dans les serveurs Microsoft Exchange. Bien que Microsoft ait initialement découvert ces vulnérabilités, la lenteur des cycles de correctifs signifiait que de nombreux serveurs Exchange étaient encore vulnérables lorsque les cybercriminels ont commencé à exploiter ces vulnérabilités.
Hafnium est un exemple de logiciel malveillant qui tire parti de ces vulnérabilités Exchange. Il exploite ces vulnérabilités pour accéder à un serveur Exchange vulnérable et élever ses privilèges sur le système. Ce logiciel malveillant est conçu pour effectuer la collecte d’informations, en essayant de voler les informations d’identification et les e-mails des utilisateurs à partir de systèmes exploités.
Les vulnérabilités et les exploits zero-day sont une préoccupation importante pour le personnel de cybersécurité, car il est difficile de s’en défendre. Parmi les problèmes de sécurité liés aux exploits Zero Day, citons :
Pour ces raisons, une approche réactive de la cybersécurité basée sur les signatures et les correctifs n’est pas efficace pour les vulnérabilités et les exploits zero-day. Les organisations doivent prévenir les attaques de manière proactive afin de bloquer ces nouveaux exploits.
En ce qui concerne les exploits Zero Day, le principal problème auquel les organisations sont confrontées est le manque d'informations. Si une équipe de sécurité dispose d'informations concernant une menace en particulier, des solutions de sécurité peuvent être configurées pour la bloquer. Cependant, accéder à ces informations et les diffuser via l'architecture de sécurité d'une organisation constitue un défi majeur pour de nombreuses organisations.
Une protection efficace contre le jour zéro nécessite une architecture de sécurité dotée des fonctionnalités suivantes :
L’approche de Check Point, axée sur la prévention, est le seul moyen de se protéger efficacement contre les menaces inconnues telles que les exploits zero-day. ThreatCloud IA est la plus grande base de données de renseignements sur les cybermenaces au monde et traite en moyenne 86 milliards de transactions par jour. Cela lui permet d'identifier chaque jour environ 7 000 menaces jusque-là inconnues, ce qui permet aux organisations de détecter et de bloquer ces exploits Zero Day contre leurs systèmes.
ThreatCloud IA s’appuie sur l’intelligence artificielle (IA) pour traiter les données et détecter les menaces. Pour en savoir plus sur l’importance de l’IA pour la détection des exploits zero-day, consultez ce livre blanc. Vous pouvez également vous inscrire à une démo pour voir comment les solutions Protection avancée des postes de Check Point peuvent protéger le personnel à distance de votre organisation contre les menaces zero-day.