Cos'è un Exploit Zero-Day? E Perché È Pericoloso?

Le aziende hanno sempre avuto molte minacce da affrontare, ma gli attacchi informatici stanno diventando sempre più preoccupanti. Un exploit zero-day è una delle minacce malware più gravi.

Gli attacchi informatici possono avere gravi conseguenze per le aziende, perché gli hacker possono rubare denaro, dati o proprietà intellettuale che compromettono le vostre operazioni. E nessuna azienda è immune. Hanno un impatto su commercianti, aziende locali, catene nazionali e anche giganti globali come Google (infatti Google subisce almeno 22 attacchi imprevisti ogni anno).

Ma questo non vuol dire che gli attacchi informatici siano inevitabili. Ci sono dei passi che possiamo fare per proteggerci.

In questo articolo, vi diremo tutto quello che dovete sapere sugli exploit zero-day, perché sono pericolosi e come potete identificarli e prevenirli.

Cominciamo!

Cos’È un Exploit Zero-Day?

Un exploit zero-day è una falla di sicurezza non ancora scoperta nel vostro software o hardware che gli hacker possono sfruttare per violare i vostri sistemi. Gli exploit zero-day hanno molti nomi diversi, tra cui “exploit zero-hour” o “exploit day0”.

Non importa il nome, l’origine di “zero-day” è la stessa. Il termine “zero-day” sottolinea la gravità del problema. Dopo che qualcuno scopre una vulnerabilità zero-day, il team di sviluppo ha zero giorni per risolvere l’errore prima che diventi un problema urgente.

A volte potreste sentir parlare anche di “zero-hour exploits” o “day0 exploits”. C’è una distinzione essenziale tra questi termini:

“Zero-day exploit” si riferisce al metodo che gli hacker usano per attaccare il software.
“Zero-day vulnerability” si riferisce alla falla non scoperta nel vostro sistema.
“Zero-day attack” si riferisce all’azione che gli hacker compiono quando usano la vulnerabilità per violare il sistema.

L’espressione “non scoperta” è fondamentale quando si parla di zero-day vulnerability, perché la vulnerabilità deve essere sconosciuta ai creatori del sistema per essere considerata una “zero-day vulnerability”. Una vulnerabilità nella sicurezza smette di essere una “zero-day vulnerability” una volta che il team di sviluppo capisce qual è il problema e rilascia una patch.

Molti gruppi diversi di persone effettuano zero-day attack, tra cui:

Criminali informatici: Hacker criminali con una motivazione finanziaria.
Hacktivisti: Persone che cercano di violare i sistemi per promuovere una causa o un’agenda politica.
Hacker aziendali: Hacker che cercano di ottenere informazioni su un’azienda concorrente.
Hacker a scopo di lucro: Persone che trovano vulnerabilità per venderle alle aziende (ma non intendono sfruttare la vulnerabilità in prima persona).

Come Funziona un Attacco Zero-Day

Ogni attacco è diverso, ma la maggior parte di loro funziona così:

Fase 1: Il vostro team di sviluppo crea un sistema. Questo sistema contiene una vulnerabilità zero-day di cui il team non si è accorto.
Fase2: Dopo che il sistema è attivo, l’hacker (a volte chiamato in gergo “threat actor” o “malicious actor”) scopre una vulnerabilità nel sistema.
Fase 3: L’hacker scrive ed esegue del codice maligno per sfruttare la vulnerabilità e violare il vostro sistema.
Fase 4: Il pubblico o il team di sviluppo notano un problema grave e gli sviluppatori risolvono il problema con una patch.

A volte, l’hacker che scopre la minaccia zero-day e l’hacker che attacca il vostro sistema sono persone diverse.

Alcuni hacker vendono informazioni ad altri hacker attraverso il mercato nero. Il mercato nero si muove sul dark web, una sezione di internet che non potete raggiungere con motori di ricerca come Google, Yahoo e Bing. Le persone accedono al dark web attraverso browser anonimi come Tor.

Alcune aziende di cybersicurezza cercano anche exploit per vendere quelle informazioni ai proprietari del sistema.

Queste aziende vendono i dati sul mercato “bianco” o “grigio” (anche se le distinzioni tra il mercato bianco, grigio e nero variano a seconda delle leggi locali sulla sicurezza informatica).

Infografica che spiega il processo in 4 fasi di uno zero-day attack — Come gli hacker eseguono un attacco zero-day. (**Fonte:** Norton)

Ora che sapete come funzionano gli exploit zero-day, vi starete chiedendo in che modo gli hacker fanno breccia nel vostro sistema.

Anche se non c’è un metodo collaudato, molti hacker usano:

Fuzzing

Il fuzzing (o “fuzz testing”) è una tecnica di forza bruta che gli hacker usano per trovare falle nel vostro sistema.

Quando un hacker esegue il fuzzing di un obiettivo, usa un software che inserisce dati casuali nelle caselle di input del vostro sistema (caselle di testo dove le persone inseriscono le informazioni). Poi l’hacker cerca crash, perdite di memoria o failed assertions che indicano una falla nel codice.

Molte tecniche di fuzzing si concentrano sullo spamming delle caselle di input con risposte casuali, senza senso o non valide. Per esempio, se avete una casella di testo in cui qualcuno deve inserire la propria età in anni, un hacker potrebbe testare per vedere come il vostro sistema risponde quando inserisce “-94” o “@45”.

Social Engineering

La social engineering o ingegneria sociale è una tecnica di manipolazione che gli hacker usano per ottenere l’accesso a un sistema attraverso i suoi utenti.

Ci sono molti tipi di ingegneria sociale, tra cui:

Pretexting: Quando qualcuno usa il pretexting, cerca di guadagnare la vostra fiducia creando uno scenario credibile. Per esempio, potrebbe fingere di essere del vostro dipartimento IT e dire che ha bisogno della vostra password.
Quando qualcuno vi adesca, cerca di violare il vostro sistema invogliandovi a interagire con materiale corrotto. Per esempio, nel 2018, un hacker cinese ha inviato un misterioso CD a diverse autorità statali e locali statunitensi. L’obiettivo era quello di indurli ad aprire il contenuto del CD per curiosità.
Phishing: Quando qualcuno fa phishing, finge di essere una persona che conoscete per convincervi a darle informazioni riservate, aprire un file dannoso o fare clic su un link corrotto. Per esempio, se vi aspettavate un’email da “[email protected]”, un hacker potrebbe usare l’indirizzo email “[email protected]” per fare phishing. Poiché il 38% degli attacchi informatici alle aziende statunitensi nel 2019 si è verificato tramite phishing, molte aziende si proteggono da questa tecnica con strumenti di prevenzione delle frodi come FraudLabsPro o Simility.

Esempio di phishing con un’email che sembra arrivare da Amazon — Esempio di una email di phishing. (**Fonte:** SecureWorld)

Una volta che un hacker si serve dell’ingegneria sociale per violare un sistema, usa l’account dell’utente per andare a caccia di vulnerabilità zero-day dall’interno.

Obiettivi Comuni

Non c’è bisogno di essere una società bancaria multimiliardaria perché un hacker vi prenda di mira. Gli hacker prendono di mira qualsiasi organizzazione, individuo o entità da cui possono trarre profitto, specialmente:

Organizzazioni con scarsa sicurezza informatica
Organizzazioni che gestiscono dati personali (in particolare indirizzi, numeri di previdenza sociale (SSN), nomi legali completi dei clienti e date di nascita dei clienti)
Agenzie governative
Organizzazioni che hanno informazioni riservate
Organizzazioni che creano software o hardware per i clienti (in quanto possono utilizzare la tecnologia per violare i clienti)
Organizzazioni che lavorano nel campo della difesa

Quando scelgono chi hackerare, molti hacker cercano obiettivi facili che offrono un’alta ricompensa, perché vogliono fare più soldi con il minimo sforzo e rischio.

Anche se ogni hacker lavora in modo diverso, la maggior parte degli obiettivi sono:

Sistemi operativi
Browser web
Hardware e firmware
Applicazioni software
Dispositivi Internet of Things (IoT)

Esempi

Anche se non pensate spesso ai cyberattacchi, accadono più spesso di quanto possiate immaginare. A partire dal 2020, individui e organizzazioni hanno rilevato oltre 677 milioni di infezioni malware. Si tratta di un aumento del 2.317,86% rispetto al 2010, quando le persone avevano rilevato all’incirca 28 milioni di infezioni malware.

Secondo una ricerca del Ponemon Institute, quasi il 48% delle organizzazioni ha subito una violazione dei dati negli ultimi due anni. Il 62% di queste organizzazioni non era a conoscenza della vulnerabilità prima dell’attacco (il che significa che erano attacchi zero-day).

Anche se la maggior parte delle organizzazioni non rende pubblici i dettagli degli attacchi subiti, conosciamo alcuni dei più grandi successi negli ultimi anni. Questi includono:

L’Attacco a Google Chrome del 2021

Nell’aprile 2021, Google ha rilasciato un aggiornamento per il suo browser Google Chrome su dispositivi Windows, Linux e Mac. Tra le altre cose, questo aggiornamento ha risolto una vulnerabilità zero-day che un hacker ha sfruttato. Hanno chiamato la vulnerabilità “CVE-2021-21224”.

Anche se Google non ha condiviso tutti i dettagli dell’attacco, CVE-2021-21224 ha permesso a qualcuno di eseguire codice in una sandbox attraverso una pagina HTML modificata.

L’Attacco di Zoom del 2020

Nel luglio 2020, la società di cybersicurezza 0patch ha riferito che un anonimo aveva identificato una vulnerabilità zero-day in Zoom. La vulnerabilità permetteva a un hacker di eseguire del codice da remoto in Zoom una volta ottenuto l’accesso facendo cliccare un utente su un link o aprendo un malware. La vulnerabilità esisteva solo sui computer con Windows 7 o versioni precedenti di Windows.

Dopo aver appreso della vulnerabilità, 0patch ha comunicato le informazioni a Zoom e il team di sviluppo di Zoom ha rilasciato una patch di sicurezza per il problema nel giro di un giorno.

L’Attacco a Microsoft Word del 2016/2017

Nel 2016, Ryan Hanson (un ricercatore di sicurezza e consulente di Optiv) ha identificato una vulnerabilità zero-day in Microsoft Word. La vulnerabilità (conosciuta come “CVE-2017-0199”) permetteva a un hacker di installare malware sul computer di un utente dopo che l’utente aveva scaricato un documento Word che eseguiva script dannosi.

Secondo Reuters, gli hacker hanno sfruttato CVE-2017-0199 per rubare milioni dai conti bancari online prima che il team Microsoft pubblicasse una patch nel 2017. È interessante notare che Hanson non è stata l’unica persona a scoprire CVE-2017-0199: nell’aprile 2017, i ricercatori di McAfee e FireEye hanno entrambi riferito di aver trovato la vulnerabilità.

L’Attacco Stuxnet del 2010

Nel 2010, Stuxnet ha preso di mira diversi impianti (compresi quelli nucleari) in Iran. Stuxnet era un worm informatico che infettava i computer Windows attraverso chiavette USB che contenevano malware.

Il malware Stuxnet ha poi attaccato le macchine prendendo di mira i loro Programmable Logic Controllers (PLC). Questi PLC automatizzano i processi delle macchine, il che significa che Stuxnet poteva interferire con i macchinari del suo obiettivo.

Secondo McAfee, Stuxnet ha distrutto diversi impianti di trattamento dell’acqua, centrali elettriche, linee di gas e centrifughe nell’impianto di arricchimento dell’uranio di Natanz in Iran. Stuxnet ha anche originato molti eredi, incluso Duqu (un malware che ruba dati dai computer che prende di mira).

Perché gli Attacchi Zero-Day Sono Pericolosi

L’impatto finanziario, operativo e legale di un attacco zero-day può essere devastante. Secondo il 2021 Data Breach Investigations Report di Verizon, il 95% delle organizzazioni prese di mira dagli hacker ha perso:

Tra 250 e 984.855 dollari in attacchi di Business Email Compromise (BEC)
Tra 148 e 1.594.648 in incidenti di Computer Data Breach (CDB)
Tra 69 e 1.155.755 in incidenti ransomware

Tuttavia, gli attacchi zero-day sono comunque devastanti anche se non perdete soldi. Ecco perché:

Possono passare inosservati per giorni, mesi o addirittura anni.

Poiché le vulnerabilità zero-day sono sconosciute agli sviluppatori, molte organizzazioni non si accorgono quando un attaccante ha violato i loro sistemi fino a molto tempo dopo l’attacco. Purtroppo, questo significa che gli hacker possono abusare ripetutamente del vostro sistema prima che voi possiate fermarli.

Le Vulnerabilità Possono Essere Difficili da Risolvere

Una volta che la vostra azienda scopre che un hacker ha compromesso il vostro sistema, dovrete capire dove si trova la vulnerabilità. Dato che molte organizzazioni usano più sistemi, potrebbe volerci un po’ di tempo per localizzare e riparare il buco.

Gli Hacker Possono Usarli per Rubare Dati Finanziari o Informazioni Bancarie

Molti aggressori entrano nei sistemi per rubare dati finanziari o informazioni bancarie. Alcuni hacker vendono questi dati a terzi, mentre altri usano le vostre informazioni finanziarie per rubarvi dei soldi.

I Criminali Possono Usarli per Tenere la Vostra Azienda in Ostaggio

Mentre molti hacker usano attacchi zero-day per rubare dati, altri tengono la vostra azienda in ostaggio attraverso attacchi DDoS (Distributed Denial of Service) e altre tecniche di riscatto. Gli attacchi DDoS spammano il vostro sito web con richieste finché non va in crash.

Se volete imparare a fermare un attacco DDoS, potete leggere il nostro caso studio:”Come fermare un attacco DDoS in corso”

I Criminali Possono Prendere di Mira i Vostri Clienti

Se vendete software o hardware con una base di utenti dedicata, gli hacker potrebbero violare il vostro sistema e usarlo per attaccare i vostri clienti.

Di recente abbiamo visto un esempio devastante di questo quando i criminali hanno violato il software di Kaseya e hanno usato il loro sistema per attaccare 800-1.500 clienti di Kaseya con un ransomware.

Come Identificare un Attacco Zero-Day

Poiché ogni attacco zero-day funziona in modo diverso, non esiste un modo perfetto per individuarlo. Tuttavia, ci sono molti modi comuni in cui le organizzazioni identificano gli attacchi. Qui ve ne presentiamo sei.

1. Condurre una Scansione delle Vulnerabilità

La scansione delle vulnerabilità è il processo di ricerca delle vulnerabilità zero-day nel vostro sistema. Una volta trovata una vulnerabilità, si lavora per ripararla prima che gli hacker possano sfruttarla.

La scansione delle vulnerabilità può essere un’attività indipendente o una parte regolare del vostro processo di sviluppo. Molte organizzazioni scelgono anche di esternalizzare la loro scansione delle vulnerabilità ad aziende specializzate in sicurezza informatica.

2. Raccogliere e Monitorare i Report degli Utenti del Sistema

Poiché gli utenti del vostro sistema interagiscono regolarmente con esso, potrebbero individuare potenziali problemi prima di voi. Naturalmente, dovreste monitorare i report degli utenti per le segnalazioni di email sospette, pop-up o notifiche sui tentativi di inserimento password.

3. Controllare le Prestazioni del Vostro Sito Web

Secondo il 2021 Data Breach Investigations Report di Verizon, oltre il 20% degli attacchi informatici prende di mira le applicazioni web. Anche se non sarete sempre in grado di dire se gli hacker hanno violato la vostra applicazione o il vostro sito web, qualcuno potrebbe aver attaccato il vostro sito se:

Non potete accedere
L’aspetto del sito web è cambiato
Il vostro sito web reindirizza i visitatori a un sito web sconosciuto
Le prestazioni del vostro sito web si bloccano inaspettatamente
Il sito web mostra avvisi del browser, come questo:

Un messaggio da Google che dice The Site May Be Hacked — Un messaggio di Google che informa che un sito web potrebbe essere compromesso.

4. Usare il “Retro Hunting”

Il retro hunting è il processo di ricerca di report di attacchi informatici significativi e di verifica della presenza di un attacco ai danni della vostra organizzazione. Per ottenere il massimo dal retro hunting, assicuratevi di:

Indirizzare tutte le email dai vostri fornitori di software a una casella di posta centrale e controllatela regolarmente per trovare le notifiche sulle falle di sicurezza
Scorrete ogni giorno le notizie per informarvi su eventuali nuovi attacchi alle organizzazioni del vostro settore
Leggete i dettagli degli attacchi recenti e chiedete ai vostri sviluppatori di controllare se i vostri sistemi potrebbero resistere a un attacco simile

5. Controllare la Riduzione della Velocità della Rete

Quando un hacker ottiene l’accesso a un sistema attraverso un malware, l’aumento del traffico di rete a volte rallenta la connessione internet della vittima. Quindi, se tenete d’occhio la velocità della vostra rete, potreste identificare un attacco nel momento in cui avviene.

6. Tracciare le Prestazioni del Vostro Software

Quando qualcuno ottiene l’accesso al vostro sistema attraverso una vulnerabilità, il codice che inietta nel vostro software potrebbe rallentare il vostro programma, alterare le sue funzioni o mettere le caratteristiche offline. Naturalmente potreste identificare un attacco zero-day osservando i cambiamenti significativi o inspiegabili nel vostro sistema.

Come Proteggersi dagli Exploit Zero-Day

Dato che non avete altra scelta che sedervi e guardare gli hacker rubare soldi, dati e segreti commerciali mentre aspettate che il team di sviluppo metta una toppa al buco, gli attacchi zero-day sono molto stressanti.

La migliore arma della vostra organizzazione contro gli attacchi zero-day è una migliore preparazione. Ecco otto modi in cui potete proteggere i vostri sistemi dagli attacchi zero-day.

1. Usare il Software di Sicurezza

Il software di sicurezza protegge il vostro sistema da virus, intrusioni basate su internet e altre minacce alla sicurezza.

Ogni software offre tipi di protezione leggermente diversi, ma la maggior parte delle soluzioni software può scansionare i download alla ricerca di malware, bloccare gli utenti non autorizzati dal vostro sistema e criptare i vostri dati.

Alcune aziende di software di sicurezza sviluppano anche software specializzati per i siti web. Per esempio, se usate WordPress (come il 40% dei siti web), potreste proteggere il vostro sito con:

Software di monitoraggio dell’integrità dei file (File Integrity Monitoring o FIM).
Plugin che cercano commenti sospetti (come Astra Web Security e WP fail2ban.)
Plugin che proteggono il vostro sito dagli attacchi brute force.
Una Content Delivery Network (CDN).

In alternativa, potreste usare un plugin di sicurezza generale come Sucuri o Wordfence.

2. Installare Spesso Nuovi Aggiornamenti Software

Dato che gli hacker trovano vulnerabilità nel codice obsoleto, aggiornare il vostro sito web, le applicazioni web e il software è la chiave per mantenere i vostri sistemi al sicuro. I nuovi aggiornamenti proteggono il vostro sistema perché:

Contengono patch per le vulnerabilità di sicurezza informatica conosciute (inclusi gli exploit zero-day).
Rimuovono parti vecchie o inutilizzate di programmi che gli hacker potrebbero sfruttare.
Introducono nuove misure di sicurezza informatica per mantenere gli utenti al sicuro.
Correggono bug minori che sono vulnerabili al fuzzing.

3. Usare un Hosting Web Sicuro

Gli hacker violano oltre 127.000 siti web ogni giorno. E poiché gli hacker possono violare il vostro sito attraverso plugin, temi di siti web o versioni obsolete del core di WordPress, i siti web WordPress sono obiettivi primari.

Per fortuna potete proteggere la vostra organizzazione usando un fornitore di hosting sicuro come Kinsta. Kinsta protegge il vostro sito con:

Connessioni cifrate Secure File Transfer Protocol (SFTP) e Secure Shell (SSH).
Una connessione sicura a Google Cloud Platform.
Una garanzia di correzione degli hack.
Uno strumento IP Deny che vi permette di bloccare gli indirizzi IP dall’accesso al vostro sito web.
Protezione DDoS (Distributed Denial of Service) e un firewall di livello aziendale attraverso Cloudflare.
Backup automatici ogni due settimane.
Una garanzia di sicurezza antimalware.

I quattro elementi che caratterizzano la garanzia di sicurezza di Kinsta: sicurezza extra, garanzia di correzione dell’hack, encrypting completo e backup automatici — La garanzia di hosting WordPress sicuro di Kinsta.

4. Usare un Firewall

I firewall fanno esattamente quello che dice il loro nome: sono muri digitali tra il vostro sistema e il mondo esterno. I firewall aggiungono un ulteriore livello di protezione ai vostri sistemi perché gli hacker devono violare il firewall prima di poter attaccare il vostro sistema.

Ci sono molti tipi di firewall tra cui potete scegliere, compresi i firewall personali, di filtraggio dei pacchetti, statici, per applicazioni web e di prossima generazione (NGFW).

5. Usare la Regola del Minimo Accesso

La regola del minimo accesso dice che le persone nella vostra organizzazione dovrebbero avere accesso solo ai dati, all’hardware e al software di cui hanno bisogno per svolgere il loro lavoro regolare.

La Regola del Minimo Accesso crea meno punti di ingresso per gli hacker che usano l’ingegneria sociale, limitando il numero di persone che hanno accesso amministrativo ad ogni sistema.

6. Passare allo Sviluppo DevOps

DevOps è un approccio che utilizza un sistema di sviluppo continuo per aggiornare costantemente i programmi. Può aiutarvi a rafforzare la vostra sicurezza contro gli exploit zero-day, poiché vi costringe ad aggiornare e cambiare il vostro sistema costantemente.

Se volete saperne di più sullo sviluppo DevOps, potete leggere il nostro articolo “Strumenti DevOps”. In breve, lo sviluppo DevOps segue questo ciclo di vita:

Il diagramma del ciclo di vita DevOps — Un diagramma del ciclo di vita DevOps. (**Fonte:** Atlassian)

7. Implementare la Formazione sulla Sicurezza Utente

La formazione sulla sicurezza utente insegna ai vostri dipendenti a identificare le tecniche di ingegneria sociale e le minacce alla sicurezza.

Educare i vostri dipendenti a individuare le minacce alla sicurezza informatica li aiuterà a identificare gli attacchi, a informare rapidamente le persone giuste e ad agire senza farsi prendere dal panico o dare informazioni agli hacker.

8. Usare le VPN

Le reti private virtuali (Virtual Private Network o VPN) sono server intermedi che proteggono i vostri dati di navigazione, l’indirizzo IP e i dati di connessione mentre navigate su Internet. Usando le VPN sarà più difficile per gli hacker criminali violare il vostro sistema attraverso il browser web, dato che hanno meno informazioni da usare contro di voi.

Le VPN funzionano così:

Grafico con al centro Internet da cui partono quattro ramificazioni: Branch, Headquarters, Mobile User, Home User — Come funzionano le VPN. (**Fonte:** Yellowstone Computing)

Riepilogo

Gli attacchi zero-day sono sempre più comuni e una preoccupazione naturale per le organizzazioni di tutto il mondo. Tuttavia, ci sono dei passi che potete fare per ridurre il vostro rischio di attacco, tra cui:

Formazione del vostro staff per individuare e rispondere agli attacchi.
Usare misure di sicurezza informatica come VPN, software di sicurezza e firewall.
Modificare il vostro processo di sviluppo per aggiornare i sistemi regolarmente.
Controllare attentamente l’accesso ai dati e ai sistemi vulnerabili.
Usare servizi di hosting di siti web sicuri (come Kinsta).

Ora che abbiamo condiviso i nostri consigli, tocca a voi. Quali passi fate per mitigare il rischio di un attacco informatico nella vostra organizzazione? Fatecelo sapere nei commenti qui sotto.

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.

Come Express Legal Funding ha incrementato il traffico organico del 50.000% e semplificato la gestione del sito

Come Torro Media ottiene costantemente punteggi di Google PageSpeed superiori a 90 su tutti i siti dei clienti

Cos’è un Exploit Zero-Day? E Perché È Pericoloso?