Uma exploração de dia zero é um ataque que tira proveito de uma vulnerabilidade de segurança praticamente desconhecida.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Cross-site scripting
O que é estouro de buffer?
O que é injeção de SQL?
O que é um ataque de engenharia social?
O que é Meltdown/Spectre?
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Uma exploração de dia zero (também chamada de ameaça de dia zero) é um ataque que tira proveito de uma vulnerabilidade de segurança que não possui uma correção. É referido como uma ameaça de "dia zero" porque uma vez que a falha é descoberta, o desenvolvedor ou a organização tem "zero dia" para encontrar uma solução.
Uma vulnerabilidade é uma falha involuntária de software ou hardware decorrente de um erro de programação ou de uma configuração inadequada. Como as vulnerabilidades não são intencionais, são difíceis de detectar e podem passar despercebidas por dias, meses ou às vezes até anos.
Quando os invasores identificam uma vulnerabilidade anteriormente desconhecida, eles escrevem um código para direcionar essa vulnerabilidade específica e envolvê-la em um malware. O código, quando executado, pode comprometer um sistema.
Existem várias maneiras de um invasor explorar vulnerabilidades zero-day. Uma tática comum é distribuir malware por meio de e-mails de phishing que contenham anexos ou links que tenham as explorações incorporadas a eles. Essas cargas maliciosas são executadas quando um usuário interage com o anexo ou link.
Um famoso ataque de dia zero envolveu a Sony Pictures Entertainment em 2014, quando informações confidenciais, como cópias de filmes inéditos, comunicações por e-mail entre os principais funcionários e planos de negócios, foram divulgadas ao público. Os invasores usaram uma exploração de dia zero para obter essas informações.
As explorações de dia zero podem afetar negativamente um negócio de várias maneiras. Além de perder dados valiosos ou confidenciais, os clientes podem perder a confiança na empresa e a empresa pode ter que desviar valiosos recursos de engenharia para corrigir a falha.
Por definição, as ameaças de dia zero são difíceis de detectar. Várias estratégias foram desenvolvidas para ajudar a tornar a detecção mais fácil:
Embora nenhuma abordagem possa evitar completamente que as vulnerabilidades apareçam no código, várias táticas e ferramentas podem minimizar seus riscos. Duas das tecnologias mais importantes para interromper explorações de vulnerabilidades são isolamento do navegador e firewalls.
Atividades de navegação, como abrir um anexo de e-mail ou preencher um formulário, requerem interação com código de fontes não confiáveis, permitindo que invasores explorem vulnerabilidades. O isolamento do navegador mantém a atividade de navegação separada dos dispositivos do usuário final e das redes corporativas, para que códigos possivelmente maliciosos não sejam executados no dispositivo do usuário. O isolamento do navegador pode ser feito de três maneiras:
Um firewall é um sistema de segurança que monitora o tráfego de entrada e saída com base em políticas de segurança predefinidas. Os firewalls ficam entre redes confiáveis e não confiáveis (na maioria das vezes a internet) para proteger contra ameaças, bloquear o acesso de conteúdo malicioso a uma rede confiável e evitar que informações confidenciais saiam da rede. Eles podem ser incorporados em hardware, software ou uma combinação de ambos. Ao monitorar o tráfego, um firewall pode bloquear o tráfego que pode ter como alvo uma vulnerabilidade de segurança, levando a uma exploração de dia zero.
Isolamento do navegador remoto: a solução de isolamento do navegador remoto da Cloudflare realiza a atividade de navegação de um usuário em um ambiente de nuvem supervisionado por meio de sandbox. Como a atividade de navegação é isolada dos dispositivos finais dos usuários, esses dispositivos são protegidos contra vulnerabilidades, como ameaças de dia zero.
(Firewall de aplicativos web (WAF): o Cloudflare WAF usa inteligência contra ameaças e aprendizado de máquina para bloquear automaticamente ameaças emergentes em tempo real. A inteligência contra ameaças se baseia na rede global da Cloudflare , que processa 81 milhões de solicitações HTTP por segundo no pico. O resultado é uma proteção incomparável contra explorações zero-day e outros ataques.