O que é uma exploração de dia zero?

A vulnerabilidade desconhecida ou não corrigida é chamada de vulnerabilidade de dia zero ou ameaça de dia zero. Um ataque de dia zero ocorre quando um agente malicioso usa uma vulnerabilidade de dia zero para instalar malware, roubar dados ou causar danos a usuários, organizações ou sistemas.

Um conceito semelhante, mas distinto, é o de malware de dia zero, um vírus ou malware cuja assinatura é desconhecida ou ainda indisponível, sendo portanto indetectável por muitas soluções antivírus ou tecnologias de detecção baseadas em assinatura.

A equipe X-Force Threat Intelligence da IBM registrou 7.327 vulnerabilidades de dia zero desde 1988, o que representa apenas 3% de todas as vulnerabilidades de segurança registradas. No entanto, vulnerabilidades de dia zero, especialmente em sistemas operacionais ou dispositivos amplamente utilizados, representam um risco de segurança severo. Elas deixam um grande número de usuários ou organizações inteiras totalmente expostos aos crimes cibernéticos até que o fornecedor ou a comunidade de segurança cibernética identifique o problema e forneça uma solução.

Uma vulnerabilidade de dia zero existe em uma versão de sistema operacional, aplicativo ou dispositivo desde o momento em que é lançada, mas o fornecedor do software ou fabricante de hardware não tem conhecimento dela. A vulnerabilidade pode permanecer despercebida por dias, meses ou até anos, até que alguém a descubra.

No melhor dos cenários, pesquisadores de segurança ou desenvolvedores de software encontram a falha antes dos agentes maliciosos. No entanto, às vezes os hackers encontram a vulnerabilidade primeiro.

Independentemente de quem descubra a falha, ela geralmente se torna de conhecimento público logo depois. Os fornecedores e profissionais de segurança geralmente avisam os clientes para que possam tomar precauções. Hackers podem compartilhar a ameaça entre si, e pesquisadores podem tomar conhecimento dela ao monitorar atividades cibercriminosas. Alguns fornecedores podem manter a vulnerabilidade em segredo até desenvolverem uma atualização de software ou outra correção, mas isso pode ser um risco. Se os hackers encontrarem a falha antes que os fornecedores a corrijam, as organizações podem ser pegas desprevenidas.

O conhecimento de qualquer nova vulnerabilidade de dia zero dá início a uma corrida entre os profissionais de segurança que trabalham em uma correção e os hackers que desenvolvem uma exploração de dia zero para explorar a falha e invadir o sistema. Assim que os hackers desenvolvem uma exploração de dia zero funcional, eles a utilizam para lançar um ataque cibernético.

Hackers geralmente conseguem desenvolver vulnerabilidades mais rapidamente do que as equipes de segurança conseguem criar correções. De acordo com uma estimativa, as vulnerabilidades geralmente estão disponíveis em até 14 dias após a divulgação de uma vulnerabilidade. No entanto, uma vez que os ataques de dia zero começam, os patches geralmente são lançados em apenas alguns dias, pois os fornecedores usam as informações dos ataques para localizar a falha que precisam corrigir. Assim, embora vulnerabilidades de dia zero possam ser perigosas, os hackers geralmente não conseguem explorá-las por muito tempo.

Stuxnet foi um worm de computador sofisticado que explorou quatro diferentes vulnerabilidades de software de dia zero em sistemas operacionais Microsoft Windows. Em 2010, o Stuxnet foi usado em uma série de ataques a instalações nucleares no Irã. Uma vez que o worm invadia os sistemas da usina nuclear, ele enviava comandos maliciosos às centrífugas usadas para enriquecer urânio. Esses comandos faziam as centrífugas girarem tão rápido que acabavam quebrando. No total, o Stuxnet danificou 1.000 centrífugas.

Pesquisadores acreditam que os governos dos EUA e de Israel trabalharam juntos para criar o Stuxnet, mas isso nunca foi confirmado.

Log4Shell foi uma vulnerabilidade de dia zero no Log4J, uma biblioteca Java de código aberto usada para registrar mensagens de erro. Os hackers podiam explorar a falha do Log4Shell para controlar remotamente praticamente qualquer dispositivo que executasse aplicativos Java. Como o Log4J é usado em programas populares como o Apple iCloud e o Minecraft, centenas de milhões de dispositivos estavam em risco. O banco de dados Common Vulnerabilities and Exposures (CVE) da MITRE atribuiu ao Log4Shell a pontuação de risco mais alta possível: 10 de 10.

A falha existia desde 2013, mas só começou a ser explorada por hackers em 2021. A vulnerabilidade foi corrigida logo após sua descoberta, mas, no auge, pesquisadores de segurança detectaram mais de 100 ataques Log4Shell por minuto no pico.

No início de 2022, hackers norte-coreanos exploraram uma vulnerabilidade de execução remota de código de dia zero em navegadores Google Chrome. Os hackers usaram e-mails de phishing para direcionar as vítimas a sites falsos, que exploravam a falha no Chrome para instalar spyware e malware de acesso remoto nas máquinas das vítimas. A vulnerabilidade foi rapidamente corrigida, mas os hackers ocultaram bem seus rastros, e os pesquisadores ainda não sabem exatamente quais dados foram roubados.

Ataques de dia zero são algumas das ameaças cibernéticas mais difíceis de combater. Os hackers podem explorar a vulnerabilidade de dia zero antes mesmo que seus alvos saibam sobre eles, permitindo que os agentes da ameaça entrem furtivamente nas redes sem serem detectados.

Mesmo que a vulnerabilidade se torne de conhecimento público, pode levar algum tempo até que os fornecedores de software consigam lançar uma correção, deixando as organizações expostas nesse meio-tempo.

Atualmente, hackers exploram vulnerabilidades de dia zero com mais frequência. Um relatório da Mandiant de 2022 constatou que mais vulnerabilidades de dia zero foram exploradas apenas em 2021 do que em todo o período de 2018 a 2020 combinado.

O aumento dos ataques de dia zero provavelmente está ligado ao fato de que as redes corporativas estão se tornando mais complexas. Hoje, as organizações dependem de uma combinação de aplicativos em nuvem e locais, dispositivos de propriedade da empresa e dos funcionários, além de dispositivos da Internet das Coisas (IoT) e de tecnologia operacional (OT). Todos esses fatores aumentam a superfície de ataque de uma organização, e vulnerabilidades de dia zero podem estar escondidas em qualquer um desses pontos.

Como as falhas de dia zero oferecem oportunidades valiosas para os hackers, cibercriminosos agora comercializam vulnerabilidades e vulnerabilidades de dia zero no mercado negro por valores elevados. Por exemplo, em 2020, hackers estavam vendendo vulnerabilidades de dia zero do Zoom por até USD 500.000.

Atores estatais também são conhecidos por buscar falhas de dia zero. Muitos optam por não divulgar as falhas que encontram, preferindo desenvolver vulnerabilidades secretas de dia zero para usar contra seus adversários. Muitos fornecedores e pesquisadores de segurança criticam essa prática, argumentando que ela coloca organizações desprevenidas em risco.

As equipes de segurança geralmente estão em desvantagem quando se trata de vulnerabilidades de dia zero. Porque essas falhas são desconhecidas e não corrigidas, as organizações não podem contabilizá-las na gestão de riscos de cibersegurança ou nos esforços de mitigação de vulnerabilidades.

No entanto, as empresas podem tomar medidas para identificar mais vulnerabilidades e reduzir o impacto de ataques de dia zero.

Gerenciamento de patches: os fornecedores correm para lançar patches de segurança quando descobrem vulnerabilidades de dia zero, mas muitas organizações deixam de aplicá-los rapidamente. Um programa formal de gerenciamento de patches pode ajudar as equipes de segurança a se manterem atualizadas com esses patches críticos.

Gerenciamento de vulnerabilidades: avaliações profundas de vulnerabilidades e testes de penetração podem ajudar as empresas a identificar vulnerabilidades de dia zero em seus sistemas antes que os hackers o façam.

Gerenciamento da superfície de ataque (ASM): ferramentas ASM permitem que as equipes de segurança identifiquem todos os ativos em suas redes e os examinem em busca de vulnerabilidades. Essas ferramentas avaliam a rede a partir da perspectiva de um hacker, focando em como agentes de ameaça provavelmente explorariam os ativos para obter acesso. Como essas ferramentas ajudam as organizações a enxergar suas redes como os atacantes veriam, elas podem ajudar a revelar vulnerabilidades de dia zero.

Feeds de inteligência de ameaças: pesquisadores de segurança muitas vezes estão entre os primeiros a identificar vulnerabilidades de dia zero. Organizações que se mantêm atualizadas com inteligência de ameaças externas podem ouvir falar de novas vulnerabilidades de dia zero mais cedo.

Métodos de detecção baseados em anomalias: malwares de dia zero podem evitar métodos de detecção baseados em assinaturas, mas ferramentas que usam aprendizado de máquina para identificar atividades suspeitas em tempo real muitas vezes podem detectar ataques de dia zero. Soluções comuns de detecção baseadas em anomalias incluem análise de comportamento de usuário e entidade (UEBA), plataformas de detecção e resposta estendida (XDR), ferramentas de detecção e resposta de endpoint (EDR) e alguns sistemas de detecção e prevenção de intrusões.

Arquitetura de zero trust: se um hacker explorar uma vulnerabilidade de dia zero para invadir uma rede, a arquitetura de zero trust pode limitar os danos. Zero trust utiliza autenticação contínua e acesso com privilégios mínimos para evitar movimentações laterais e impedir que atores maliciosos alcancem recursos sensíveis.