Un exploit zero-day è un vettore o una tecnica di cyberattacco che utilizza al meglio una falla di sicurezza sconosciuta o non risolta nel software, nell'hardware o nel firmware di un computer. Il termine "zero-day" si riferisce al fatto che il fornitore del software o del dispositivo non ha nemmeno un giorno, ovvero non ha tempo, per correggere la falla, perché gli utenti malintenzionati possono già utilizzarla per ottenere l'accesso ai sistemi vulnerabili.
La vulnerabilità sconosciuta o non affrontata viene definita vulnerabilità zero-day o minaccia zero-day. Un attacco zero-day si verifica quando un utente malintenzionato utilizza uno exploit zero-day per installare malware, sottrarre dati o causare danni agli utenti, alle organizzazioni o ai sistemi.
Un concetto analogo ma distinto, il malware zero day, è un virus o un'altra forma di malware la cui firma è sconosciuta o non ancora disponibile e quindi non rilevabile da molte soluzioni software antivirus o da altre tecnologie di rilevamento delle minacce basate sulla firma.
Il team X-Force Threat Intelligence di IBM ha registrato 7.327 vulnerabilità zero-day dal 1988. Sebbene si tratti solo del tre per cento di tutte le vulnerabilità di sicurezza registrate, le vulnerabilità zero-day, in particolare quelle dei sistemi operativi o dei dispositivi informatici più diffusi, sono tra i rischi di sicurezza più gravi, perché lasciano un numero enorme di utenti o intere organizzazioni in balia della criminalità informatica finché il fornitore o la comunità di cybersecurity non individuano il problema e rilasciano una soluzione.
Una vulnerabilità zero-day esiste in una versione di un sistema operativo, app o di un dispositivo dal momento in cui viene rilasciata, ma il fornitore di software o il produttore di hardware non lo sa. La vulnerabilità può rimanere inosservata per giorni, mesi o anni, finché qualcuno non la scopre.
Nel migliore dei casi, i ricercatori di sicurezza o gli sviluppatori di software trovano la falla prima degli attori delle minacce. A volte, tuttavia, gli hacker raggiungono la vulnerabilità per primi.
Indipendentemente da chi scopre la falla, spesso questa diventa di dominio pubblico immediatamente dopo. I venditori e i professionisti della sicurezza di solito informano i clienti in modo che possano prendere precauzioni. Gli hacker possono far circolare la minaccia tra loro e i ricercatori possono venirne a conoscenza osservando le attività dei criminali informatici. Alcuni fornitori possono tenere segreta una vulnerabilità fino a quando non hanno sviluppato un aggiornamento del software o altre correzioni, ma questo può essere un azzardo: se gli hacker scoprono la falla prima che i venditori la correggano, le organizzazioni possono essere colte di sorpresa.
La conoscenza di una nuova falla zero-day dà il via a una gara tra i professionisti della sicurezza che lavorano su una correzione e gli hacker che sviluppano un exploit zero-day che sfrutta la vulnerabilità per penetrare in un sistema. Dopo che gli hacker sviluppano un exploit zero-day funzionante, lo utilizzano per lanciare un attacco informatico.
Gli hacker sono spesso in grado di sviluppare exploit più rapidamente di quanto i team di sicurezza riescano a fare con le patch. Secondo una stima (link esterno a ibm.com), l'exploit è generalmente disponibile entro 14 giorni dalla divulgazione di una vulnerabilità. Tuttavia, una volta iniziato l'attacco zero-day, le patch seguono spesso in pochi giorni. Questo perché i venditori possono utilizzare le informazioni provenienti dagli attacchi per individuare la falla da correggere. Quindi, anche se le vulnerabilità zero-day possono essere pericolose, in genere gli hacker non possono sfruttarle a lungo.
Stuxnet era un sofisticato worm informatico che sfruttava quattro diverse vulnerabilità software zero-day nei sistemi operativi Microsoft Windows. Nel 2010, Stuxnet è stato utilizzato in una serie di attacchi a impianti nucleari in Iran. Una volta penetrato nei sistemi informatici di un impianto nucleare, il worm ha inviato comandi dannosi alle centrifughe utilizzate per arricchire l'uranio. Questi comandi hanno fatto girare le centrifughe così velocemente da romperle. In totale, Stuxnet ha danneggiato 1.000 centrifughe.
I ricercatori ritengono che il governo statunitense e quello israeliano abbiano collaborato alla realizzazione di Stuxnet, ma ciò non è stato confermato.
Log4Shell era una vulnerabilità zero-day in Log4J, una libreria Java open source utilizzata per la registrazione dei messaggi di errore. Gli hacker potevano utilizzare la falla di Log4Shell per controllare da remoto quasi tutti i dispositivi che eseguono app Java. Poiché Log4J è utilizzato in programmi popolari come Apple iCloud e Minecraft, centinaia di milioni di dispositivi erano a rischio. Il database Common Vulnerabilities and Exposures (CVE) del MITRE ha assegnato a Log4Shell il punteggio di rischio più alto possibile, 10 su 10.
La falla di Log4Shell era presente dal 2013, ma gli hacker hanno iniziato a sfruttarla solo nel 2021. La vulnerabilità è stata patchata poco dopo la sua scoperta, ma i ricercatori di sicurezza hanno rilevato più di 100 attacchi Log4Shell al minuto durante il picco massimo. (link esterno a ibm.com).
All'inizio del 2022, gli hacker nordcoreani hanno sfruttato una vulnerabilità zero-day per l'esecuzione di codice remoto nel browser web Google Chrome. I pirati informatici hanno utilizzato e-mail di phishing per inviare le vittime a siti di spoofing, che hanno sfruttato la vulnerabilità di Chrome per installare spyware e malware di accesso remoto sui computer delle vittime. La vulnerabilità è stata patchata dopo essere stata scoperta, ma gli hacker hanno coperto bene le loro tracce e i ricercatori non sanno esattamente quali dati siano stati sottratti.
Gli attacchi zero-day sono tra le minacce informatiche più difficili da combattere. Gli hacker possono sfruttare le vulnerabilità zero-day prima ancora che i loro obiettivi ne siano a conoscenza, consentendo agli attori delle minacce di intrufolarsi nelle reti senza essere scoperti.
Anche se la vulnerabilità è di dominio pubblico, potrebbe passare del tempo prima che i fornitori di software possano rilasciare una patch, lasciando nel frattempo esposte le organizzazioni.
Negli ultimi anni, gli hacker hanno sfruttato con maggiore frequenza le vulnerabilità zero-day. Un rapporto di Mandiant del 2022 ha rilevato che nel solo 2021 sono state sfruttate più vulnerabilità zero-day che in tutti gli anni 2018-2020 messi insieme (link esterno a ibm.com).
L'aumento degli attacchi zero-day è probabilmente legato al fatto che le reti aziendali stanno diventando sempre più complesse. Oggi, le organizzazioni si affidano a un mix di app cloud e on-premise, di proprietà dell'azienda e dei dipendenti, di dispositivi Internet delle cose (IoT) e di tecnologia operativa (OT). Tutti questi elementi ampliano la superficie di attacco di un'organizzazione e le vulnerabilità zero-day potrebbero essere in agguato in ognuno di esse.
Poiché le falle zero-day offrono opportunità così preziose agli hacker, i criminali informatici ora vendono le vulnerabilità zero-day e gli exploit zero-day sul mercato nero per somme ingenti. Ad esempio, nel 2020, gli hacker vendevano gli zero-day di Zoom per un valore di 500.000 dollari (link esterno a ibm.com).
Gli attori di stati nazionali sono noti anche per la ricerca di falle zero-day. Molti scelgono di non divulgare gli zero-day che individuano, preferendo invece creare il proprio exploit segreto di zero-day da utilizzare contro gli avversari. Molti venditori e ricercatori di sicurezza hanno criticato questa pratica, sostenendo che mette a rischio le organizzazioni inconsapevoli.
I team di sicurezza sono spesso in svantaggio rispetto alle vulnerabilità zero-day. Poiché queste falle non sono conosciute e non sono state corrette, le organizzazioni non possono tenerne conto nella gestione del rischio di cybersecurity o nell'impegno per la mitigazione delle vulnerabilità.
Tuttavia, le aziende possono adottare misure per scoprire più vulnerabilità e ridurre l'impatto degli attacchi zero-day.
Gestione delle patch: i fornitori si affrettano a distribuire patch di sicurezza non appena vengono a conoscenza di zero-day, ma molte organizzazioni trascurano di applicare queste patch rapidamente. Un programma formale di gestione delle patch può aiutare i team di sicurezza a tenere sotto controllo queste patch critiche.
Gestione delle vulnerabilità: le valutazioni delle vulnerabilità approfondite e i test di penetrazione possono aiutare le aziende a individuare le vulnerabilità zero-day nei loro sistemi prima che lo facciano gli hacker.
Gestione della superficie di attacco (ASM): gli strumenti ASM consentono ai team di sicurezza di individuare tutti gli asset nelle loro reti e di esaminarli alla ricerca di vulnerabilità. Gli strumenti ASM valutano la rete dal punto di vista di un hacker, concentrandosi sul modo in cui gli attori delle minacce possono sfruttare asset per ottenere l'accesso. Poiché gli strumenti ASM aiutano le organizzazioni a vedere le proprie reti con gli occhi di un aggressore, possono contribuire a scoprire le vulnerabilità zero-day.
Feed di threat intelligence: i ricercatori della sicurezza sono spesso tra i primi a segnalare le vulnerabilità zero-day. Le organizzazioni che si tengono aggiornate sulla threat intelligence esterna possono venire a conoscenza anticipatamente di nuove vulnerabilità zero-day.
Metodi di rilevamento basati su anomalie: il malware zero-day può eludere i metodi di rilevamento basati sulle firme, ma gli strumenti che utilizzano machine learning per individuare attività sospette in tempo reale possono spesso intercettare gli attacchi zero-day. Le soluzioni comuni per il rilevamento delle anomalie includono le analytics del comportamento degli utenti e delle entità (UEBA), le piattaforme di rilevamento e risposta estesa (XDR), gli strumenti di rilevamento e risposta degli endpoint (EDR) e alcuni sistemi di rilevamento e prevenzione delle intrusioni.
Architettura zero-trust: se un hacker sfrutta una vulnerabilità zero-day per penetrare in una rete, l'architettura zero-trust può limitare i danni. Zero-trust utilizza l'autenticazione continua e l'accesso con privilegi minimi per impedire il movimento laterale e bloccare gli utenti malintenzionati in modo che non possano raggiungere risorse sensibili.
Migliora rapidamente la resilienza informatica della tua organizzazione. Gestisci l'espansione della tua impronta digitale, pota alla luce lo shadow IT e arriva all'obiettivo con risultati correlati e fattuali.
L'81% dei professionisti SOC afferma che le indagini manuali rallentano il loro lavoro1 Ottieni indagini sugli avvisi in minor tempo con IBM Security QRadar Suite, una selezione modernizzata di tecnologie di sicurezza con un'esperienza di analisi unificata e intelligenza artificiale e automazione incorporate.
Adotta un programma di gestione delle vulnerabilità che individui, attribuisca priorità e gestisca la correzione delle falle, rafforzi la resistenza agli attacchi, accorci i tempi di correzione e contribuisca a mantenere la conformità alle normative.
Scopri tutto ciò che devi sapere sugli exploit zero-day e sul ruolo cruciale che svolgono nella sicurezza. Redatta da Randori, un'azienda IBM.
Gli attacchi informatici sono tentativi di sottrarre, esporre, alterare, disabilitare o distruggere le risorse di altri tramite l'accesso non autorizzato ai sistemi di elaborazione.
La gestione delle vulnerabilità consiste nel continuo rilevamento e risoluzione delle falle di sicurezza nell'infrastruttura IT e nel software di un'organizzazione.
Note a piè di pagina
1 Global Security Operations Center Study Results (PDF), condotto da Morning Consult e commissionato da IBM, marzo 2023