Zero Day Exploit: Cos’è e Come Proteggersi

I dipartimenti IT sono costantemente impegnati nella lotta contro gli attacchi informatici. Le imprese hanno l’obiettivo e la responsabilità di proteggere l’organizzazione e i dati da qualsiasi evento negativo. Dati riservati, clienti e dipendenti devono essere protetti mediante una strategia efficace, che include anche e soprattutto un impegno dal punto di vista informatico. 

Ma ogni tipo di software o di tecnologia può presentare delle vulnerabilità. La più complicata da proteggere è la vulnerabilità zero day. Questi difetti, o “buchi” nei programmi software, possono essere sfruttati da un criminal hacker per sferrare uno zero day attack. 

I programmatori stessi dei software sono continuamente alla ricerca di queste vulnerabilità e, quando le individuano, rilasciano una patch in grado di correggerle. Infine, inviano una patch con una release nuova del software: un processo che richiede tempo.

Se un criminal hacker individua una vulnerabilità, può sferrare un attacco zero day: i programmatori, a questo punto, hanno zero giorni per trovare una soluzione. 

Cosa significa Zero Day Exploit?

Un malware zero day sfrutta i difetti e i buchi presenti nei software, difetti non conosciuti dai programmatori e quindi non protetti adeguatamente. Questo malware è molto pericoloso, in quanto difficilmente riconoscibile. È anche piuttosto complicato riuscire a proteggere software e sistemi dal malware zero day. Tutto questo trasforma uno zero day attack in una seria e grave minaccia per la sicurezza informatica delle imprese di tutto il mondo. 

Occorre fare una precisazione. Al termine zero day vengono associate alcune parole, che hanno però significati differenti: 

• vulnerabilità zero day: trattasi della vulnerabilità di un software, che può essere scoperta prima o dopo che si verifica un attacco. Spesso il fornitore non ne è a conoscenza, pertanto non vi sono patch di protezione. In questo caso, un possibile attacco zero day potrebbe avere facilmente successo;
• zero day exploit: trattasi del metodo scelto dagli hacker per sferrare un attacco. Generalmente, la vulnerabilità del sistema non viene rilevata prima che si verifichi un attacco;
• zero day attack: ovvero, quando uno zero day exploit viene utilizzato con successo per attaccare un sistema, con l’obiettivo di trafugare dati o provocare danni. 

Il cyber criminale ha un vantaggio in termini di tempo rispetto ai programmatori, nonostante essi abbiano individuato la vulnerabilità. L’hacker crea gli zero day exploit, ovvero i codici di attacco, prima che il programmatore riesca a individuare la falla nel sistema. Gli zero day exploit rappresentano il mezzo attraverso cui l’hacker sferra gli attacchi al sistema e alla cybersecurity aziendale.

L’obiettivo di un attacco 

Uno zero day attack ha generalmente come obiettivo quello di generare profitti mediante la contaminazione dei dati e del software aziendale. Gli attacchi creano non pochi disagi all’azienda, minando la cybersecurity e rappresentano una minaccia piuttosto seria. Gli hacker che utilizzano gli zero day attack possono avere diverse finalità:

• attivisti. Si tratta di hacker che sferrano attacchi con una finalità di stampo sociale o politico. In genere, questo hacker agisce apertamente con l’obiettivo di attirare maggiore attenzione su una tematica;
• cybercriminali. Questi hacker attaccano software e sistemi per ottenere un guadagno di tipo economico;
• cyber warfare. Trattasi di attacchi molto complessi, sferrati da agenti politici o nazioni contro infrastrutture informatiche di altre nazioni;
• spionaggio industriale. In questo caso, gli hacker spiano e attaccano le aziende con la finalità di trafugare informazioni o dati rilevanti. 

Gli zero day exploit possono sfruttare le vulnerabilità dei sistemi per far sì che l’attacco vada a buon fine. I sistemi che possono subire uno zero day attack sono:

• hardware e firmware;
• sistemi operativi;
• componenti open-source;
• internet of things (IoT);
• browser web;
• applicazioni Office. 

Pertanto, non solo le aziende e le organizzazioni di qualsiasi tipo e dimensione, ma anche i singoli utenti, le agenzie organizzative e le nazioni possono subire uno zero day attack. 

Come viene condotto un attacco Zero Day

I criminali, una volta individuata la vulnerabilità, scrivono e implementano un codice per sfruttarne le criticità. Questo codice, o zero day exploit, permette al criminale di perpetrare uno zero day attack. Per poter condurre un attacco, il criminale deve riuscire a raggiungere la vulnerabilità del sistema. 

Spesso la tecnica utilizzata dagli hacker è quella dell’ingegneria sociale: attraverso un messaggio o una e-mail fraudolenta, il criminale convince l’utente a effettuare il download del malware. Quest’ultimo si insinua nell’infrastruttura e la danneggia profondamente. 

Gli zero day exploit possono essere acquistati sul dark web, per cui un criminale può reperire questi codici malevoli con relativa semplicità. Una volta individuato lo zero day exploit occorre correggerlo: solo così non potrà più costituire una minaccia.

Uno zero day attack è particolarmente insidioso proprio perché gli hacker, troppo spesso, sono gli unici a sapere che è in atto un attacco. Una volta insinuato il malware nel sistema, l’hacker potrebbe sferrare subito l’attacco oppure rimanere silente fino a quando gli conviene. 

Gli autori del software, una volta individuata la vulnerabilità e quando l’attacco viene scoperto, hanno l’obiettivo di creare e rilasciare una patch zero day. Ma potrebbero trascorrere giorni, settimane o addirittura mesi. 

Come capire se si è sotto attacco

Non è affatto semplice capire che il sistema è stato attaccato da un malware zero day. Quest’ultimo potrebbe generare vulnerabilità di diversa natura: violazione di algoritmi, problemi con la sicurezza delle password, bug, assenza di autorizzazioni e di criptaggio dei dati. 

È possibile ottenere maggiori informazioni sugli zero day exploit solo dopo che questi codici malevoli sono stati individuati. Le tecniche più comuni e diffuse per rilevare uno zero day attack sono: 

• ricerca del malware sulla base delle interazioni con il sistema attaccato. Vengono analizzate le interazioni con il software piuttosto che i soli codici dei file in ingresso, in modo da individuare eventuali anomalie, che potrebbero testimoniare l’avvenuto attacco;
• utilizzare database informatici contenenti le tipologie di malware e il loro comportamento. Questi strumenti, pur essendo in continuo aggiornamento, rappresentano una risorsa limitata in quanto gli zero day exploit sono, in genere, sconosciuti e di nuova scrittura;
• il machine learning, utilizzato per la rilevazione delle informazioni dagli exploit preesistenti. In questo modo, si può stabilire un parametro indicativo del comportamento del sistema quando è sano. Il rilevamento di un comportamento sospetto avviene quando si hanno sufficienti parametri di valutazione (di qualità).

Un’alternativa per la quale molte aziende propendono è la combinazione di differenti sistemi di rilevamento. In questo modo, è più semplice e probabile individuare uno zero day attack. 

Come proteggersi

Garantire un buon livello di protezione al sistema significa seguire le best practice di cybersecurity. Non esiste, infatti, un metodo unico per proteggersi in maniera certa da uno zero day attack. Questo genere di minaccia non è da sottovalutare ed è bene fronteggiarla seguendo alcuni comportamenti:

• usare le applicazioni essenziali. L’uso di un numero limitato di software riduce la probabilità di un attacco. Più software si utilizzano, più potenziali vulnerabilità ci saranno;
• mantenere aggiornati i sistemi operativi e i software. I fornitori rilasciano costantemente nuove patch di sicurezza proprio per proteggere i sistemi, una volta riscontrate le vulnerabilità. Aggiornare i software e i sistemi consente di usufruire di un livello di protezione maggiore;
• utilizzare un firewall. Il firewall ha una funzione protettiva fondamentale, soprattutto contro le minacce zero day. Occorre configurare il firewall e consentire solo le transazioni strettamente necessarie;
• fornire assistenza e informazioni agli utenti. Nella maggior parte dei casi, formare i propri dipendenti è essenziale per evitare errori o falle che potrebbero aprire le porte a uno zero day attack. Occorre, quindi, insegnare a tutti gli utenti a seguire le abitudini di sicurezza, in grado di proteggere sia il singolo utente che l’intera organizzazione dalle minacce online. In questo modo si potrà avere maggiore consapevolezza e controllo riguardo i possibili zero day exploit;
• scegliere un software antivirus completo e performante. Esistono centinaia di software in grado di rispondere, con relativa efficacia, alla minaccia di attacco zero day.

Alcuni celebri esempi

Negli ultimi anni, la minaccia di zero day attack si è trasformata in realtà (talvolta disastrosa) per diverse aziende nel mondo. I casi studio che permettono di analizzare gli scenari conseguenti a uno zero day attack coinvolgono brand noti in ogni angolo del mondo. Nessuna organizzazione è abbastanza al sicuro da uno zero day exploit, come confermano le evidenze. 

In particolare, segnaliamo alcuni esempi tra i più celebri e conosciuti del mondo:

• Microsoft Windows. Nel 2019 uno zero day attack ha minacciato la sicurezza di questo gigante della tecnologia, nell’area dell’Europa orientale. L’attacco ha interessato una parte vulnerabile di Microsoft Windows, diretto alle istituzioni governative dell’Europa orientale. 

Questo attacco si è tradotto in una escalation dei privilegi locali. In questo caso lo zero day exploit ha sfruttato la vulnerabilità dei privilegi locali Microsoft Windows per eseguire un codice fraudolento, installando applicazioni, visualizzando e modificando i dati nelle applicazioni attaccate. L’attacco, una volta identificato, è stato contrastato da Microsoft Security Response Center mediante lo sviluppo e l’implementazione di una nuova patch;

• Zoom. Nel 2020 è stata rilevata una falla piuttosto importante nella piattaforma Zoom. Questa piattaforma, utilizzata da milioni di utenti nel mondo, ha subito uno zero day attack dalle conseguenze importanti. 

Gli hacker avevano accesso da remoto al PC degli utenti che utilizzavano l’applicazione eseguendo una versione non recente di Windows. In questo caso, gli hacker potevano prendere il controllo completo del PC, soprattutto quando ad essere attaccato era il profilo Amministratore, avendo libero accesso a tutti i file presenti nel dispositivo;

• Apple iOS. Nel 2020 iOS di Apple, la più sicura delle piattaforme smartphone del mondo, è stata vittima di due set di vulnerabilità zero day. Gli hacker hanno avuto l’opportunità di compromettere gli iPhone di milioni di utenti, da remoto;

• Chrome. Chrome di Google ha subito diverse minacce zero day. Nel 2021 sono stati rilasciati degli aggiornamenti per Chrome tesi a sopperire a una vulnerabilità riscontrata nel motore JavaScript V8. Questa falla, individuata e sanata mediante specifici aggiornamenti, avrebbe potuto avere effetti potenzialmente disastrosi per il browser web;

• Stuxnet. Trattasi di uno degli esempi di zero day attack più famosi al mondo. L’attacco, individuato per la prima volta nel 2010 ma risalente almeno al 2005, interessava i computer destinati alla produzione. Questi PC eseguivano software PLC (Programmable Logic Controller), non sapendo di essere stati attaccati da un worm informatico. In questo caso, gli obiettivi dello zero day attack erano gli impianti di arricchimento dell’uranio in Iran: gli hacker desideravano, così, fermare il programma nucleare del paese. Gli hacker hanno sfruttato la vulnerabilità del software Siemens Step7, infettando i PLC con un worm che costringeva i macchinari e la catena di montaggio a eseguire comandi fraudolenti. Dall’esperienza di Stuxnet è nato un documentario intitolato “Zero Days”.