Un exploit zero-day è un attacco che sfrutta una vulnerabilità di sicurezza in gran parte sconosciuta.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cos'è il cross-site scripting?
Cos'è un buffer overflow?
Cos'è l'SQL injection?
Cos'è un attacco di social engineering?
Cos'è Meltdown/Spectre?
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Un exploit zero-day, chiamato anche minaccia o attacco zero-day, sfrutta una vulnerabilità alla sicurezza che non dispone di una correzione. Viene definita "zero-day" perché, una volta scoperta la falla, lo sviluppatore o l'organizzazione hanno "zero giorni" per trovare una soluzione.
Una vulnerabilità è un difetto software o hardware non intenzionale, derivante da un errore di programmazione o da una configurazione errata. Poiché le vulnerabilità non sono intenzionali, sono difficili da rilevare e possono rimanere inosservate per giorni, mesi o persino anni.
Quando gli aggressori identificano una vulnerabilità precedentemente sconosciuta, scrivono del codice volto a sfruttarla e lo integrano in un malware. Questo codice, quando viene eseguito, può arrivare a compromettere un sistema.
Esistono diversi modi in cui un aggressore può sfruttare le vulnerabilità zero-day. Una tattica comune è distribuire malware tramite e-mail di phishing che contengono allegati o collegamenti che incorporano gli exploit. Questi payload dannosi vengono eseguiti quando un utente interagisce con l'allegato o con il collegamento.
Un attacco zero-day celebre prese di mira la Sony Pictures Entertainment nel 2014. A seguito dell'attacco, vennero divulgate al pubblico informazioni estremamente riservate, come copie di film che dovevano ancora uscire in sala, comunicazioni e-mail tra dipendenti di alto livello e business plan. Per ottenere queste informazioni, gli aggressori impiegarono un exploit zero-day.
Sono diversi i modi con cui gli exploit zero-day possono causare danni a un'azienda. Oltre alla fuoriuscita di dati preziosi o riservati, il contraccolpo a livello reputazionale tra la clientela può essere molto serio, per non parlare delle risorse che l'azienda dovrà profondere per "tappare" la falla.
Per definizione, le minacce zero-day sono difficili da individuare, e per facilitarne il rilevamento sono state approntate svariate strategie:
Sebbene nessun singolo approccio possa impedire completamente la comparsa di vulnerabilità nel codice, è possibile adottare tattiche e tool capaci di ridurre al minimo il rischio. Due delle tecnologie più importanti per bloccare gli exploit di vulnerabilità sono l'isolamento del browser e i firewall.
Attività di navigazione quali l'apertura di allegati e-mail o la compilazione di moduli richiedono l'interazione con del codice proveniente da fonti non attendibili, e questo consente a potenziali aggressori di sfruttare le vulnerabilità. L'isolamento del browser consente di mantenere l'attività di navigazione separata dai dispositivi degli utenti e dalle reti aziendali, impedendo così al codice di girare direttamente sui dispositivi degli utenti. Questa tecnica può essere implementata in tre modi:
Un firewall è un sistema di sicurezza che monitora il traffico in entrata e in uscita in base a policy di sicurezza predeterminate. I firewall si interpongono tra reti fidate e reti non fidate (spesso, l'Internet) per fornire protezione dalle minacce, impedire a contenuti dannosi di raggiungere una rete fidata, e prevenire la fuoriuscita di informazioni sensibili dalla rete. Un firewall può essere integrato nell'hardware, nel software o in una combinazione di entrambi. Mediante la propria attività di monitoraggio, un firewall può bloccare del traffico che potrebbe prendere di mira una vulnerabilità di sicurezza, causando un exploit zero-day.
Isolamento del browser da remoto: la soluzione di isolamento del browser da remoto di Cloudflare esegue l'attività di navigazione di un utente in un ambiente cloud supervisionato mediante sandboxing. Poiché l'attività di navigazione è isolata dai dispositivi degli utenti finali, tali dispositivi sono protetti da vulnerabilità quali le minacce zero-day.
Web application firewall (WAF): Cloudflare WAF utilizza l'intelligence delle minacce e l'apprendimento automatico per bloccare automaticamente e in tempo reale le minacce emergenti. L'intelligence delle minacce sfrutta la rete globale di Cloudflare, che elabora 145 milioni di richieste HTTP al secondo nei momenti di picco. Il risultato è una protezione ineguagliabile contro gli exploit zero-day e altri tipi di attacchi.