Le vulnerabilità o attacco zero-day possono essere definite come vulnerabilità nel software, firmware o hardware sconosciute allo sviluppatore del software. Le vulnerabilità zero-day non sono facili da rilevare in quanto possono assumere varie forme come crittografia dei dati mancante, autorizzazioni mancanti, algoritmi non funzionanti, bug, problemi di sicurezza delle password.
Gli attacchi zero-day sono pericolosi perché le uniche persone che ne sono a conoscenza sono gli stessi aggressori. Dopo essersi infiltrati in una rete, i criminali possono attaccare immediatamente o attendere strategicamente il momento migliore per farlo.
Durante un attacco zero-day, è fondamentale agire in modo rapido e coordinato per ridurre al minimo l’impatto e il costo dell’incidente. Sebbene un piano di risposta agli incidenti potrebbe non impedire un attacco zero-day, può accelerare la riparazione spiegando cosa è necessario fare. Potresti non essere in grado di prevedere l’attacco, ma essere preparati durante la fase di panico di un attacco può interrompere il gioco. È inoltre fondamentale disporre di piani di backup e ripristino di emergenza completi.
Il motivo per cui gli attacchi Zero Day sono un incubo per gli esperti di sicurezza informatica è che la vulnerabilità non è nota finché non viene sfruttata, anche se la vulnerabilità è consapevole, gli attacchi possono iniziare prima che il produttore del software abbia l’opportunità di rilasciare la patch. Gli attacchi zero-day mirati sono rivolti a grandi aziende o individui di alto profilo, mentre gli attacchi zero-day non mirati sono in genere contro utenti di sistemi vulnerabili come sistemi operativi o browser e mirano a catturare il maggior numero possibile di utenti.
I tipi di attacchi informatici, come gli attacchi e-mail di phishing, richiedono l’interazione dell’utente per scaricare un file da un’e-mail o fare clic su un collegamento. Al contrario, un attacco zero-day sfrutta potenzialmente il sistema operativo o un difetto software per infettare direttamente il dispositivo di destinazione, aumentando le possibilità di successo.
Molti esperti di computer consigliano due tecniche per proteggere un sistema informatico dagli attacchi zero-day. Il primo abilita la scansione euristica dei virus, un’opzione nel software antivirus che attualmente ha un’opzione per bloccare virus e worm sconosciuti, poiché l’attacco tipico è sconosciuto fino a quando un numero elevato di computer non viene infettato. Il secondo è utilizzare un firewall per proteggere il computer dagli exploit online.
Come Funziona?
Si tenta di scoprire le vulnerabilità, generalmente utilizzate negli attacchi zero-day, inserendo grandi quantità di dati in un programma a vari intervalli. Verifica se il sovraccarico provoca arresti anomali o comportamenti strani, se vengono rilevati errori e come risponde il programma.
Le organizzazioni attaccate da una vulnerabilità zero-day possono essere esposte a traffico imprevisto o attività di navigazione sospette da parte di un client o servizio.
Elencando varie strategie che possono fornire indizi sull’esistenza di una vulnerabilità zero-day e facilitarne il rilevamento e noto come:
- Rilevamento basato su statistiche: utilizzando l’apprendimento automatico, vengono raccolti i dati storici degli exploit precedenti e viene impostato un livello standard di comportamento sicuro per rilevare le minacce zero-day in tempo reale.
- Rilevamento basato sulla firma: questo metodo è stato utilizzato nel monitoraggio della sicurezza sin dai primi giorni. I file locali e i download vengono incrociati durante la scansione di firme di malware esistenti, database e nuove potenziali minacce, indicando la presenza di codice dannoso. Uno svantaggio di questo metodo è che le firme possono identificare solo le minacce già note, quindi questo metodo non è in grado di rilevare la maggior parte delle minacce zero-day.
- Rilevamento comportamentale: vengono analizzate le interazioni degli utenti con il software esistente. La percezione basata sul comportamento si propone di conoscere il comportamento futuro e cerca di prevenire qualsiasi comportamento inaspettato. Si basa sulla stima del flusso di traffico di rete.
Per natura, è impossibile essere protetti al 100% dagli exploit zero-day, poiché non siamo nemmeno consapevoli della sua esistenza. Ci sono alcune pratiche che possono essere seguite per ridurre al minimo il rischio di un attacco zero-day. I più importanti tra questi sono l’isolamento del browser e i firewall.
Un altro modo efficace per proteggersi dalle vulnerabilità zero-day è essere reattivi. Non appena gli aggiornamenti di sicurezza e le patch vengono rilasciati, dovresti applicarli ai tuoi sistemi. Gli aggiornamenti di sicurezza contengono patch di sicurezza che chiudono le vulnerabilità in un’applicazione o in un sistema e creano una solida linea di difesa contro le vulnerabilità zero-day.
Per prevenire gli attacchi Zero Day, si consiglia di eseguire test di penetrazione regolari e utilizzare strategie in cui le aziende premiano coloro che le avvertono delle vulnerabilità. Ad esempio, Google ha un team di analisti della sicurezza incaricati di trovare vulnerabilità zero-day e un progetto incentrato sulla ricompensa dei ricercatori che rilevano le vulnerabilità.
Esempi di vulnerabilità zero-day
- Uno degli esempi più famosi di attacco zero-day, Stuxnet , ha causato l’esecuzione di comandi imprevisti sui dispositivi utilizzati negli impianti di arricchimento dell’uranio in Iran nel 2010 e ha interrotto le centrifughe utilizzate per elaborare il materiale nucleare. È stato utilizzato il software Siemens Step7 e il programma è stato eseguito su Windows. Risalente al 2005, il worm infetta i computer di produzione che eseguono il software PLC (Programmable Logic Controller). L’obiettivo finale era quello di danneggiare il programma nucleare del Paese. L’attacco Stuxnet è stato successivamente descritto in un documentario chiamato Zero Days.
- Uno degli esempi più famosi della vulnerabilità Zero Day, EternalBlue, si è verificato nell’aprile 2017 quando un gruppo di hacker chiamato Shadow Brokers ha sfruttato la vulnerabilità nel protocollo Microsoft Server Message Block (CVE-2017-0144). Questa vulnerabilità ha consentito a un utente malintenzionato di eseguire in remoto codice sul sistema compromesso inviando pacchetti. Queste fughe di notizie sono apparse come massicci attacchi ransomware che hanno coinvolto malware come WannaCry, Petya, NotPetya da maggio ad agosto 2017. È interessante notare che, anche se la vulnerabilità EternalBlue è stata risolta da Microsoft un mese prima della fuga di notizie, era ancora una parte fondamentale degli attacchi malware più diffusi di tutti i tempi.
- Nel 2011, gli hacker sono entrati nella rete della società di sicurezza RSA a causa di una vulnerabilità in Adobe Flash Player e hanno utilizzato file Excel compromessi contenenti file Flash dannosi. Gli aggressori che hanno ottenuto l’accesso alla rete hanno quindi rubato dati sensibili relativi ai prodotti di autenticazione a due fattori dell’azienda.
- Zoom, che ha raggiunto l’apice della sua popolarità nel 2020 a causa della pandemia, è stato anche commemorato con una vulnerabilità di sicurezza emersa quando nello stesso anno è stata eseguita una versione precedente di Windows. In questa vulnerabilità, che consentiva l’accesso remoto al computer dell’utente, gli hacker potevano accedere a tutti i file e impossessarsi completamente del dispositivo.
- Nel marzo 2021 , una vulnerabilità in Microsoft Exchange Server ha provocato una serie di attacchi affiliati ad Hafnium, un gruppo di hacker cinesi.
- È noto che nel 2021 il gigante della ricerca Google Chrome è stato esposto ad attacchi zero-day fino ad oggi sei volte.
- Anche l’ iOS di Apple è stato vittima di due vulnerabilità zero-day nel 2020.
- Nel 2019, una vulnerabilità in Microsoft Windows si è concentrata sul prendere di mira le agenzie governative nell’Europa orientale. La vulnerabilità zero-day è stata utilizzata in Microsoft Windows per eseguire codice arbitrario, installare applicazioni, visualizzare e modificare i dati nelle applicazioni compromesse.
- Un altro exploit zero-day si è verificato nel 2017 utilizzando un documento Microsoft Word che mostrava il messaggio “carica contenuto remoto”. Quando le vittime hanno fatto clic su “sì” tramite un pop-up che richiedeva l’accesso esterno, questo documento ha installato malware sui dispositivi degli utenti in grado di acquisire le credenziali bancarie.
- L’11 agosto 2020, Microsoft ha rilasciato un aggiornamento di sicurezza contenente una patch per una vulnerabilità critica nel protocollo NETLOGON (CVE-2020-1472) scoperta dai ricercatori Secura. Questa vulnerabilità ha consentito a un utente malintenzionato non autenticato con accesso di rete al controller di dominio di stabilire una sessione Netlogon. Due mesi dopo il rilascio della patch e solo un mese dopo che i ricercatori Secura hanno rilasciato i dettagli tecnici della vulnerabilità, l’operazione di ransomware Ryuk ha lanciato un massiccio attacco contro i sistemi senza patch in massa.
Inoltre, Kaseya Attack è stato in grado di aggirare più meccanismi di protezione dagli attacchi Zero Day come la vulnerabilità SonicWall VPN, MSRPC Printer Spooler Relay (CVE-2021-1678) e la vulnerabilità NTLM.