Uma exploração de dia zero é um vetor ou técnica de ataque cibernético que aproveita uma falha de segurança desconhecida ou não resolvida em software, hardware ou firmware de computador. 'Dia zero' alude à situação em que o fornecedor do software ou dispositivo não tem nenhum dia, ou seja, não dispõe de tempo, para corrigir a falha, uma vez que agentes maliciosos já podem explorá-la para acessar sistemas vulneráveis.
A vulnerabilidade desconhecida ou não resolvida é conhecida como de vulnerabilidade de dia zero ou ameaça de dia zero. Um ataque de dia zero ocorre quando um agente mal-intencionado usa uma exploração de dia zero para plantar um malware, roubar dados ou causar danos a usuários, organizações ou sistemas.
Um conceito semelhante, porém separado, o malware de dia zero, é um vírus ou outra forma de malware cuja assinatura é desconhecida ou ainda indisponível e, portanto, indetectável por muitas soluções de software antivírus ou outras tecnologias de detecção de ameaças com base em assinatura.
A equipe IBM® X-Force Threat Intelligence registrou 7.327 vulnerabilidades de dia zero desde 1988. Embora isso represente apenas 3% de todas as vulnerabilidades de segurança registradas, a vulnerabilidade de dia zero – especialmente aquelas em sistemas operacionais ou dispositivos de computação amplamente usados – está entre os riscos de segurança mais graves, porque deixa um grande número de usuários ou toda a organização aberta ao crime cibernético até que o fornecedor ou a comunidade de cibersegurança identifique o problema e libere uma solução.
Há uma vulnerabilidade de dia zero em uma versão de um sistema operacional, aplicativo ou dispositivo a partir do momento em que é lançado, mas o fornecedor do software ou fabricante do hardware não sabe disso. A vulnerabilidade pode permanecer sem ser detectada por dias, meses ou anos até que alguém a encontre.
Na melhor das hipóteses, os pesquisadores de segurança ou desenvolvedores de software encontram a falha antes que os agentes da ameaça o façam. No entanto, às vezes, os hackers reconhecem a vulnerabilidade primeiro.
Independentemente de quem descobre a falha, ela frequentemente se torna de conhecimento público logo em seguida. Fornecedores e profissionais de segurança normalmente informam seus clientes para que possam tomar precauções. Hackers podem circular a ameaça entre si, e pesquisadores podem descobri-la ao observar atividades cibernéticas maliciosas. Alguns fornecedores podem manter uma vulnerabilidade em segredo até desenvolverem uma atualização de software ou outra correção, mas isso pode ser arriscado — se hackers encontrarem a falha antes de ser corrigida, as organizações podem ser pegas de surpresa.
O conhecimento de qualquer nova falha de dia zero dá início a uma corrida entre profissionais de segurança que trabalham em correções e hackers que desenvolvem uma exploração de dia zero que aproveita a vulnerabilidade para invadir um sistema. Depois que os hackers desenvolvem uma exploração de dia zero viável, eles a usam para lançar um ataque cibernético.
Muitas vezes, os hackers conseguem desenvolver a exploração mais rapidamente do que as equipes de segurança conseguem desenvolver patches. Segundo uma estimativa (link externo a ibm.com), a exploração geralmente está disponível dentro de 14 dias após a divulgação de uma vulnerabilidade. No entanto, uma vez iniciado o ataque de dia zero, os patches geralmente ocorrem em apenas alguns dias. Isso porque os fornecedores podem usar as informações dos ataques para identificar a falha que precisam corrigir. Portanto, embora a vulnerabilidade do dia zero possa ser perigosa, os hackers normalmente não conseguem explorá-la por muito tempo.
O Stuxnet era um worm de computador sofisticado que explorava quatro vulnerabilidades diferentes de software de dia zero nos sistemas operacionais Microsoft Windows. Em 2010, o Stuxnet foi usado em uma série de ataques a instalações nucleares no Irã. Depois que o worm invadiu os sistemas de computador de uma usina nuclear, ele enviou comandos maliciosos às centrífugas usadas para enriquecer urânio. Esses comandos fizeram com que as centrífugas girassem tão rápido que quebraram. No total, o Stuxnet danificou 1.000 centrífugas.
Os pesquisadores acreditam que os EUA e o governo israelense trabalharam juntos para construir o Stuxnet, mas não houve confirmação em relação a isso.
Log4Shell era uma vulnerabilidade de dia zero no Log4J, uma biblioteca Java de código aberto usada para mensagens de erro de registro. Os hackers poderiam usar a falha Log4Shell para controlar remotamente quase qualquer dispositivo executando aplicativos Java. Como o Log4J é usado em programas populares como Apple iCloud e Minecraft, centenas de milhões de dispositivos estavam em risco. O banco de dados de vulnerabilidades e exposições comuns (CVE) do MITRE conferiu ao Log4Shell a pontuação de risco mais alta possível, 10 em 10.
A falha Log4Shell estava presente desde 2013, mas os hackers só começaram a explorá-la em 2021. A vulnerabilidade foi corrigida logo após a descoberta, mas os pesquisadores de segurança detectaram mais de 100 ataques Log4Shell por minuto no pico. (link fora de ibm.com).
No início de 2022, hackers norte-coreanos exploraram uma vulnerabilidade de execução remota de código de dia zero nos navegadores Google Chrome. Os hackers usaram e-mails de phishing para encaminhar as vítimas a sites falsos, que usaram a vulnerabilidade do Chrome para instalar spyware e malware de acesso remoto nas máquinas das vítimas. A vulnerabilidade foi corrigida após vir à tona, mas os hackers cobriram bem seus rastros e os pesquisadores não sabem exatamente quais dados foram roubados.
Ataques de dia zero são algumas das ameaças cibernéticas mais difíceis de combater. Os hackers podem explorar a vulnerabilidade de dia zero antes mesmo que seus alvos saibam sobre eles, permitindo que os agentes da ameaça entrem furtivamente nas redes sem serem detectados.
Mesmo que a vulnerabilidade seja de conhecimento público, pode levar um tempo até que os fornecedores de software possam lançar um patch, deixando as organizações expostas nesse ínterim.
Nos últimos anos, hackers têm explorado vulnerabilidades de dia zero com mais frequência. Um relatório Mandiant de 2022 constatou que mais vulnerabilidades de dia zero foram exploradas em 2021 sozinhas do que em todo o período de 2018-2020 combinado (link fora do site ibm.com).
O aumento nos ataques de dia zero provavelmente está relacionado ao fato de que as redes corporativas das empresas estão ficando mais complexas. Hoje, as organizações dependem de uma combinação de aplicativos em nuvem e locais, dispositivos de propriedade da empresa e de funcionários, bem como dispositivos da Internet das Coisas (IoT) e tecnologia operacional (OT). Todos esses elementos ampliam a superfície de ataque de uma organização, e vulnerabilidades de dia zero podem estar à espreita em qualquer um deles.
Como as falhas de dia zero oferecem oportunidades tão valiosas aos hackers, cibercriminosos agora negociam vulnerabilidades de dia zero e explorações de dia zero no mercado negro por quantias generosas. Por exemplo, em 2020, hackers estavam vendendo vulnerabilidades de dia zero do Zoom por até USD 500.000 (link fora do site ibm.com).
Agentes apoiados por governos frequentemente buscam falhas de dia zero. Muitos optam por não divulgar as falhas de dia zero que encontram, preferindo criar suas próprias explorações de dia zero secretos para uso contra adversários. Muitos fornecedores e pesquisadores de segurança criticaram tal prática, argumentando que ela coloca organizações desavisadas em risco.
As equipes de segurança muitas vezes estão em desvantagem com vulnerabilidades de dia zero. Porque essas falhas são desconhecidas e não corrigidas, as organizações não podem contabilizá-las na gestão de riscos de cibersegurança ou nos esforços de mitigação de vulnerabilidades.
No entanto, existem medidas que as empresas podem adotar para descobrir mais vulnerabilidades e reduzir o impacto de ataques de dia zero.
Gerenciamento de patches: Fornecedores correm para lançar patches de segurança assim que tomam conhecimento das vulnerabilidades de dia zero, mas muitas organizações negligenciam a aplicação rápida desses patches. Um programa formal de gerenciamento de patches pode ajudar as equipes de segurança a se manterem atualizadas com esses patches críticos.
Gerenciamento de vulnerabilidades: Avaliações aprofundadas de vulnerabilidades e testes de penetração podem ajudar as empresas a encontrar vulnerabilidades de dia zero em seus sistemas antes que os hackers o façam.
Gerenciamento de superfície de ataque (ASM): Ferramentas ASM permitem que as equipes de segurança identifiquem todos os ativos em suas redes e os examinem em busca de vulnerabilidades. Ferramentas ASM avaliam a rede do ponto de vista de um hacker, focando em como os atores de ameaças provavelmente explorarão os ativos para obter acesso. Porque as ferramentas ASM ajudam as organizações a enxergar suas redes pelos olhos de um invasor, elas podem ajudar a descobrir vulnerabilidades de dia zero.
Feeds de inteligência de ameaças: Pesquisadores de segurança muitas vezes estão entre os primeiros a identificar vulnerabilidades de dia zero. Organizações que se mantêm atualizadas com inteligência de ameaças externas podem ouvir falar de novas vulnerabilidades de dia zero mais cedo.
Métodos de detecção baseados em anomalias: malwares de dia zero podem evitar métodos de detecção baseados em assinaturas, mas ferramentas que usam aprendizado de máquina para identificar atividades suspeitas em tempo real muitas vezes podem detectar ataques de dia zero. Soluções comuns de detecção baseadas em anomalias incluem análise de comportamento de usuário e entidade (UEBA), plataformas de detecção e resposta estendida (XDR), ferramentas de detecção e resposta de endpoint (EDR) e alguns sistemas de detecção e prevenção de intrusões.
Arquitetura zero trust: Se um hacker explorar uma vulnerabilidade de dia zero para invadir uma rede, a arquitetura zero trust pode limitar os danos. A zero trust usa autenticação contínua e acesso mínimo para prevenir movimentações laterais e bloquear atores maliciosos de alcançarem recursos sensíveis.
Melhore rapidamente a resiliência cibernética da sua organização. Gerencie a expansão de sua pegada digital, descubra a TI sombra e chegue ao alvo com descobertas correlacionadas e factuais baseadas na tentação do adversário.
81% dos profissionais do SOC dizem que são retardados por investigações manuais.1 Acelere as investigações de alertas com o IBM Security QRadar® Suite, uma seleção modernizada de tecnologias de segurança que apresenta uma experiência unificada de analista construída com IA e automações.
Adote um programa de gerenciamento de vulnerabilidades que identifica, prioriza e gerencia a remediação de falhas, fortalece sua resistência a ataques, reduz os tempos de remediação e ajuda a manter a conformidade regulatória.
Saiba tudo o que você precisa saber sobre explorações de dia zero e o papel crucial que elas desempenham na segurança. Preparado por Randori, uma empresa IBM.
Ataques cibernéticos são tentativas de roubar, expor, alterar, desativar ou destruir os ativos de terceiros por meio de acesso não autorizado a sistemas de computador.
O gerenciamento de vulnerabilidades é a descoberta e a resolução contínuas de falhas de segurança na infraestrutura e no software de TI de uma organização.
Notas de rodapé
1 Resultados do Global Security Operations Center Study (PDF), realizado pela Morning Consult e patrocinado pela IBM, março de 2023