Lỗ hổng Zero-Day là gì?
Lỗ hổng zero-day là một lỗ hổng bảo mật phần mềm mà nhà cung cấp hoặc nhà phát triển vừa mới phát hiện, vì vậy họ chưa có thời gian để tạo hoặc phát hành bản vá. Vì chưa có bản sửa lỗi, tội phạm mạng có thể lợi dụng những lỗ hổng này để thực hiện các cuộc tấn công khó phát hiện và ngăn chặn.
Ví dụ, cuộc tấn công ransomware WannaCry vào tháng 5 năm 2017 đã cho thấy mức độ nguy hiểm của các lỗ hổng zero-day. Cuộc tấn công toàn cầu này đã ảnh hưởng đến hơn 200.000 máy tính tại 150 quốc gia bằng cách sử dụng một lỗ hổng của Windows trước khi nhiều tổ chức có thể cập nhật hệ thống của họ.
Đặc điểm chính của Zero Day
- Chưa được nhà cung cấp biết đến: Nhà tạo phần mềm không biết rằng lỗ hổng tồn tại cho đến khi xảy ra một cuộc tấn công hoặc được các nhà nghiên cứu tiết lộ.
- Chưa có bản vá: Không có bản cập nhật bảo mật chính thức hoặc “sửa lỗi” tại thời điểm phát hiện.
- Rủi ro cao: Các công cụ diệt virus thông thường sử dụng chữ ký mối đe dọa đã biết thường bỏ sót các khai thác zero-day vì những mối đe dọa này là mới và chưa được biết đến.
- Mối đe dọa ngay lập tức: Kẻ tấn công có lợi thế rõ ràng cho đến khi một bản vá được phát hành và áp dụng.
Cách thức hoạt động của một cuộc tấn công Zero-Day
Một mối đe dọa zero-day thường theo một dòng thời gian gọi là ‘Cửa sổ lỗ hổng’.
- Lỗ hổng được giới thiệu: Một nhà phát triển vô tình viết mã chứa lỗ hổng bảo mật (ví dụ: tràn bộ đệm hoặc lỗ hổng SQL injection).
- Khai thác được tạo ra: Một kẻ tấn công phát hiện ra lỗ hổng trước khi nhà cung cấp hoặc các nhà nghiên cứu bảo mật nhận ra. Sau đó, họ tạo ra một ‘Khai thác Zero Day,’ là mã được tạo ra để sử dụng điểm yếu này.
- Tấn công được phát động: Kẻ tấn công sử dụng một ‘Cuộc tấn công Zero Day’ vào các mục tiêu nhất định hoặc thậm chí trên toàn bộ internet. Tại thời điểm này, các quét bảo mật tiêu chuẩn thường không thể phát hiện cuộc tấn công.
- Phát hiện & Tiết lộ: Nhà cung cấp cuối cùng biết về lỗ hổng, thông qua chương trình tiền thưởng, nhà nghiên cứu bảo mật, hoặc bằng cách phát hiện một cuộc tấn công đang hoạt động.
- Bản vá được phát hành: Nhà cung cấp phát triển và phân phối một bản cập nhật bảo mật. Khi bản vá có sẵn, lỗ hổng không còn là “zero day” mà trở thành một “lỗ hổng đã biết” (thường được gán một số CVE).
Tại sao Lỗ hổng Zero-Day Quan trọng trong An ninh mạng
Lỗ hổng zero-day là một trong những rủi ro nghiêm trọng nhất đối với các tổ chức vì chúng vượt qua được phòng thủ chính, đó là quản lý bản vá.
- Vượt qua phòng thủ: Vì các công cụ bảo mật cũ dựa vào cơ sở dữ liệu mối đe dọa đã biết, các cuộc tấn công zero-day có thể lọt qua tường lửa và bảo vệ điểm cuối mà không bị phát hiện.
- Giá trị cao: Những khai thác này rất có giá trị trên web đen. Các hacker quốc gia và nhóm mối đe dọa dai dẳng nâng cao (APT) thường giữ chúng để sử dụng chống lại các mục tiêu quan trọng như cơ sở hạ tầng quan trọng hoặc mạng lưới chính phủ.
- Tác động hoạt động: Sửa chữa một zero-day thường có nghĩa là thời gian ngừng hoạt động khẩn cấp, sử dụng các giải pháp thủ công, hoặc thậm chí đưa hệ thống ngoại tuyến cho đến khi có bản vá.
Zero Day vs. Các lỗ hổng đã biết
| Đặc điểm | Lỗ hổng Zero Day | Lỗ hổng đã biết (N-Day) |
|---|---|---|
| Trạng thái | Chưa được biết đến bởi nhà cung cấp/công chúng | Đã được công khai |
| Khả năng vá lỗi | Không có | Có bản vá (nhưng có thể chưa được áp dụng) |
| Phát hiện | Khó khăn (yêu cầu phân tích hành vi) | Dễ dàng (phát hiện dựa trên chữ ký) |
| Mức độ rủi ro | Nghiêm trọng / Nguy hiểm | Biến đổi (phụ thuộc vào trạng thái bản vá) |
Thuật ngữ liên quan
- Hệ thống Chấm điểm Dự đoán Khai thác (EPSS)
- Các Lỗ hổng và Phơi nhiễm Chung (CVE)
- Kiểm tra Bảo mật Ứng dụng Tĩnh (SAST)
- Kiểm tra Bảo mật Ứng dụng Động (DAST)
Câu hỏi thường gặp: Lỗ hổng Zero-Day
Hỏi: Sự khác biệt giữa lỗ hổng zero-day và khai thác zero-day là gì?
Lỗ hổng là một lỗi trong mã phần mềm. Khai thác là mã hoặc kỹ thuật thực tế mà kẻ tấn công sử dụng để khai thác lỗ hổng và xâm nhập hệ thống.
Hỏi: Làm thế nào để bảo vệ chống lại các cuộc tấn công zero-day nếu không có bản vá?
Vì bạn không thể vá những gì bạn không biết, việc bảo vệ phụ thuộc vào việc sử dụng nhiều lớp phòng thủ:
- Sử dụng Tường lửa Ứng dụng Web (WAF) để chặn các mẫu lưu lượng đáng ngờ.
- Triển khai Bảo vệ Ứng dụng Thời gian Chạy (RASP).
- Sử dụng phân tích hành vi thay vì chỉ phát hiện dựa trên chữ ký.
- Duy trì một kế hoạch phản ứng sự cố nghiêm ngặt để phản ứng nhanh chóng khi một lỗ hổng zero-day được tiết lộ.
Hỏi: Phần mềm diệt virus có thể phát hiện các cuộc tấn công zero-day không?
Phần mềm diệt virus truyền thống chỉ sử dụng ‘chữ ký’ (giống như dấu vân tay của phần mềm độc hại đã biết) không thể tìm thấy các mối đe dọa zero-day. Tuy nhiên, các công cụ Phát hiện và Phản hồi Điểm cuối (EDR) hiện đại sử dụng AI và theo dõi hành vi bất thường có thể thường xuyên phát hiện các cuộc tấn công zero-day, chẳng hạn như mã hóa tệp không mong muốn hoặc chuyển dữ liệu trái phép.