Bảo mật

Cuộc tấn công Zero-day là gì?

Định nghĩa Zero-day

“Zero-day” là thuật ngữ mô tả các lỗ hổng bảo mật được phát hiện gần đây mà tin tặc có thể khai thác và tấn công vào hệ thống. Thuật ngữ “zero-day” đề cập đến việc nhà cung cấp hoặc nhà phát triển sản phẩm chỉ mới biết hay phát hiện về lỗ hổng này – có nghĩa là họ có “zero day” để khắc phục nó. Cuộc tấn công zero-day diễn ra khi tin tặc khai thác được lỗ hổng trước khi các nhà phát triển có cơ hội giải quyết.

Zero-day đôi khi được viết tắt là 0-day. Các khái niệm zero-day về Lỗ hổng, Khai thác và Tấn công có thể được hiểu như sau:

  • Lỗ hổng zero-day là lỗ hổng của phần mềm hay thiết bị bị những kẻ tấn công phát hiện trước khi nhà cung cấp biết đến nó. Bởi vì các nhà cung cấp không biết nên không có bản vá nào ngay lập tức cho các lỗ hổng zero-day, khiến các cuộc tấn công vào hệ thống có khả năng thành công cao.
  • Khai thác zero-day là phương pháp mà tin tặc sử dụng để tấn công các hệ thống có lỗ hổng chưa được xác định và khắc phục trước đó.
  • Cuộc tấn công zero-day là việc sử dụng khai thác zero-day để gây thiệt hại hoặc đánh cắp dữ liệu nhạy cảm và có giá trị từ hệ thống bị ảnh hưởng bởi lỗ hổng.

Cách cuộc tấn công Zero-day diễn ra

Phần mềm hay thiết bị thường có các lỗ hổng bảo mật mà tin tặc có thể dựa vào đó để khai thác và trục lợi bất chính. Các nhà phát triển phần mềm luôn tìm kiếm các lỗ hổng để phát hành bản “vá” – tức là phát triển một giải pháp mà họ tung ra trong bản cập nhật mới của chính phần mềm đó.

Tuy nhiên, đôi khi tin tặc hoặc tác nhân độc hại phát hiện ra lỗ hổng đó trước khi các nhà phát triển phần mềm phát hiện ra. Trong khi lỗ hổng vẫn chưa có bản vá lỗi, những kẻ tấn công có thể viết ra công cụ riêng để lợi dụng lỗ hổng đó, có thể hiểu các công cụ này là exploit code (mã khai thác). Exploit code là nguyên nhân dẫn đến việc mất mát dữ liệu từ nạn nhân như gửi email có nội dung lừa đảo đến nạn nhân, socially engineered…

Khi cuộc tấn công được phát hiện, các nhà phát triển sản phẩm sẽ cố gắng tìm cách để ngăn chặn các cuộc tấn công. Tuy nhiên, các lỗ hổng bảo mật thường không được vá ngay lập tức, có thể mất vài ngày, vài tuần hoặc thậm chí vài tháng trước khi các nhà phát triển xác định được lỗ hổng dẫn đến cuộc tấn công. Và ngay cả khi bản vá lỗi zero-day được phát hành, không phải tất cả người dùng đều nhanh chóng cập nhật nó.

Dữ liệu sau khi bị tin tặc khai thác có thể được bán trên dark web với số tiền lớn. Sau khi lỗ hổng được phát hiện và vá lỗi khai thác, nó sẽ không còn được coi là mối đe dọa zero-day nữa.

Các cuộc tấn công zero-day đặc biệt nguy hiểm vì những người duy nhất biết về chúng chính là những kẻ tấn công. Một khi đã xâm nhập được vào hệ thống, tội phạm có thể tấn công ngay lập tức hoặc chờ thời điểm thuận lợi khác để thực hiện.

Các hệ thống/phần mềm có thể bị zero-day

  • Hệ điều hành
  • Trình duyệt web
  • Các ứng dụng văn phòng
  • Các module mã nguồn mở
  • Firmware của phần cứng
  • Các thiết bị IoT

Lỗ hổng zero-day có nhiều dạng, chẳng hạn như thiếu tính mã hóa dữ liệu, dữ liệu không được xác thực, thuật toán bị lỗi, vấn đề về bảo mật mật khẩu, v..v.. – nên chúng có thể khó bị phát hiện. Do tính chất của các loại lỗ hổng này, thông tin chi tiết về việc khai thác zero-day chỉ có sẵn sau khi việc khai thác được xác định.

Bảo vệ dữ liệu trước lỗ hổng zero-day

Liên tục cập nhật các bản phát hành và bản vá mới cho hệ điều hành cũng như các phần mềm. Chỉ sử dụng phần mềm chính hãng, không sử dụng phần mềm crack hay keygen. Sử dụng các giải pháp bảo vệ end-point như anti-virus, internet security, data loss prevention…. Trên hạ tầng mạng hãy trang bị IPS hoặc bật tính năng IPS có trong các Next-Gen firewall, nó sẽ cung cấp các bản vá ảo (virtual patching) để bảo vệ các end-point.

Cuối cùng vấn đề con người vẫn là mấu chốt, hãy tìm hiểu thêm về kiến thức an toàn thông tin dù bạn đang làm ở ngành gì hay lĩnh vực nào

2 comments

Bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *