Le vulnerabilità zero-day sono vulnerabilità di protocolli, software e applicazioni non ancora note al grande pubblico o agli sviluppatori dei prodotti in cui la vulnerabilità è presente. Poiché una vulnerabilità zero-day è sconosciuta al pubblico o agli sviluppatori, le patch non sono disponibili.
Secondo una ricerca GPZ, la metà delle 18 vulnerabilità zero-day sfruttate dagli hacker nel periodo precedente la disponibilità di un aggiornamento software prima metà del 2022 prima che venisse reso disponibile un aggiornamento del software avrebbe potuto essere evitata se i fornitori di software avessero condotto test più approfonditi e creato patch più complete. Sorprendentemente, almeno quattro delle vulnerabilità zero-day di quest'anno erano variazioni del 2021.
Ma cos'è esattamente una vulnerabilità zero-day? Questo è ciò che imparerete in questa guida. Ma per comprendere appieno la definizione, dobbiamo prima definire alcune altre cose.
Che cos'è un exploit zero-day?
Un exploit zero-day è una vulnerabilità di sicurezza che non è stata divulgata o risolta pubblicamente. Il termine si riferisce sia all'exploit stesso che al pacchetto di codice che include l'exploit e i relativi strumenti.
Gli aggressori spesso utilizzano gli exploit zero-day per distribuire malware su sistemi e reti che non sono stati sottoposti a patch. I difensori possono anche usarli per condurre test di penetrazione per rilevare le vulnerabilità della rete.
Quando si parla di exploit zero-day si sente parlare di "vulnerabilità zero-day", "exploit zero-day" o "attacchi zero-day". Questi termini hanno una differenza fondamentale:
- Il metodo utilizzato dagli hacker per colpire i software è noto come "exploit zero-day".
- Il difetto del sistema è noto come "vulnerabilità zero-day".
- Gli "attacchi zero-day" sono ciò che gli hacker fanno quando sfruttano una vulnerabilità per infiltrarsi nel vostro sistema.
Quando si parla di vulnerabilità zero-day, la parola "non scoperta" è essenziale perché per essere definita una "vulnerabilità zero-day", una falla deve essere sconosciuta ai progettisti del sistema. Quando una falla di sicurezza viene scoperta e viene resa disponibile una correzione, cessa di essere una "vulnerabilità zero-day".
Gli exploit zero-day possono essere utilizzati dagli aggressori in vari modi, tra cui:
- Sfruttare i sistemi senza patch (cioè senza applicare gli aggiornamenti di sicurezza) per installare malware o prendere il controllo dei computer da remoto;
- Per condurre campagne di phishing (ossia l'invio di e-mail che cercano di indurre i destinatari a cliccare su link o allegati) utilizzando allegati dannosi o link che conducono a exploit di hosting di siti web; oppure
- Per eseguire attacchi di tipo denial-of-service (cioè inondare i server di richieste in modo che le richieste legittime non possano passare).
Quali sono le caratteristiche uniche degli exploit Zero-day che li rendono così pericolosi?
Esistono due categorie di vulnerabilità zero-day:
Non scoperto: il fornitore del software non è ancora venuto a conoscenza della falla. Questa tipologia è estremamente rara perché la maggior parte delle grandi aziende ha team dedicati che lavorano a tempo pieno per trovare e correggere le falle del proprio software prima che gli hacker o gli utenti malintenzionati le scoprano.
Non rilevata: la falla è stata trovata e risolta dallo sviluppatore del software, ma nessuno l'ha ancora segnalata perché non ha notato nulla di sbagliato nel proprio sistema. Questa vulnerabilità può essere molto preziosa se si vuole lanciare un attacco contro il sistema di qualcun altro e non si vuole che questi sappia cosa sta succedendo fino a quando non è stato fatto!
Gli exploit zero-day sono particolarmente rischiosi perché hanno maggiori probabilità di successo rispetto agli attacchi a falle già note. Quando una vulnerabilità viene resa pubblica nel giorno zero, le aziende devono ancora applicare una patch, il che rende possibile un attacco.
Il fatto che alcune sofisticate organizzazioni di criminali informatici utilizzino gli exploit zero-day in modo strategico li rende molto più rischiosi. Queste aziende conservano gli exploit zero-day per obiettivi di alto valore, tra cui agenzie governative, istituzioni finanziarie e strutture sanitarie. Questo può allungare la durata dell'attacco e diminuire la probabilità che la vittima trovi una vulnerabilità.
Gli utenti devono continuare ad aggiornare i loro sistemi anche dopo la creazione di una patch. Se non lo fanno, finché il sistema non viene patchato, gli aggressori possono ancora utilizzare un exploit zero-day.
Come identificare una vulnerabilità zero-day?
Il modo più comune per identificare una vulnerabilità zero-day è utilizzare uno scanner come Nessus o OpenVAS. Questi strumenti analizzano il computer alla ricerca di vulnerabilità utilizzando le firme (file noti difettosi). Se una firma corrisponde, lo scanner è in grado di dire con quale file è stata confrontata.
Tuttavia, questo tipo di scansione spesso non tiene conto di molte vulnerabilità perché le firme sono disponibili solo a volte o vengono aggiornate con una frequenza sufficiente per individuare tutte le nuove minacce che emergono.
Un altro metodo per identificare gli zero day è il reverse engineering dei file binari del software (file eseguibili). Questo metodo può essere molto difficile, ma di solito non è necessario per la maggior parte delle persone, perché molti scanner di opzioni gratuiti online non richiedono alcuna conoscenza tecnica o esperienza per essere utilizzati in modo efficace.
Esempi di vulnerabilità zero-day
Alcuni esempi di vulnerabilità zero-day sono:
Heartbleed - Questa vulnerabilità, scoperta nel 2014, ha permesso agli aggressori di estrarre informazioni dai server che utilizzano le librerie di crittografia OpenSSL. La vulnerabilità è stata introdotta nel 2011, ma è stata scoperta solo due anni dopo, quando i ricercatori hanno scoperto che alcune versioni di OpenSSL erano suscettibili ai battiti cardiaci inviati dagli aggressori. Gli hacker potevano quindi ottenere le chiavi private dai server che utilizzavano questa libreria di crittografia, consentendo loro di decifrare i dati trasmessi dagli utenti.
Shellshock - Questa vulnerabilità è stata scoperta nel 2014 e ha permesso agli aggressori di accedere ai sistemi che eseguono un sistema operativo vulnerabile agli attacchi attraverso l'ambiente di shell Bash. Shellshock colpisce tutte le distribuzioni Linux e Mac OS X 10.4 e versioni precedenti. Sebbene siano state rilasciate patch per questi sistemi operativi, alcuni dispositivi non sono ancora stati patchati contro questo exploit.
Violazione dei dati Equifax - La violazione dei dati di Equifax è stato un grave attacco informatico del 2017. L'attacco è stato perpetrato da un gruppo sconosciuto di hacker che ha violato il sito web di Equifax e ha rubato circa 145 milioni di informazioni personali dei clienti, tra cui numeri di previdenza sociale e date di nascita.
Ransomware WannaCry - WannaCry è un virus ransomware che colpisce i sistemi operativi Microsoft Windows; cripta i file degli utenti e richiede il pagamento di un riscatto tramite Bitcoin per decriptarli. Si diffonde attraverso le reti utilizzando EternalBlue. Un exploit di Windows trapelato dall'NSA nell'aprile 2017. Il worm ha colpito oltre 300.000 computer in tutto il mondo dal suo rilascio il 12 maggio 2017.
Attacchi malware agli ospedali - Negli ultimi anni gli attacchi malware sono diventati sempre più comuni, in quanto gli hacker prendono di mira le organizzazioni sanitarie per motivi personali o politici. Uno di questi attacchi ha coinvolto gli hacker che hanno avuto accesso alle cartelle cliniche dei pazienti dell'Hollywood Presbyterian Medical Center tramite e-mail di phishing inviati dall'amministrazione dell'ospedale.
Parole finali
Una vulnerabilità zero-day è un bug del software che è stato identificato ma non è ancora stato rivelato al fornitore del software. È a "zero giorni" dall'essere conosciuto, almeno dal pubblico. In altre parole, si tratta di un exploit in circolazione di cui nessuno è a conoscenza, tranne chi lo ha scoperto e segnalato per primo.
- Proxy per data center: Svelato il cavallo di battaglia del mondo dei proxy - 7 maggio 2024
- Kimsuky sfrutta i criteri DMARC "Nessuno" nei recenti attacchi di phishing - 6 maggio 2024
- Aumento delle truffe fiscali e degli attacchi di imitazione dell'e-mail del fisco durante la stagione fiscale - 2 maggio 2024