Che cos'è un exploit zero-day?

La vulnerabilità sconosciuta o non affrontata viene definita vulnerabilità zero-day o minaccia zero-day. Un attacco zero-day avviene quando un criminale informatico utilizza un exploit zero-day per installare malware, rubare dati o causare danni a utenti, organizzazioni o sistemi.

Un concetto analogo ma distinto, il malware zero-day, è un virus o una forma di malware la cui firma è sconosciuta o non ancora disponibile e quindi non rilevabile da molte soluzioni software antivirus o da altre tecnologie di rilevamento delle minacce basate sulla firma.

Il team X-Force Threat Intelligence di IBM ha registrato 7.327 vulnerabilità zero-day dal 1988, una cifra che corrisponde solo al 3% di tutte le vulnerabilità di sicurezza registrate. Tuttavia, le vulnerabilità zero-day, soprattutto nei sistemi operativi o nei dispositivi informatici più diffusi, rappresentano un grave rischio per la sicurezza. Lasciano un numero enorme di utenti o intere organizzazioni esposte alla criminalità informatica, fino a quando il fornitore o la comunità di cybersecurity non identificano il problema e introducono una soluzione.

Una vulnerabilità zero-day esiste in una versione di un sistema operativo, app o dispositivo dal momento in cui viene rilasciata, ma il fornitore di software o il produttore di hardware non lo sanno. La vulnerabilità può rimanere non rilevata per giorni, mesi o anni, finché qualcuno non la scopre.

Nel migliore dei casi, i ricercatori nel campo della sicurezza o gli sviluppatori di software trovano il difetto prima dei criminali informatici. A volte, però, gli hacker riescono a individuare per primi la vulnerabilità.

Indipendentemente da chi la scopre, spesso la vulnerabilità diventa di dominio pubblico in tempi molto brevi. Solitamente i venditori e gli addetti alla sicurezza lo comunicano ai clienti in modo che possano prendere le dovute precauzioni. Gli hacker possono far circolare la minaccia tra loro e i ricercatori possono venirne a conoscenza osservando le attività dei criminali informatici. Alcuni fornitori potrebbero mantenere segreta una vulnerabilità finché non sviluppano un aggiornamento del software o altre correzioni, tuttavia ciò potrebbe essere rischioso. Se gli hacker scoprono il difetto prima che i fornitori lo correggano, le organizzazioni potrebbero essere colte di sorpresa.

La conoscenza di una nuova vulnerabilità zero-day dà vita a una gara tra i professionisti della sicurezza che lavorano su una correzione e gli hacker che sviluppano un exploit zero-day che sfrutta la vulnerabilità per entrare in un sistema. Quando che gli hacker sviluppano un exploit zero-day funzionante, lo utilizzano per lanciare un attacco informatico.

Gli hacker sono spesso in grado di sviluppare exploit più rapidamente di quanto i team di sicurezza riescano a fare con le patch. Secondo una stima, gli exploit sono solitamente disponibili entro 14 giorni dalla divulgazione di una vulnerabilità. Tuttavia, una volta iniziati gli attacchi zero-day, le patch spesso arrivano in pochi giorni, perché i fornitori utilizzano le informazioni degli attacchi per individuare la vulnerabilità da correggere. Quindi, anche se le vulnerabilità zero-day possono essere pericolose, di solito gli hacker non riescono a utilizzarle per un periodo prolungato.

Stuxnet era un sofisticato worm informatico che sfruttava quattro diverse vulnerabilità software zero-day nei sistemi operativi Microsoft Windows. Nel 2010, Stuxnet è stato utilizzato in una serie di attacchi a impianti nucleari in Iran. Quando il worm è riuscito a penetrare nei sistemi informatici di una centrale nucleare, ha inviato comandi dannosi alle centrifughe utilizzate per l'arricchimento dell'uranio. Questi comandi hanno fatto girare le centrifughe così velocemente da romperle. In totale, Stuxnet ha danneggiato 1.000 centrifughe.

I ricercatori ritengono che il governo statunitense e quello israeliano abbiano cooperato alla creazione di Stuxnet, ma ciò non è stato ancora confermato.

Log4Shell era una vulnerabilità zero-day in Log4J, una libreria Java open source utilizzata per la registrazione dei messaggi di errore. Gli hacker potevano utilizzare la vulnerabilità di Log4Shell per controllare da remoto quasi tutti i dispositivi che eseguono app Java. Poiché Log4J è utilizzato in programmi molto utilizzati come Apple iCloud e Minecraft, centinaia di milioni di dispositivi erano a rischio. Il database Common Vulnerabilities and Exposures (CVE) del MITRE ha assegnato a Log4Shell il punteggio di rischio massimo, 10 su 10.

La vulnerabilità di Log4Shell era presente dal 2013, ma gli hacker hanno iniziato ad approfittarne solo nel 2021. La vulnerabilità è stata corretta con una patch poco dopo la sua scoperta, tuttavia i ricercatori nel campo della sicurezza hanno rilevato più di 100 attacchi Log4Shell al minuto durante il picco massimo.

All'inizio del 2022, alcuni hacker nordcoreani hanno approfittato di una vulnerabilità zero-day per eseguire codice remoto nel browser web Google Chrome. I pirati informatici hanno utilizzato e-mail di phishing per indirizzare le vittime verso siti di spoofing che hanno sfruttato la vulnerabilità di Chrome per installare spyware e malware con accesso remoto sui computer delle vittime. La vulnerabilità è stata prontamente corretta, ma gli hacker hanno coperto bene le proprie tracce e i ricercatori non sanno esattamente quali dati siano stati rubati.

Gli attacchi zero-day sono tra le minacce informatiche più difficili da combattere. Gli hacker possono sfruttare le vulnerabilità zero-day prima ancora che i loro obiettivi ne siano a conoscenza, consentendo agli attori delle minacce di intrufolarsi nelle reti senza essere scoperti.

Anche se la vulnerabilità è di dominio pubblico, potrebbe passare del tempo prima che i fornitori di software rilascino una patch, lasciando nel frattempo esposte le organizzazioni.

Gli hacker utilizzano attualmente le vulnerabilità zero-day con maggiore frequenza. Un rapporto di Mandiant del 2022 ha rilevato che solo nel 2021 sono state sfruttate più vulnerabilità zero-day che negli anni 2018-2020 messi insieme.

L'aumento degli attacchi zero-day è probabilmente legato al fatto che le reti aziendali stanno diventando sempre più complesse. Le organizzazioni si affidano attualmente a un mix di app cloud e on-premise, di proprietà dell'azienda e dei dipendenti, di dispositivi Internet of Things (IoT) e di tecnologia operativa (OT). Tutti questi fattori aumentano la superficie di attacco di un'organizzazione e le vulnerabilità zero-day potrebbero essere in agguato ovunque.

Poiché le vulnerabilità zero-day offrono opportunità molto preziose agli hacker, i criminali informatici ora vendono le vulnerabilità zero-day e gli exploit zero-day sul mercato nero per somme ingenti. Ad esempio, nel 2020 gli hacker chiedevano fino a 500.000 dollari per gli zero-day di Zoom.

Anche i Nation-State Actor sono noti per la ricerca di vulnerabilità zero-day. Molti scelgono di non divulgare gli zero-day che trovano, preferendo invece creare i propri exploit zero-day segreti, da utilizzare contro gli avversari. Molti fornitori e ricercatori nel campo della sicurezza criticano questa pratica, sostenendo che mette a rischio le organizzazioni inconsapevoli.

I team addetti alla sicurezza sono spesso in svantaggio rispetto alle vulnerabilità zero-day. Poiché queste vulnerabilità non sono note e non sono state corrette, le organizzazioni non possono tenerne conto nella gestione del rischio di cybersecurity o negli sforzi per mitigarle.

Tuttavia, le aziende possono adottare misure per scoprire ulteriori vulnerabilità e ridurre l'impatto degli attacchi zero-day.

Gestione delle patch: le aziende si affrettano a rilasciare patch di sicurezza quando vengono a conoscenza degli zero-day, tuttavia molte organizzazioni trascurano di applicarle rapidamente. Un programma formale di gestione delle patch può aiutare i team di sicurezza a rimanere aggiornati su queste patch critiche.

Gestione delle vulnerabilità: le valutazioni delle vulnerabilità approfondite e i test di penetrazione possono aiutare le aziende a individuare le vulnerabilità zero-day nei loro sistemi prima che lo facciano gli hacker.

Gestione della superficie di attacco (ASM): gli strumenti ASM consentono ai team di sicurezza di individuare tutti gli asset nelle loro reti e di analizzarli alla ricerca di vulnerabilità. Gli strumenti ASM valutano la rete dal punto di vista di un hacker, concentrandosi sul modo in cui i criminali informatici possono ottenere l'accesso attraverso gli asset. Poiché gli strumenti ASM consentono alle organizzazioni di visualizzare le proprie reti dal punto di vista di un aggressore, possono contribuire a individuare le vulnerabilità zero-day.

Feed di threat intelligence: i ricercatori nel campo della sicurezza sono spesso tra i primi a segnalare le vulnerabilità zero-day. Le organizzazioni che si tengono aggiornate sulla threat intelligence esterna possono venire a conoscenza anticipatamente di nuove vulnerabilità zero-day.

Metodi di rilevamento basati su anomalie: il malware zero-day può eludere i metodi di rilevamento basati sulle firme, ma gli strumenti che utilizzano il machine learning per individuare attività sospette in tempo reale possono spesso intercettare gli attacchi zero-day. Soluzioni comuni per il rilevamento delle anomalie includono l'analisi del comportamento degli utenti e delle entità (UEBA), le piattaforme di rilevamento e risposta estesa (XDR), gli strumenti di rilevamento e risposta degli endpoint (EDR) e alcuni sistemi di rilevamento e prevenzione delle intrusioni.

Architettura zero-trust: se un hacker approfitta di una vulnerabilità zero-day per entrare in una rete, l'architettura zero-trust può limitare i danni. Zero-trust utilizza l'autenticazione continua e l'accesso con privilegi minimi per impedire il movimento laterale e bloccare gli utenti malintenzionati in modo che non possano raggiungere le risorse sensibili.