Che cos'è un attacco zero-day? - Definizione e spiegazione

Significato e definizione di zero-day

"Zero-day" è un termine generico che descrive vulnerabilità della sicurezza scoperte di recente e utilizzate dagli hacker per attaccare i sistemi. Il termine "zero-day" si riferisce al fatto che il fornitore o lo sviluppatore è appena venuto a conoscenza della falla e quindi ha "zero giorni" di tempo per risolvere il problema. Un attacco zero-day viene sferrato quando gli hacker sfruttano la falla prima che gli sviluppatori abbiano la possibilità di porvi rimedio.

Zero-day a volte è scritto 0-day. Al termine zero-day sono in genere associate le parole vulnerabilità, exploit e attacco ed è bene conoscerne la differenza:

• Una vulnerabilità zero-day è una vulnerabilità del software scoperta dagli autori di un attacco prima ancora che dal fornitore. Poiché i fornitori non ne sono a conoscenza, non esistono patch per le vulnerabilità zero-day ed è quindi probabile che gli attacchi abbiano successo.
• Un exploit zero-day è il metodo utilizzato dagli hacker per attaccare i sistemi con una vulnerabilità non identificata in precedenza.
• Un attacco zero-day è l'utilizzo di un exploit zero-day per provocare danni o sottrarre dati a un sistema colpito da una vulnerabilità.

Che cosa sono gli attacchi zero-day e come funzionano?

Il software presenta spesso vulnerabilità della sicurezza che gli hacker possono sfruttare per scatenare il caos. Gli sviluppatori di software sono sempre alla ricerca di vulnerabilità da "correggere" sviluppando una soluzione da rilasciare in un nuovo aggiornamento.

A volte tuttavia gli hacker o i malintenzionati individuano la vulnerabilità prima degli sviluppatori di software. Mentre la vulnerabilità è ancora esposta, gli autori di attacchi possono scrivere e implementare un codice per sfruttarla. Questa tecnica è nota come codice exploit.

Il codice exploit permette di attaccare gli utenti del software, che diventano vittime, ad esempio, di furti di identità o di altre forme di cybercrimine. Dopo aver identificato una vulnerabilità zero-day, gli autori di un attacco devono trovare un modo per raggiungere il sistema vulnerabile. A questo scopo, si servono spesso di un'email di ingegneria sociale, ovvero un'e-mail o un altro tipo di messaggio che si ritiene inviato da un contatto noto o legittimo, ma che in realtà proviene dall'autore dell'attacco. Lo scopo del messaggio è convincere un utente a eseguire un'azione come aprire un file o visitare un sito Web dannoso. Il risultato di questa azione è il download del malware dell'autore dell'attacco, che si infiltra nei file dell'utente e ruba i dati riservati.

Quando una vulnerabilità diventa nota, gli sviluppatori creano una patch per cercare di fermare l'attacco, ma spesso le vulnerabilità della sicurezza non vengono scoperte subito. A volte passano giorni, settimane o addirittura mesi prima che gli sviluppatori identifichino la vulnerabilità all'origine dell'attacco. E anche dopo il rilascio di una patch zero-day, non tutti gli utenti la implementano in tempi brevi. Negli ultimi anni, gli hacker sono diventati più veloci a sfruttare le vulnerabilità non appena scoperte.

Gli exploit sono in vendita sul Dark Web a cifre esorbitanti. Dopo che un exploit è stato individuato e corretto, non costituisce più una minaccia zero-day.

Gli attacchi zero-day sono pericolosi soprattutto perché gli unici a esserne a conoscenza sono proprio gli autori degli attacchi. Dopo essersi infiltrati in una rete, i criminali possono attaccare immediatamente o restare in attesa del momento più vantaggioso per farlo.

Chi sferra gli attacchi zero-day?

I malintenzionati che sferrano gli attacchi zero-day appartengono a categorie diverse, a seconda della loro motivazione. Ad esempio:

• Cybercriminali: hacker la cui motivazione è di solito il guadagno economico
• Hacktivist: hacker spinti da una causa politica o sociale, che agiscono apertamente per attirare l'attenzione sulla loro causa
• Spionaggio industriale: hacker che spiano le aziende per ottenere informazioni su di esse
• Cyberwarfare: nazioni o agenti politici che spiano o attaccano l'infrastruttura informatica di un'altra nazione

Quali sono gli obiettivi degli exploit zero-day?

Un attacco zero-day può sfruttare le vulnerabilità di svariati sistemi, tra cui:

• Sistemi operativi 
• Browser Web 
• Applicazioni Office
• Componenti open-source
• Hardware e firmware
• Internet of Things (IoT) 

Esiste pertanto un'ampia gamma di potenziali vittime:

• Singoli utenti che utilizzano un sistema vulnerabile, ad esempio un browser o un sistema operativo Gli hacker possono sfruttare le vulnerabilità della sicurezza per compromettere i dispositivi e creare botnet di grandi dimensioni
• Singoli utenti che accedono a dati aziendali importanti, ad esempio una proprietà intellettuale
• Dispositivi hardware, firmware e Internet of Things
• Aziende e organizzazioni di grandi dimensioni
• Agenzie governative
• Obiettivi politici e/o minacce alla sicurezza nazionale

È utile comprendere la differenza tra attacchi zero-day mirati e non mirati:

• Gli attacchi zero-day mirati hanno obiettivi potenzialmente di valore, ad esempio grandi organizzazioni, agenzie governative o persone di alto profilo.
• Gli attacchi zero-day non mirati sono invece rivolti contro utenti di sistemi vulnerabili, ad esempio un sistema operativo o un browser.

Anche quando gli autori degli attacchi non prendono di mira utenti specifici, moltissime persone possono tuttavia rimanere vittime degli attacchi zero-day, solitamente come danno collaterale. Gli attacchi non mirati hanno lo scopo di colpire più utenti possibile e quindi potrebbero esserne interessati i dati dell'utente medio.

Come identificare gli attacchi zero-day

Può essere difficile individuare le vulnerabilità zero-day, dal momento che possono assumere diverse forme, ad esempio assenza di criptaggio dei dati, assenza di autorizzazioni, violazione di algoritmi, bug, problemi con la sicurezza delle password e così via. Data la natura di questi tipi di vulnerabilità, le informazioni dettagliate sugli exploit zero-day sono disponibili solo dopo che sono stati identificati.

Le organizzazioni vittime di un exploit zero-day potrebbero notare traffico imprevisto o un'attività sospetta di scansione originata da un client o un servizio. Alcune delle tecniche di rilevamento zero-day includono:

1. Utilizzo come riferimento di database esistenti di malware che ne descrivono anche il comportamento. Anche se questi database vengono aggiornati molto velocemente e possono essere utili come riferimento, per definizione gli exploit zero-day sono nuovi e sconosciuti. Le informazioni reperibili in un database esistente sono quindi limitate.
2. In alternativa, alcune tecniche cercano le caratteristiche dei malware zero-day in base a come interagiscono con il sistema preso di mira. Invece di esaminare il codice dei file in ingresso, questa tecnica analizza le loro interazioni con il software esistente e cerca di determinare se sono il risultato di azioni dannose.
3. Il machine learning viene sempre più utilizzato per rilevare i dati dagli exploit registrati in precedenza e poter stabilire un riferimento per il comportamento di un sistema sicuro in base ai dati delle interazioni passate e attuali con il sistema. Maggiore è la quantità di dati disponibili, più affidabile sarà il rilevamento.

Spesso si utilizza una combinazione di sistemi di rilevamento diversi.

Esempi di attacchi zero-day

Alcuni recenti esempi di attacchi zero-day includono:

2021: vulnerabilità zero-day di Chrome

Nel 2021 Chrome di Google è stato oggetto di una serie di minacce zero-day, in seguito alle quali sono stati rilasciati aggiornamenti per Chrome. La vulnerabilità aveva origine da un bug nel motore JavaScript V8 utilizzato nel browser Web.

2020: Zoom

È stata trovata una vulnerabilità nella popolare piattaforma per videoconferenze. In questo attacco zero-day, gli hacker accedevano da remoto al PC di un utente che eseguiva una versione meno recente di Windows. Se l'obiettivo era un amministratore, l'hacker poteva prendere il controllo completo del computer e accedere a tutti i file.

2020: Apple iOS

iOS di Apple viene spesso definito come la più sicura tra le principali piattaforme smartphone. Nel 2020, tuttavia, è stato vittima di almeno due set di vulnerabilità zero-day, tra cui un bug zero-day che ha consentito agli autori dell'attacco di compromettere gli iPhone da remoto.

2019: Microsoft Windows, Europa orientale

Questo attacco si basava sull'escalation dei privilegi locali, una parte vulnerabile di Microsoft Windows, ed era diretto a istituzioni governative dell'Europa orientale. L'exploit zero-day ha sfruttato una vulnerabilità dei privilegi locali di Microsoft Windows per eseguire codice arbitrario, installare applicazioni e visualizzare e modificare i dati nelle applicazioni compromesse. Dopo che l'attacco è stato identificato e segnalato a Microsoft Security Response Center, una patch è stata sviluppata e implementata.

2017: Microsoft Word

Questo exploit zero-day ha compromesso account bancari personali. Le vittime sono state persone che hanno involontariamente aperto un documento di Word dannoso. Il documento conteneva una richiesta di "caricamento di contenuto remoto", che visualizzava una finestra pop-up per l'accesso esterno da un altro programma. Quando le vittime facevano clic su "sì", nel dispositivo veniva installato un malware in grado di acquisire le credenziali d'accesso bancarie.

Stuxnet

Uno degli esempi più noti di attacco zero-day è stato Stuxnet. Scoperto per la prima volta nel 2010, ma risalente al 2005, questo worm informatico dannoso colpiva i computer destinati alla produzione, che eseguivano software PLC (Programmable Logic Controller). L'obiettivo principale erano gli impianti di arricchimento dell'uranio in Iran per fermare il programma nucleare del paese. Sfruttando le vulnerabilità del software Siemens Step7, il worm infettava i PLC che quindi eseguivano comandi imprevisti sui macchinari della catena di montaggio. La storia di Stuxnet è in seguito diventata l'argomento di un documentario intitolato Zero Days.

Come proteggervi dagli attacchi zero-day

Per la protezione zero-day e la sicurezza del computer e dei dati, è essenziale sia per i singoli utenti che per le organizzazioni seguire le best practice di cybersecurity. Tra cui:

Mantenere aggiornati tutti i software e i sistemi operativi. I fornitori includono infatti nelle nuove versioni patch di sicurezza che coprono le vulnerabilità appena identificate. Mantenervi aggiornati vi garantisce una sicurezza ancora maggiore.

Usare solo le applicazioni essenziali. Più software avete, più numerose saranno le potenziali vulnerabilità. Per ridurre i rischi per la vostra rete, utilizzate solo le applicazioni necessarie.

Usare un firewall. Un firewall svolge un ruolo essenziale nella protezione del sistema dalle minacce zero-day. Per assicurarvi la massima protezione, configuratelo per consentire solo le transazioni necessarie.

Educare gli utenti nelle organizzazioni. Molti attacchi zero-day sfruttano l'errore umano. Insegnare a dipendenti e utenti buone abitudini di sicurezza li proteggerà dalle minacce online e difenderà le organizzazioni dagli exploit zero-day e da altre minacce digitali.

Utilizzare una soluzione software anti-virus completa. Kaspersky Total Security consente di proteggere i dispositivi bloccando le minacce note e sconosciute.

Articoli correlati:

• Cos'è un trojan?
• Come proteggersi dal cybercrimine
• Cosa sono i rootkit?
• Cos'è una violazione della sicurezza?