Exploit zero-day

Una vulnerabilità zero-day è tecnicamente un difetto, una falla ancora non nota all’interno di un sistema IT o di un software.

A questa si collegano gli exploit zero-day: ovvero le tecniche messe a punto dagli hacker al fine di sfruttare a proprio vantaggio queste criticità sconosciute.

Venduti anche sui marketplace del dark web, gli exploit zero-day rappresentano una minaccia sotto molteplici aspetti. Primo fra tutti, il fatto di essere difficilmente prevedibili.

Analizziamo dunque più da vicino la natura e l’entità del fenomeno.

Cos’è un exploit zero day

Quando sul mercato viene rilasciato un nuovo applicativo, sia esso hardware o software, uno dei principali obiettivi dei pirati informatici è quello di individuarne le vulnerabilità sfruttabili.

Un exploit può assumere le forme di uno script malizioso, un malware o un virus, ma rappresenta sempre e comunque il mezzo attraverso cui sfruttare illegittimamente quelle criticità.

L’appellativo di zero-day si riferisce proprio al fatto che quelle vulnerabilità che gli hacker sono stati in grado di

  • individuare
  • sfruttare
  • e attaccare

erano totalmente sconosciute agli stessi sviluppatori del programma.

In questi casi, infatti, quando si viene a conoscenza della falla è già troppo tardi. L’exploit zero-day è già stato implementato e impiegato in un attacco, detto appunto attacco zero-day.

Zero-Day (o 0-day) è  dunque un ‘termine-ombrello’, traducibile in italiano come ‘sconosciuto’, ‘non noto’, e utilizzato per

  • la vulnerabilità sfruttata
  • l’exploit utilizzato per forzarla
  • nonché l’attacco sferrato mediante l’exploit

Cosa sono gli attacchi zero day e come funzionano

Gli sviluppatori, consci del problema, sono costantemente alla ricerca di potenziali errori da correggere nei propri applicativi. Lo scopo è sviluppare patch di sicurezza che verranno rilasciate a ogni nuovo aggiornamento.

Tuttavia, la loro implementazione spesso richiede diverso tempo prima di essere resa disponibile. Intervallo che gli hacker sono ben consapevoli di poter sfruttare a proprio vantaggio.

Attacchi di phishing e ingegneria sociale sono solo alcuni degli stratagemmi per indurre le vittime ad eseguire il codice contenente l’exploit zero day. Come di consueto, questa tipologia di attacchi si cela sotto forma di

Come se ciò non bastasse, con l’avanzare delle conoscenze e della tecnologia, gli aggressori si rivelano sempre più rapidi non soltanto nell’individuazione di nuove criticità, ma anche nella messa a punto del relativo exploit zero-day con cui trarne vantaggio.

Tutto ciò a fronte di settimane, a volte anche mesi di ricerche, che spesso sono necessari ai team di cybersecurity per identificare la falla da cui si è originato l’attacco.

Come accennavamo in apertura, i kit di exploit possono essere venduti nel dark web per ingenti somme di denaro. Si tratta di un mercato molto fiorente, in cui le competenze dei più esperti vengono messe al servizio di chi, pur senza conoscenze, possiede i mezzi economici per attaccare realtà aziendali o enti governativi.

Gli attacchi 0-day sono particolarmente pericolosi perché gli unici a conoscerne davvero caratteristiche e modalità d’azione che sono gli aggressori stessi. In aggiunta, una volta infiltrati in una rete, i criminali possono tranquillamente decidere se attaccare nell’immediato o attendere indisturbati un momento più favorevole.

Principali attori e obiettivi di un exploit zero-day

Al contrario di quanto si potrebbe pensare, ad approfittare maggiormente degli exploit zero-day non sono soltanto i comuni hacker informatici.

A questi, infatti, si aggiungono:

  • le attività di spionaggio aziendale o politico
  • e i movimenti di cyber hactivismo, il cui intento è soprattutto attirare l’attenzione sull’attacco per promuovere cause sociali

Le vittime, a loro volta, possono essere raggruppate in tre macro-categorie:

  • grandi aziende ed enti governativi
  • o anche singoli utenti dotati di grossi privilegi d’accesso a sistemi IT d’interesse
  • nonché comuni utilizzatori di specifici programmi, come browser, sistemi operativi o servizi cloud, particolarmente vulnerabili

Best practice per identificare gli exploit zero-day

Proprio perché sconosciuti, informazioni dettagliate sugli exploit zero-day sono disponibili soltanto dopo l’identificazione dell’attacco stesso.

Ecco perché a livello preventivo si rende necessario delineare alcuni segnali d’allarme che indichino una loro eventuale presenza.

Tra le tecniche di rilevamento 0-day più comuni si annoverano:

  • utilizzo di database di malware noti. Sebbene gli exploit zero-day siano per definizione sconosciuti, il raffronto con un database di exploit e vulnerabilità note può fungere da base per una corretta identificazione del problema;
  • Analizzare le interazioni: cercare caratteristiche malware zero-day in base al modo in cui interagiscono con il sistema di destinazione invece di esaminare il codice dei file in arrivo;
  • Utilizzare il machine learning: l’apprendimento automatico viene utilizzato per rilevare i dati da exploit precedentemente registrati per stabilire una linea di base per un comportamento di sistema sicuro in base ai dati delle interazioni passate e attuali con il sistema. Più dati sono disponibili, più affidabile diventa.

Tuttavia, spesso viene utilizzato un ibrido tra i diversi sistemi di rilevamento.

Come proteggersi

Forniamo, infine, una carrellata di best practice di difesa valide tanto per i comuni utenti che per aziende e organizzazioni.

Aggiornamenti costanti

Mantieni aggiornati tutti i programmi ed i sistemi operativi. Questo perché i venditori includono patch di sicurezza per coprire le vulnerabilità appena identificate nelle nuove versioni.

Utilizzo delle sole applicazioni indispensabili

Più software si utilizzano, più ci si espone a vulnerabilità ed exploit. È possibile ridurre il rischio per la rete utilizzando solo le applicazioni di cui hai bisogno.

Formazione del personale

La formazione svolge un ruolo cruciale nel proteggersi dalle minacce, soprattutto se queste utilizzano l’errore umano per penetrare nei sistemi.

Affidarsi a consulenti esperti in cybersecurity

Il fai da te non è mai la soluzione ottimale. In materia di sicurezza informatica, è indispensabile rivolgersi a professionisti in grado di fornire consulenze personalizzate e mirate alla prevenzione del rischio.

Conclusioni

Per rilevare ed attenuare efficacemente gli exploit zero-day, è necessaria una strategia di difesa coordinata, che include sia

  • la tecnologia di prevenzione
  • che un piano di risposta approfondito in caso di attacco.

Le aziende possono prepararsi a questi eventi furtivi e dannosi implementando una soluzione completa di sicurezza informatica che combini varie tecnologie.

Cyberment Srl

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!