Uma vulnerabilidade de dia zero é uma falha de segurança em software, hardware ou firmware da qual as partes responsáveis—fornecedores de software ou hardware—ainda não estão cientes até que ela seja divulgada diretamente a eles ou ao público em geral. Em alguns casos, o fornecedor não tem conhecimento da falha antes da divulgação pública ou não teve tempo suficiente para criar uma correção e, portanto, não há nenhuma solução alternativa ou patch oficial para proteger a vulnerabilidade contra o exploit. Estas vulnerabilidades são especialmente arriscadas porque podem passar despercebidas por um longo período, possivelmente dias, meses ou até anos.

 

O próprio termo "dia zero" refere-se à ausência de tempo entre a descoberta de uma vulnerabilidade e a sua possível exploração e o reconhecimento público e/ou a atenuação pelo fornecedor. Estas vulnerabilidades são os principais alvos dos cibercriminosos que tentam explorá-las antes de serem reconhecidas ou o mais rápido possível após serem reveladas publicamente. Tecnicamente, depois de a falha ser divulgada publicamente, deixa de ser considerada uma vulnerabilidade de dia zero, mas sim uma vulnerabilidade de dia n ou de um dia.

O que é uma exploração de dia zero?

Uma exploração de dia zero é o método ou a técnica específica que os atacantes utilizam para tirar proveito de uma vulnerabilidade de dia zero. Trata-se de um trecho de código ou de uma sequência de comandos que explora uma vulnerabilidade para obter um resultado que avança a um ataque. Se os cibercriminosos descobrirem estes exploits antes dos fornecedores, isso dá-lhes uma vantagem na elaboração e implementação de ataques.  Os kits de exploit de dia zero podem ser vendidos na dark web por quantias substanciais, adicionando outra camada de incentivo financeiro para os invasores.

O que é um ataque de dia zero?

Em termos de cibersegurança, um ataque de dia zero ocorre quando um invasor utiliza uma exploração de dia zero para comprometer um sistema que tem uma vulnerabilidade existente, mas desconhecida. Estes ataques podem assumir várias formas, desde o roubo de dados até a instalação de software malicioso. Os ataques de dia zero são particularmente ameaçadores porque, muitas vezes, os únicos indivíduos cientes deles são os próprios atacantes. Em muitos casos, os invasores fornecem a exploração de dia zero por meio de métodos sofisticados, como e-mails com engenharia social ou golpes de phishing, iniciando assim a sequência de ataques.

Como funciona?

o que é um exploit de dia zero

As vulnerabilidades de dia zero são uma grande preocupação porque permitem que os hackers explorem as falhas antes mesmo que os alvos tomem conhecimento da sua existência. Isto significa que os invasores podem violar sistemas sorrateiramente, dando-lhes tempo de sobra para causar estragos. Quando uma vulnerabilidade deste tipo é divulgada, os fornecedores podem levar um tempo considerável para emitir uma correção. Entretanto, as organizações permanecem em alto risco.

Para complicar ainda mais a situação, a própria arquitetura das redes modernas está a tornar-se mais complexa. As organizações agora integram uma combinação de aplicações baseadas na nuvem e no local, vários tipos de dispositivos e até mesmo a tecnologia da Internet das Coisas (IoT), ampliando significativamente a superfície de ataque.

Veja mais

 

 

Aqueles que lançam ataques de dia zero não são um grupo monolítico; eles têm várias motivações e pertencem a diferentes categorias. Não são apenas os hackers oportunistas que são o problema; existe também um mercado negro em plena expansão em que vulnerabilidades e exploits de dia zero são negociados por grandes somas de dinheiro. Os atores de estados nacionais também estão em busca destas falhas. Em vez de as divulgar, eles costumam armazenar estas vulnerabilidades para criar exploits de dia zero especializados para utilização contra adversários, uma prática que atraiu críticas significativas por colocar organizações inocentes em risco.

 

Os cibercriminosos geralmente procuram ganhos financeiros, concentrando-se na aquisição de informações confidenciais ou mantendo-as como resgate por meio de encriptação (ransomware) ou ameaça de libertação de dados confidenciais, ou ambos. Agentes patrocinados pelo Estado e hacktivistas utilizam vulnerabilidades de dia zero para promover causas sociais ou políticas, geralmente com o objetivo de recolher dados confidenciais ou divulgar a sua missão. A espionagem corporativa é outro motivador, em que as empresas podem utilizar exploits para obter uma vantagem competitiva acedendo a informações confidenciais de rivais. Por fim, estes ataques podem ser ferramentas de guerra informática, orquestradas por estados-nação que visam à infraestrutura digital de outro país por meio de ataques disruptivos de longo e curto prazo para obter vantagem contra serviços públicos, instituições económicas, investimentos estratégicos e propriedade intelectual, inclusive segredos de Estado.

 

As explorações de dia zero têm um vasto alcance, visando tudo, desde sistemas operativos e navegadores Web a hardware e dispositivos IoT. Este vasto espetro de dispositivos-alvo é utilizado pelas vítimas, incluindo:

· Utilizadores comuns que têm um sistema vulnerável, como um navegador desatualizado.

· Proprietários de dados comerciais ou de propriedade intelectual valiosos.

· Grandes empresas e organizações que gerem quantidades significativas de dados confidenciais.

· Órgãos governamentais que detêm informações críticas relativas à segurança nacional.

 

Os alvos podem ser específicos ou amplos. Os ataques de dia zero direcionados visam alvos de alto valor, como órgãos governamentais ou grandes corporações, enquanto os ataques não direcionados se concentram na exploração de qualquer sistema vulnerável que possam encontrar. No último caso, o objetivo geralmente é comprometer o maior número possível de utilizadores, fazendo com que ninguém esteja realmente a salvo de possíveis danos.

 

A espinha dorsal de um ataque de dia zero é construída sobre vários fatores, incluindo:

· Identificação de uma vulnerabilidade de software, que inclui falhas na execução de aplicações.

· A vulnerabilidade não está a ser divulgada publicamente.

· Desenvolvimento rápido de uma exploração da vulnerabilidade.

 

Estes fatores são facilitadores de várias atividades prejudiciais, mas a entrega do código de exploração ainda é necessária para avançar num ataque. A entrega de uma exploração pode ocorrer por meio de vários canais:

· Engenharia social: os invasores utilizam uma variedade de meios de contacto, incluindo e-mail personalizado, redes sociais e outras mensagens; um invasor criará um perfil de um alvo para ganhar confiança

· Phishing: os invasores utilizam esse método para enganar os utilizadores e fazê-los abrir um ficheiro ou ligação maliciosa por meio de um e-mail que parece legítimo, mas que na verdade é de um invasor.

· Transferência drive-by: neste cenário, os agentes de ameaças incorporam o código de exploração num website comprometido, mas aparentemente legítimo, como um elemento oculto. Quando os visitantes navegam para o site infetado, a exploração é transferida e executada nos seus sistemas sem a sua ação direta ou consciência. Esta técnica é frequentemente utilizada para realizar ataques de dia zero, utilizando vulnerabilidades de dia zero para se infiltrar discretamente nos sistemas.

· Malvertising: nesta estratégia, os anúncios maliciosos passam por redes de anúncios fiáveis. O simples fato de clicar ou passar o rato sobre estes anúncios aciona o código de exploração. Como os utilizadores tendem a confiar em websites conhecidos, essa é uma maneira astuta de lançar ataques de dia zero.

· Spear Phishing: esta técnica visa utilizadores finais específicos com mensagens altamente personalizadas por e-mail, texto ou outras plataformas. Se um invasor obtiver acesso a uma conta privilegiada, a utilidade de uma exploração será ampliada na infraestrutura de destino. Isto pode expandir o alcance de um ataque para além de uma empresa, incluindo parceiros e outras organizações afiliadas.

 

Estes explorações também podem ser agrupadas num "pacote de explorações", que sonda o sistema em busca de várias vulnerabilidades e fornece a exploração onde ele será mais eficaz. Quando o código é executado, ele pode causar uma série de danos, desde o roubo de dados até à inoperacionalidade do sistema. Devido à natureza furtiva e sofisticada destes ataques, eles geralmente são difíceis de detetar e prevenir, o que exige estratégias avançadas de prevenção de ataques de dia zero.

9 exemplos reais de explorações de dia zero

 

O mundo testemunhou várias explorações significativas ao longo dos anos. Algumas delas chegaram até mesmo às manchetes de notícias gerais, causando pânico generalizado entre os utilizadores. Abaixo, listamos alguns dos principais casos que moldaram a nossa compreensão desta ameaça à cibersegurança.

 

1. EternalBlue - Desenvolvido pela Agência de Segurança Nacional (NSA) dos EUA, esta exploração visava uma vulnerabilidade no protocolo SMB (Microsoft Windows Server Message Block). Ela foi utilizada em grandes ciberataques, incluindo o ataque de ransomware WannaCry, que afetou significativamente os computadores em todo o mundo. O EternalBlue explorava uma vulnerabilidade em sistemas Windows mais antigos, permitindo que atacantes remotos executassem códigos e controlassem os sistemas afetados.

2. Log4Shell - a vulnerabilidade do Log4Shell na biblioteca Java Log4J expôs um grande número de dispositivos a possíveis violações. Nomeadamente, aplicações importantes como o Apple iCloud e o Minecraft estavam vulneráveis. Apesar da sua presença desde 2013, ele só se tornou um alvo quente para os hackers em 2021. Após a descoberta, as equipas de segurança correram contra o tempo, pois detetaram mais de 100 tentativas de ataque do Log4Shell por minuto durante o seu pico.

3. Vulnerabilidade de dia zero do Chrome - O navegador Chrome do Google enfrentou uma série de ameaças de dia zero em 2021. Uma falha no mecanismo V8 JavaScript fez com que o Google implementasse atualizações urgentes.

4. Zoom - A mudança global para a comunicação virtual levou ao crescimento maciço do Zoom. No entanto, os hackers descobriram uma vulnerabilidade para aqueles que utilizam versões desatualizadas do Windows, o que lhes permite obter o controlo remoto do PC do utilizador. Se a conta comprometida tivesse direitos administrativos, o hacker tinha controlo total sobre a máquina.

5. Apple iOS - Embora o iOS da Apple seja conhecido pela sua segurança robusta, ele também se tornou um alvo para os invasores. Dois conjuntos notáveis de vulnerabilidades de dia zero do iOS surgiram em 2020, um dos quais permitiu que os invasores violassem iPhones remotamente.

6. Microsoft Windows na Europa Oriental - Instituições governamentais na Europa Oriental foram alvo de um ataque que explorou uma vulnerabilidade de privilégio local no Microsoft Windows. Em 2019, o exploit de dia zero permitiu que os malfeitores manipulassem códigos arbitrários, modificassem dados e instalassem aplicações em sistemas comprometidos.

7. Microsoft Word - Num esquema de 2017 para comprometer contas bancárias pessoais, um exploit de dia zero teve como alvo os utilizadores do Microsoft Word. Indivíduos desavisados que abriam um determinado documento do Word recebiam um pop-up que os induzia a conceder acesso externo. O sucesso desse truque levou à instalação de um malware, que capturou as credenciais de início de sessão bancário.

8. Stuxnet - O Stuxnet destaca-se como um ataque de dia zero monumental, cujo objetivo principal eram as instalações de enriquecimento de urânio do Irão. Descoberto pela primeira vez em 2010, esse worm explorou vulnerabilidades no software Siemens Step7, alterando as operações dos CLPs. As consequências foram significativas, afetando a maquinaria da linha de montagem e interrompendo as iniciativas nucleares do Irão. O evento inspirou um documentário intitulado "Zero Days".

9. Ataques ao Chrome - No início de 2022, hackers norte-coreanos exploraram uma vulnerabilidade de dia zero do Chrome. Ao criar e-mails de phishing, os criminosos direcionavam as vítimas para sites falsos. Aproveitando a falha do Chrome, eles conseguiram plantar spyware e malware de acesso remoto.

Como detetar e prevenir ataques de dia zero

 

O que torna a derrota de uma ameaça de dia zero tão desafiadora é a definição; elas permanecem desconhecidas até serem expostas. Portanto, as estratégias mais eficazes envolvem defesas em várias camadas, que incorporam elementos como análise de dados e algoritmos de aprendizagem automática.

A aprendizagem automática é treinada utilizando dados históricos sobre vulnerabilidades anteriores. Isto dá ao sistema a capacidade de detetar comportamentos maliciosos exibidos por um novo exploit de uma nova vulnerabilidade. 

No âmbito da cibersegurança, a deteção de variantes baseada em assinaturas serve como um método para identificar ameaças. Esta técnica emprega assinaturas digitais para identificar imediatamente explorações conhecidas e variações de ataques identificados anteriormente. Com a monitorização baseada em comportamento, os mecanismos de defesa estão à procura por táticas comuns de malware. É uma abordagem bastante prática.

A análise do comportamento do utilizador também desempenha um papel fundamental. Numa rede, os utilizadores autorizados apresentam padrões de utilização previsíveis. Padrões inconsistentes de comportamento do utilizador, especialmente quando se desviam amplamente da norma, podem indicar um ataque de dia zero. Por exemplo, se um servidor web começar a criar ligações de saída de forma inesperada, isso pode sugerir uma exploração.

Uma abordagem de deteção híbrida combina todos estes métodos para melhorar a identificação de ameaças de dia zero. Esta abordagem utiliza bases de dados de comportamento de malware continuamente melhoradas por algoritmos de aprendizagem automática e análise de comportamento para estabelecer o que é "normal" e sinalizar desvios. Embora o antimalware tradicional baseado em assinaturas possa ser insuficiente isoladamente, uma estratégia multifacetada oferece uma defesa robusta contra ameaças de dia zero.

É importante entender que os ataques de dia zero são praticamente impossíveis evitar; no entanto, o seu impacto pode ser significativamente atenuado através de medidas robustas e proativas de cibersegurança.

À medida que a tecnologia avança, oferecendo recursos mais avançados, a complexidade das aplicações e das plataformas aumenta. Isto expande a superfície de ataque potencial para os cibercriminosos, especialmente em configurações e gestão de identidade e acesso, tornando os ataques de dia zero mais prováveis e desafiadores. As correções tradicionais não estão disponíveis imediatamente, portanto, é obrigatório ter uma estratégia de segurança multifacetada, especialmente em ambientes que utilizam sistemas de várias nuvens ou de nuvem híbrida. Embora seja impossível evitar totalmente os ataques de dia zero, a meta deve ser reduzir significativamente o seu impacto e aumentar a capacidade de responder com de forma eficaz caso eles ocorram.

As soluções de segurança devem abordar as vulnerabilidades de vários ângulos, em vez de depender de abordagens singulares, e garantir que as políticas de segurança sejam aplicadas de forma consistente em todos os ambientes, incluindo sistemas de várias nuvens e de nuvem híbrida. 

Práticas recomendadas de proteção contra ataques de dia zero

 

Mantenha os softwares e sistemas atualizados: as explorações de dia zero dependem do fato de que os softwares e sistemas ainda não foram corrigidos. Isto pode ser devido ao fato de ainda não haver uma correção ou porque a correção ainda não foi aplicada. Para beneficiar do facto de os criadores de software terem descoberto e corrigido uma vulnerabilidade, é essencial fazer atualizações periódicas e oportunas em todos os seus softwares e sistemas operacionais. Os fornecedores de software frequentemente lançam patches de segurança que tratam de vulnerabilidades recém-descobertas, mas geralmente é da sua responsabilidade aplicá-los.

 

Avalie e analise a utilização de software: ao reduzir o número de aplicações instaladas, as organizações podem minimizar as possíveis vulnerabilidades. Uma das ferramentas utilizadas no processo de decisão é a Análise de Composição de Software (SCA), que ajuda a identificar e avaliar os componentes do software, incluindo elementos proprietários e de código aberto. Esta análise pode revelar vulnerabilidades escondidas no software, ajudando no processo de equilibrar a segurança com as preferências do software.

 

Eduque os utilizadores finais: o erro humano é um caminho frequente para exploits de dia zero, e a formação regular sobre higiene de cibersegurança pode reduzir significativamente este risco. Inclua formação sobre práticas de palavra-passe segura, identificação de tentativas de phishing e hábitos seguros de navegação na Internet, entre outros.

 

Aplique o princípio do menor privilégio (Zero Trust):

· Implemente medidas de segurança de rede e sistema, incluindo firewalls e sistemas de deteção de intrusão.

· Atribua privilégios de utilizador com base em cargos e funções de trabalho e utilize a autenticação multifator (MFA).

· Conduza o fortalecimento do sistema, minimizando os possíveis pontos de ataque. Isto inclui a desativação de serviços desnecessários, o fechamento de portas abertas e a remoção de software redundante. Utilize soluções de segurança de endpoint para detetar e atenuar ameaças no nível do dispositivo.

 

Tenha um plano:

· Seja proativo com as ferramentas do Attack Surface Management (ASM) para identificar e corrigir vulnerabilidades antes que elas sejam exploradas.

· Cópias de segurança regulares de dados e planos eficientes de resposta a incidentes são essenciais. A monitorização dos registos do sistema pode fornecer avisos antecipados de possíveis violações, enquanto os testes regulares dos planos de resposta a incidentes garantem a preparação para ataques reais.

Soluções da Bitdefender para vulnerabilidades de dia zero?

 

Todas as dicas e medidas descritas acima podem falhar, e é por isso que os especialistas recomendam que os utilizadores domésticos e comerciais utilizem soluções avançadas de segurança empresarial. A Bitdefender oferece produtos sob medida premiados e classificados de forma independente como os melhores, tanto para necessidades individuais quanto empresariais.

No cenário empresarial, os produtos Bitdefender GravityZone oferecem soluções dimensionáveis para pequenas a grandes empresas. Estas soluções incorporam mecanismos avançados de prevenção, incluindo recursos de Endpoint Detection and Response (EDR), tecnologias de proteção em várias camadas contra ataques de phishing, ransomware e sem ficheiro, e prevenção avançada com contexto de ameaças e relatórios.

 

Ao integrar as soluções de segurança da Bitdefender à sua rede, aumenta a eficácia das proteções existentes, como firewalls e sistemas de prevenção de intrusões. Isto resulta numa defesa holística e resiliente contra ameaças de malware, tornando mais difícil para os invasores penetrarem os seus sistemas.

Existem regulamentações governamentais que abordam explorações de dia zero?

A forma como os governos lidam com as explorações de dia zero é um tópico complexo que varia de acordo com o país, mas há algumas especificidades regulatórias comuns.

Por exemplo, com relação às políticas de divulgação, podemos notar que os governos geralmente incentivam os investigadores a notificar os fornecedores de software sobre as vulnerabilidades antes da divulgação pública, para que eles possam emitir patches.

É dada especial atenção aos regulamentos relativos a infraestruturas críticas destinados a proteger serviços vitais, como as redes elétricas, de ataques de dia zero. O envolvimento dos governos com as vulnerabilidades de dia zero é de natureza dupla. A maioria dos países tecnologicamente avançados impõe penalidades para a utilização indevida de vulnerabilidades de dia zero por meio de multas ou até mesmo prisão. Ao mesmo tempo, alguns governos retêm vulnerabilidades de dia zero para fins de inteligência, armazenando-as para os seus próprios benefícios de inteligência.

Do ponto de vista económico, há casos de restrições de exportação para conter a proliferação de armas informáticas. Além disso, em muitos países, podemos notar que os governos costumam fazer parcerias com empresas privadas para obter inteligência sobre ameaças.

Qual é a diferença entre um ataque de dia zero e uma exploração de dia zero?

Embora sejam frequentemente utilizados de forma intercambiável, do ponto de vista linguístico, há uma diferença de significado. Um "Zero-Day Exploit" refere-se à técnica real utilizada para tirar proveito de uma vulnerabilidade em software ou hardware que é desconhecida pelo seu criador.

Por outro lado, um "Zero-day Attack" é a implementação real dessa exploração no mundo real. Em termos simples, se a exploração é a "receita", então o ataque é o equivalente a "cozinhar" essa receita.

Se houver vulnerabilidades de dia zero num novo software, é mais seguro adiar a instalação das atualizações?

As vulnerabilidades de dia zero podem estar presentes tanto em softwares novos quanto em antigos. Atrasar as atualizações pode evitar novas vulnerabilidades, mas deixa-o exposto a problemas conhecidos corrigidos na atualização. Em vez disso, considere estes passos:

·       Feedback da investigação sobre a atualização.

·       Aguarde um pouco depois de sair uma nova versão para obter correções rápidas.

·       Mantenha boas práticas de cibersegurança, como a utilização de software de segurança fiável e a criação de cópias de segurança dos dados.

·       Mantenha-se informado sobre as principais vulnerabilidades e as respetivas correções. Dê sempre prioridade à segurança, mas lembre-se que as atualizações também trazem frequentemente melhorias de segurança.