As vulnerabilidades de dia zero são vulnerabilidades de protocolo, software e aplicações ainda não conhecidas do público em geral ou dos desenvolvedores de produtos onde a vulnerabilidade existe. Uma vez que uma vulnerabilidade de dia zero é desconhecida do público ou dos programadores, os patches não estão disponíveis.
Segundo a investigação do GPZ, metade das 18 vulnerabilidades de dia zero exploradas por hackers no primeira metade de 2022 antes de uma actualização de software ter sido disponibilizada poderia ter sido evitada se os fornecedores de software tivessem realizado testes mais minuciosos e criado patches mais abrangentes. Surpreendentemente, pelo menos quatro das vulnerabilidades de dia zero deste ano foram variações a partir de 2021.
Mas o que é exactamente uma vulnerabilidade de dia-zero? É o que se aprenderá neste guia. Mas para compreender plenamente a definição, temos primeiro de definir algumas outras coisas.
O que é uma Exploração de Dia Zero?
Uma exploração de dia zero é uma vulnerabilidade de segurança que não foi revelada ou corrigida publicamente. O termo refere-se tanto à exploração em si como ao pacote de código que inclui a exploração e ferramentas relacionadas.
Os atacantes utilizam frequentemente explorações de dia zero para instalar malware em sistemas e redes que não tenham sido corrigidos. Os defensores também os podem utilizar para efectuar testes de penetração para detectar vulnerabilidades na rede.
Podia-se ouvir os termos "vulnerabilidades de dia zero", "explorações de dia zero", ou "ataques de dia zero" ao aprender sobre explorações de dia zero. Estes termos têm uma diferença crucial:
- A forma como os hackers empregam o software alvo é conhecida como uma "exploração de dia zero".
- O defeito no seu sistema é conhecido como uma "vulnerabilidade de dia zero".
- Os "ataques de dia zero" são o que os hackers fazem quando exploram uma vulnerabilidade para se infiltrarem no seu sistema.
Quando se fala de vulnerabilidades de dia zero, a palavra "não descoberta" é essencial porque para ser chamada de "vulnerabilidade de dia zero", uma falha deve ser desconhecida pelos designers do sistema. Quando uma falha de segurança é descoberta, e uma correcção é disponibilizada, deixa de ser uma "vulnerabilidade de dia-zero".
As explorações de dia zero podem ser utilizadas por atacantes de várias maneiras, incluindo:
- Explorar sistemas não corrigidos (isto é, sem aplicar actualizações de segurança) para instalar malware ou assumir o controlo de computadores à distância;
- Conduzir campanhas de phishing (ou seja, enviar e-mails tentando enganar os destinatários para que estes cliquem em links ou anexos) utilizando anexos ou links maliciosos que conduzam a explorações de alojamento de websites; ou
- Realizar ataques de negação de serviço (ou seja, inundação de servidores com pedidos tão legítimos que os pedidos legítimos não conseguem passar).
Que características únicas das explorações de dia zero as tornam tão perigosas?
Existem duas categorias de vulnerabilidades de dia zero:
Ainda não descoberto:O vendedor de software ainda tem de aprender sobre a falha. Este tipo é extremamente raro porque a maioria das grandes empresas têm equipas dedicadas a trabalhar a tempo inteiro para encontrar e corrigir as falhas do seu software antes que hackers ou utilizadores maliciosos as descubram.
Não detectada: A falha foi encontrada e corrigida pelo programador de software - mas ainda ninguém a relatou porque não notou nada de errado com o seu sistema. Esta vulnerabilidade pode ser muito valiosa se se pretende lançar um ataque contra o sistema de outra pessoa e não se quer que eles saibam o que se está a passar até depois de ter sido feito!
As explorações de dia zero são particularmente arriscadas, uma vez que têm maiores probabilidades de sucesso do que as agressões a falhas conhecidas. Quando uma vulnerabilidade é tornada pública no dia zero, as empresas ainda precisam de a remendar, o que torna um ataque concebível.
O facto de certas organizações criminosas cibercriminosas sofisticadas utilizarem explorações de dia-zero estrategicamente torna-as muito mais arriscadas. Estas empresas poupam explorações de dia zero para alvos de alto valor, incluindo agências governamentais, instituições financeiras, e estabelecimentos de saúde. Isto pode prolongar a duração do ataque e diminuir a probabilidade de a vítima encontrar uma vulnerabilidade.
Os utilizadores devem continuar a actualizar os seus sistemas mesmo depois de um patch ter sido criado. Se não o fizerem, até que o sistema seja remendado, os atacantes podem continuar a utilizar uma exploração de dia zero.
Como Identificar uma Vulnerabilidade de Dia Zero?
A forma mais comum de identificar uma vulnerabilidade de dia zero é utilizando um scanner como o Nessus ou OpenVAS. Estas ferramentas verificam o seu computador em busca de vulnerabilidades utilizando assinaturas (ficheiros defeituosos conhecidos). Se uma assinatura corresponder, o scanner pode dizer-lhe qual o ficheiro contra o qual corresponde.
No entanto, este tipo de varrimento falha frequentemente muitas vulnerabilidades porque as assinaturas só por vezes estão disponíveis ou são actualizadas com frequência suficiente para apanhar todas as novas ameaças à medida que surgem.
Outro método para identificar os zero days é a engenharia inversa dos binários do software (ficheiros executáveis). Este método pode ser muito difícil, mas é normalmente desnecessário para a maioria das pessoas porque muitos scanners de opções gratuitos online não requerem qualquer conhecimento técnico ou experiência para serem utilizados eficazmente.
Exemplos de Vulnerabilidades de dia zero
Alguns exemplos de vulnerabilidades de dia zero incluem:
Heartbleed — Esta vulnerabilidade, descoberta em 2014, permitiu aos atacantes extrair informação de servidores que utilizam bibliotecas de encriptação OpenSSL. A vulnerabilidade foi introduzida em 2011 mas só foi descoberta 2 anos mais tarde, quando os investigadores descobriram que certas versões de OpenSSL eram susceptíveis a batimentos cardíacos enviados por atacantes. Os hackers podiam então obter chaves privadas de servidores que utilizassem esta biblioteca de encriptação, permitindo-lhes decifrar os dados a serem transmitidos pelos utilizadores.
Shellshock — Esta vulnerabilidade foi descoberta em 2014 e permitiu aos atacantes obterem acesso a sistemas que executam um sistema operativo vulnerável a ataques através do ambiente Bash shell. O shellshock afecta todas as distribuições Linux e Mac OS X 10.4 e versões anteriores. Embora tenham sido lançadas correcções para estes sistemas operativos, alguns dispositivos ainda não foram corrigidos contra esta exploração.
Quebra de dados Equifax – A quebra de dados Equifax foi um grande ciberataque em 2017. O ataque foi perpetrado por um grupo desconhecido de hackers que violaram o website da Equifax e roubaram aproximadamente 145 milhões de informações pessoais de clientes, incluindo números da Segurança Social e datas de nascimento.
WannaCry Ransomware – WannaCry é um vírus de resgate que visa os sistemas operativos Microsoft Windows; encripta os ficheiros dos utilizadores e exige um pagamento de resgate através do Bitcoin para os desencriptar. Espalha-se através de redes usando EternalBlue. Uma exploração do Windows foi divulgada pela NSA em Abril de 2017. O worm já afectou mais de 300.000 computadores em todo o mundo desde o seu lançamento a 12 de Maio de 2017.
Ataques de Malware a Hospitais – Os ataques de malware têm-se tornado cada vez mais comuns nos últimos anos à medida que os hackers atacam organizações de saúde em proveito pessoal ou por razões políticas. Um desses ataques envolveu hackers que obtiveram acesso a registos de doentes no Centro Médico Presbiteriano de Hollywood através de e-mails de phishing enviado pela administração do hospital.
Palavras finais
Uma vulnerabilidade de dia zero é um bug de software que foi identificado mas que ainda não foi revelado ao fornecedor de software. Está "a zero dias" de ser conhecido, pelo menos pelo público. Por outras palavras, é uma exploração na natureza que ninguém conhece bem, excepto quem a descobriu e denunciou primeiro.
- Aumento de fraudes fiscais e ataques de imitação de e-mail do IRS durante a época fiscal - 2 de maio de 2024
- Segurança de e-mail 101 para combater fraudes de criptografia - 30 de abril de 2024
- Como encontrar o melhor fornecedor de soluções DMARC para a sua empresa? - 25 de abril de 2024