Una vulnerabilità zero-day è una lacuna di sicurezza in software, hardware o firmware, di cui le parti responsabili— fornitori di software o hardware— non sono ancora a conoscenza finché non viene comunicata direttamente a loro o al pubblico in generale. In alcuni casi, il fornitore non è a conoscenza della lacuna prima della divulgazione pubblica o non ha avuto abbastanza tempo per creare una possibile correzione, di conseguenza non esiste una soluzione alternativa ufficiale o una patch per evitare che la vulnerabilità venga sfruttata. Tali vulnerabilità sono specialmente rischiose perché possono passare inosservate per un lungo periodo, potenzialmente giorni, mesi o persino anni.

 

Il termine stesso "zero-day" si riferisce all'assenza di tempo tra la scoperta e il potenziale sfruttamento di una vulnerabilità, e il riconoscimento pubblico e/o la mitigazione da parte del fornitore. Tali vulnerabilità sono obiettivi primari per i criminali informatici che tentano di sfruttarle prima che vengano identificate o il prima possibile dopo che sono state svelate pubblicamente. Tecnicamente, una volta che la lacuna è stata svelata pubblicamente, non è più considerata una vulnerabilità zero-day, ma piuttosto una vulnerabilità n-day oppure one-day.

Cos'è un exploit zero-day?

Un exploit zero-day è un metodo o una tecnica specifica che gli aggressori usano per sfruttare una vulnerabilità zero-day. Si tratta di una parte di codice o una sequenza di comandi che sfruttano una vulnerabilità per ottenere un risultato in grado di far avanzare un attacco. Se i criminali informatici scoprono questi exploit prima dei fornitori, hanno effettivamente un vantaggio nella creazione e nell'implementazione degli attacchi.  I kit di exploit zero-day possono essere venduti sul dark web per importi considerevoli, aggiungendo un altro livello di incentivo finanziario per gli aggressori.

Cos'è un attacco zero-day?

In termini di cybersecurity, un attacco zero-day si verifica quando un utente malintenzionato usa un exploit zero-day per compromettere un sistema che ha una vulnerabilità esistente ma sconosciuta. Questi attacchi possono assumere varie forme, che vanno dal furto di dati all'installazione di software dannoso. Gli attacchi zero-day sono particolarmente minacciosi perché spesso gli unici individui a conoscenza di essi sono gli aggressori stessi. In molti casi, gli aggressori forniscono l'exploit zero-day tramite metodi sofisticati, come e-mail di ingegneria sociale o truffe di phishing, dando così inizio alla sequenza di attacco.

Come funziona?

cos'è un exploit zero-day

Le vulnerabilità zero-day sono una delle preoccupazioni principali perché consentono agli hacker di sfruttare i difetti prima ancora che i bersagli vengano a conoscenza della loro esistenza. Ciò significa che gli aggressori possono violare i sistemi furtivamente, avendo tutto il tempo per scatenare il caos. Una volta che una vulnerabilità viene divulgata, i fornitori possono impiegare una notevole quantità di tempo per rilasciare una patch. Nel frattempo, le organizzazioni restano ad alto rischio.

A complicare ulteriormente le cose, l'architettura stessa delle reti moderne sta diventando sempre più intricata. Ora le organizzazioni integrano una combinazione di applicazioni on-premise e cloud, diversi tipi di dispositivi e persino la tecnologia dell'Internet of Things (IoT), ampliando significativamente la loro superficie d'attacco.

Vedi altro

 

 

Coloro che lanciano attacchi zero-day non sono un gruppo monolitico. Hanno varie motivazioni e appartengono a categorie diverse. Il problema non sono solo gli hacker opportunisti, ma c'è anche un vivace mercato nero in cui le vulnerabilità e gli exploit zero-day vengono scambiati per ingenti somme di denaro. Anche gli autori legati agli stati-nazione sono a caccia di queste lacune. Invece di rivelarle, spesso accumulano queste vulnerabilità per creare exploit zero-day specializzati da usare contro gli avversari, una pratica che ha attirato critiche significative per aver messo in pericolo organizzazioni innocenti.

 

In genere, i criminali informatici cercano un guadagno finanziario, concentrandosi sull'ottenimento di informazioni sensibili o trattenendole per un riscatto cifrandole (ransomware) o minacciando di pubblicare dati critici, o entrambe le cose. Gli autori e gli hacktivisti sponsorizzati da stati sfruttano le vulnerabilità zero-day per promuovere cause sociali o politiche, spesso con l'obiettivo di ottenere dati sensibili o pubblicizzare la propria missione. Lo spionaggio aziendale è un altro fattore trainante, in cui le aziende possono utilizzare exploit per ottenere un vantaggio competitivo accedendo a informazioni riservate dei rivali. Infine, questi attacchi possono essere strumenti per la guerra informatica, orchestrati da stati-nazione che prendono di mira l'infrastruttura digitale di un altro paese attraverso attacchi dirompenti a lungo e breve termine per ottenere vantaggi contro i servizi pubblici, le istituzioni economiche, gli investimenti strategici e la proprietà intellettuale– compresi i segreti di stato.

 

Gli exploit zero-day hanno un'ampia portata e prendono di mira qualsiasi cosa, dai sistemi operativi ai browser web, dall'hardware ai dispositivi IoT. Questa vasta gamma di dispositivi bersaglio viene utilizzata dalle vittime, tra cui:

· Semplici utenti che hanno un sistema vulnerabile, come un browser datato.

· Proprietari di preziosi dati aziendali o proprietà intellettuali.

· Grandi aziende e organizzazioni che gestiscono quantità significative di dati sensibili.

· Agenzie governative che detengono informazioni critiche relative alla sicurezza nazionale.

 

I bersagli possono essere specifici o più ampi. Gli attacchi zero-day mirati puntano a un bersaglio di alto valore, come agenzie governative o grandi aziende, mentre gli attacchi non mirati si concentrano sullo sfruttamento di qualsiasi sistema vulnerabile che riescono a trovare. In quest'ultimo caso, si intende spesso compromettere quanti più utenti possibili, rendendo nessuno di fatto veramente al sicuro da potenziali danni.

 

La struttura portante di un attacco zero-day si basa su diversi fattori, tra cui:

· Identificazione di una vulnerabilità software, che include lacune nell'esecuzione dell'applicazione.

· La vulnerabilità non è stata divulgata pubblicamente.

· Rapido sviluppo di un exploit della vulnerabilità.

 

Questi fattori sono abilitanti per diverse attività dannose, ma la consegna del codice dell'exploit è ancora necessaria per far continuare un attacco. La consegna di un exploit può avvenire attraverso vari canali:

· Social engineering: gli aggressori usano una vasta gamma di mezzi utilizzati con notevole frequenza, tra cui e-mail mirate, social media e altri messaggi. Un aggressore creerà un profilo di un determinato bersaglio per ottenerne la fiducia.

· Phishing: gli aggressori usano questo metodo per ingannare gli utenti ad aprire file o link dannosi tramite un'e-mail che sembra legittima, ma che in realtà proviene da un aggressore.

· Download drive-by: in questo scenario, gli autori delle minacce incorporano il codice dell'exploit in un sito web compromesso, ma apparentemente legittimo come elemento nascosto. Quando i visitatori accedono al sito infetto, l'exploit viene scaricato ed eseguito sui loro sistemi senza che ne siano consapevoli o abbiano fatto una qualche azione diretta. Questa tecnica viene spesso utilizzata per effettuare attacchi zero-day sfruttando le vulnerabilità zero-day per infiltrarsi nei sistemi in modo discreti.

· Malvertising: con questa strategia, gli annunci dannosi passano attraverso reti pubblicitarie affidabili. Cliccando su questi annunci o semplicemente passandoci sopra il mouse si attiva il codice dell'exploit. Dato che gli utenti tendono a fidarsi dei siti web noti, è un metodo molto astuto per lanciare attacchi zero-day.

· Spear phishing: questa tecnica prende di mira specifici utenti finali con messaggi altamente personalizzati tramite e-mail, SMS o altre piattaforme. Se un aggressore ottenesse l'accesso a un account privilegiato, l'utilità di un exploit viene amplificata all'interno dell'infrastruttura di destinazione. Ciò potrebbe espandere la portata di un attacco al di là di un'azienda per includere partner e altre organizzazioni affiliate.

 

Questi exploit possono anche essere raggruppati in un "pacchetto di exploit", che sonda il sistema alla ricerca di più vulnerabilità e consegna l'exploit dove sarà più efficace. Una volta eseguito, il codice può causare una gamma di danni,—che spaziano dal furto di dati al rendere inutilizzabile il sistema. Data la natura furtiva e sofisticata di questi attacchi, sono spesso difficili da rilevare e prevenire, richiedendo strategie avanzate di prevenzione degli attacchi zero-day.

9 esempi reali di exploit zero-day

 

Il mondo ha assistito a diversi exploit significativi nel corso degli anni. Alcuni di loro sono persino finiti sui titoli dei principali quotidiani, causando il panico tra gli utenti. Di seguito elenchiamo alcuni dei principali casi che hanno sviluppato la nostra comprensione di questa minaccia di cybersecurity.

 

1. EternalBlue - Sviluppato dalla National Security Agency (NSA) statunitense, questo exploit prendeva di mira una vulnerabilità nel protocollo di Microsoft Windows Server Message Block (SMB). È stato utilizzato nei principali attacchi informatici, incluso l'attacco ransomware WannaCry, che ha avuto un impatto significativo sui computer di tutto il mondo. EternalBlue ha sfruttato una vulnerabilità nei sistemi di Windows più datati, consentendo agli aggressori remoti di eseguire codice e controllare i sistemi interessati.

2. Log4Shell - La vulnerabilità Log4Shell nella libreria Java Log4J ha esposto un vasto numero di dispositivi a potenziali violazioni. In particolare, applicazioni importanti come Apple iCloud e Minecraft erano vulnerabili. Malgrado la sua presenza dal 2013, è diventato un bersaglio principale per gli hacker nel 2021. Dopo la scoperta, i team di sicurezza hanno corso contro il tempo, rilevando oltre 100 tentativi di attacco Log4Shell al minuto durante il suo picco.

3. Vulnerabilità zero-day di Chrome - Il browser Chrome di Google ha affrontato una serie di minacce zero-day nel 2021. Una lacuna nel motore JavaScript V8 ha indotto Google a implementare aggiornamenti urgenti.

4. Zoom - Il passaggio globale alla comunicazione virtuale ha portato alla massiccia impennata di Zoom. Tuttavia, gli hacker hanno scoperto una vulnerabilità per chi utilizza versioni obsolete di Windows, consentendo loro di ottenere il controllo remoto del PC di un utente. Se l'account compromesso deteneva diritti amministrativi, l'hacker aveva il pieno controllo della macchina.

5. Apple iOS - Anche se iOS di Apple è rinomato per la sua sicurezza molto solida, è diventato anche un bersaglio per gli aggressori. Nel 2020, sono emerse due serie di vulnerabilità zero-day di iOS, una delle quali ha permesso agli aggressori di violare gli iPhone da remoto.

6. Microsoft Windows nell'Europa orientale - Le istituzioni governative dell'Europa orientale sono diventate il bersaglio di un attacco che sfruttava una vulnerabilità dei privilegi locali in Microsoft Windows. Nel 2019, l'exploit zero-day ha permesso agli aggressori di manipolare codice arbitrario, modificare i dati e installare applicazioni sui sistemi compromessi.

7. Microsoft Word - In un piano del 2017 per compromettere i conti bancari personali, un exploit zero-day ha preso di mira gli utenti di Microsoft Word. Agli utenti ignari che aprivano un particolare documento Word veniva offerto un pop-up, che li invitava a concedere l'accesso esterno. Cadere in questo trucco portava all'installazione di un malware, che catturava poi le credenziali di accesso bancarie.

8. Stuxnet - Stuxnet si è distinto come un monumentale attacco zero-day, con l'obiettivo principale negli impianti di arricchimento dell'uranio in Iran. Scoperto per la prima volta nel 2010, questo worm ha sfruttato le vulnerabilità del software Siemens Step7, alternando il funzionamento dei PLC. Le ricadute sono state notevoli, interessando i macchinari delle catene di montaggio e interrompendo le iniziative nucleari iraniane. L'evento ha ispirato un documentario intitolato "Zero Days".

9. Attacchi a Chrome - All'inizio del 2022, gli hacker nordcoreani hanno sfruttato una vulnerabilità zero-day di Chrome. Creando e-mail di phishing, gli autori hanno indirizzato le vittime a siti contraffatti. Sfruttando questa lacuna di Chrome, hanno potuto installare spyware e malware di accesso remoto.

Come rilevare e prevenire gli attacchi zero-day

 

Ciò che rende tanto difficile sconfiggere una minaccia zero-day è la sua definizione, infatti, restano ignote finché non vengono esposte. Pertanto, le strategie più efficaci prevedono difese multilivello che incorporino elementi come l'analisi dei dati e gli algoritmi di machine learning.

Il machine learning viene addestrato utilizzando i dati storici delle vulnerabilità passate. Così facendo, il sistema è in grado di rilevare comportamenti dannosi evidenziati da un nuovo exploit di una nuova vulnerabilità. 

Nell'ambito della cybersecurity, il rilevamento delle varianti basato su firme è un metodo per identificare le minacce. Questa tecnica utilizza le firme digitali per identificare immediatamente gli exploit noti e le varianti degli attacchi precedentemente identificati. Con il monitoraggio basato sul comportamento, i meccanismi di difesa sono alla ricerca di tattiche malware comuni. È un approccio piuttosto pratico.

Anche l'analisi del comportamento degli utenti gioca un ruolo cruciale. In una rete, gli utenti autorizzati mostrano modelli di utilizzo prevedibili. Modelli di comportamento degli utenti incoerenti, specialmente quando si discostano ampiamente dalla norma, potrebbero indicare un attacco zero-day. Per esempio, se un server web inizia a creare connessioni in uscita in modo imprevisto, ciò potrebbe indicare un exploit.

Un approccio di rilevamento ibrido combina tutti questi metodi per migliorare l'identificazione delle minacce zero-day. Tale approccio utilizza database di comportamenti malware continuamente migliorati da algoritmi di machine learning e analisi dei comportamenti per stabilire cosa è "normale" e segnalare eventuali scostamenti. Mentre le soluzioni anti-malware tradizionali basate sulle firme potrebbero non essere sufficienti da sole, una strategia variegata fornisce una solida difesa contro le minacce zero-day.

È importante comprendere che gli attacchi zero-day sono praticamente impossibili da prevenire, tuttavia il loro impatto può essere notevolmente mitigato attraverso misure di cybersecurity solide e proattive.

Man mano che la tecnologia progredisce, fornendo funzionalità sempre più avanzate, la complessità di applicazioni e piattaforme aumenta. Ciò espande la potenziale superficie di attacco per i criminali informatici, in particolare nelle configurazioni e nella gestione di identità e accessi, rendendo gli attacchi zero-day più probabili e difficili da affrontare. I fix tradizionali non sono immediatamente disponibili, perciò è obbligatoria una strategia di sicurezza variegata, in particolare negli ambienti che utilizzano sistemi multi-cloud o hybrid-cloud. Anche se è impossibile prevenire completamente gli attacchi zero-day, l'obiettivo dovrebbe essere quello di ridurne significativamente l'impatto e migliorare la capacità di rispondere efficacemente nel caso si verificano.

Le soluzioni di sicurezza dovrebbero affrontare le vulnerabilità da più angolazioni, piuttosto che affidarsi ad approcci singoli, garantendo al contempo che le policy di sicurezza siano applicate in modo coerente in tutti gli ambienti, compresi i sistemi multi-cloud e hybrid-cloud. 

Migliori pratiche per la protezione dagli attacchi zero-day

 

Mantenere aggiornati software e sistemi: gli exploit zero-day sfruttano il fatto che software e sistemi non sono stati ancora patchati. Ciò può essere dovuto al fatto che non è ancora presente alcuna patch o che la patch non sia ancora stata applicata effettivamente. Per beneficiare del fatto che gli sviluppatori di software hanno scoperto e risolto una vulnerabilità, sono essenziali aggiornamenti tempestivi su tutti i software e i sistemi operativi su base regolare. I fornitori di software rilasciano spesso patch di sicurezza che risolvono le vulnerabilità appena scoperte, ma spesso è responsabilità dell'utente applicarle.

 

Valutare e analizzare l'utilizzo dei software: riducendo il numero di applicazioni installate, le organizzazioni possono ridurre al minimo le potenziali vulnerabilità. Uno degli strumenti utilizzati nel processo decisionale è la Software Composition Analysis (SCA), che aiuta a identificare e valutare i componenti dei software, inclusi gli elementi proprietari e open-source. Questa analisi può svelare vulnerabilità nascoste nei software, aiutando nel processo di bilanciamento della sicurezza con le preferenze software.

 

Educare gli utenti finali: gli errori umani sono un percorso frequente per gli exploit zero-day e una formazione regolare sull'igiene della cybersecurity può ridurre significativamente tale rischio. Includi un'adeguata formazione sulle pratiche relative alla sicurezza delle password, sull'identificazione dei tentativi di phishing e sulle abitudini di navigazione sicura in Internet, tra i vari aspetti.

 

Applicare il principio del privilegio minimo (Zero Trust):

· Implementa misure di sicurezza della rete e del sistema, inclusi firewall e sistemi di rilevamento delle intrusioni.

· Assegna privilegi utente in base ai ruoli e alle funzioni lavorative, e utilizza l'autenticazione a più fattori (MFA).

· Esegui la protezione avanzata del sistema riducendo al minimo i potenziali punti di attacco. Ciò include la disattivazione di servizi non necessari, la chiusura delle porte aperte e la rimozione di software ridondante. Usa le soluzioni di sicurezza degli endpoint per rilevare e mitigare le minacce a livello di dispositivo.

 

Avere un piano:

· Agisci in modo proattivo con gli strumenti di Attack Surface Management (ASM) per identificare e correggere le vulnerabilità prima che vengano sfruttate.

· Un backup regolare dei dati e piani di risposta agli incidenti efficienti sono essenziali. Il monitoraggio dei log di sistema può fornire avvisi temporali di violazioni potenziali, mentre i test regolari dei piani di risposta agli incidenti garantiscono la preparazione per gli attacchi effettivi.

Soluzioni Bitdefender per le vulnerabilità zero-day?

 

Tutti i suggerimenti e le misure descritte in precedenza possono fallire, ecco perché gli esperti suggeriscono agli utenti domestici e aziendali di utilizzare soluzioni avanzate di sicurezza aziendale. Bitdefender offre prodotti su misura premiati e ritenuti i migliori da test indipendenti sia per le esigenze consumer che aziendali.

Nel panorama aziendale, i prodotti GravityZone di Bitdefender offrono soluzioni adattabili dalle piccole alle grandi imprese. Si tratta di soluzioni che incorporano meccanismi di prevenzione avanzata, tra cui capacità di Endpoint Detection and Response (EDR), tecnologie di protezione multilivello contro phishing, ransomware e attacchi privi di file, nonché prevenzione avanzata con contesto e segnalazione delle minacce.

 

Integrando le soluzioni di sicurezza di Bitdefender nella tua rete, puoi aumentare l'efficacia delle misure di sicurezza esistenti, come firewall e sistemi di prevenzione delle intrusioni. Ciò si traduce in una difesa completa e resiliente contro le minacce malware, rendendo più difficile per gli aggressori penetrare nei sistemi.

Esistono normative governative che affrontano gli exploit zero-day?

Il modo in cui i governi affrontano gli exploit zero-day è un argomento complesso che varia da paese a paese, ma ci sono alcune specifiche normative comuni.

Per esempio, per quanto riguarda le politiche di divulgazione, possiamo notare che i governi spesso incoraggiano i ricercatori a notificare ai fornitori di software le vulnerabilità prima della divulgazione pubblica, in modo che possano rilasciare eventuali patch.

Un'attenzione particolare è rivolta alle normative sulle infrastrutture critiche volte a proteggere i servizi vitali come le reti elettriche dagli attacchi zero-day. Il coinvolgimento dei governi nelle vulnerabilità zero-day è di natura duplice. La maggior parte dei paesi tecnologicamente avanzati emette sanzioni per l'utilizzo improprio delle vulnerabilità zero-day attraverso multe o addirittura la reclusione. Allo stesso tempo, alcuni governi conservano le vulnerabilità zero-day per scopi di ricerca delle informazioni, accumulandole per i propri vantaggi di intelligence.

Dal punto di vista economico, ci sono casi di restrizioni all'esportazione per frenare la proliferazione delle armi informatiche. Inoltre, in molti paesi, possiamo notare che i governi spesso collaborano con aziende private per l'intelligence sulle minacce.

Qual è la differenza tra un attacco zero-day e un exploit zero-day?

Anche se spesso sono usati in modo intercambiabile, linguisticamente parlando, c'è una differenza nel significato. Un "exploit zero-day" si riferisce alla tecnica effettiva utilizzata per sfruttare una vulnerabilità nel software o nell'hardware che è sconosciuta al suo sviluppatore.

D'altra parte, un "attacco zero-day" è l'implementazione attuale di quell'exploit nel mondo reale. In termini più semplici, se l'exploit è la "ricetta", allora l'attacco è la "preparazione" di quella ricetta.

Se esistono vulnerabilità zero-day in un nuovo software, è più sicuro ritardare l'installazione degli aggiornamenti?

Le vulnerabilità zero-day possono essere presenti sia nel nuovo software che in quello precedente. Ritardare gli aggiornamenti potrebbe evitare nuove vulnerabilità, ma lasciare l'utente esposto a problemi noti risolti con essi. Invece, considera questi passaggi:

·       Ricerca eventuali feedback sull'aggiornamento.

·       Attendi un po' dopo il rilascio di una nuova versione per eventuali correzioni rapide.

·       Mantieni buone pratiche di cybersecurity, come l'utilizzo di software di sicurezza affidabili e il backup dei dati.

·       Cerca di essere a conoscenza delle principali vulnerabilità e delle relative patch. Dai sempre la priorità alla sicurezza, ma ricorda che gli aggiornamenti spesso apportano anche miglioramenti alla sicurezza.