Cos’è una Vulnerabilità Zero-Day?
Una vulnerabilità zero-day è un difetto di sicurezza del software che il fornitore o lo sviluppatore ha appena scoperto, quindi non hanno avuto tempo di creare o rilasciare una patch. Poiché non esiste ancora una soluzione, i criminali informatici possono sfruttare questi difetti per lanciare attacchi difficili da individuare e fermare.
Ad esempio, l’attacco ransomware WannaCry nel maggio 2017 ha dimostrato quanto possano essere dannose le vulnerabilità zero-day. Questo attacco mondiale ha colpito più di 200.000 computer in 150 paesi utilizzando un difetto di Windows prima che molte organizzazioni potessero aggiornare i loro sistemi.
Caratteristiche Chiave di un Zero Day
- Sconosciuto al Fornitore: Il creatore del software non è a conoscenza dell’esistenza del difetto fino a quando non si verifica un attacco o viene divulgato dai ricercatori.
- Nessuna Patch Disponibile: Non esiste un aggiornamento di sicurezza ufficiale o “correzione” al momento della scoperta.
- Alto Rischio: Gli strumenti antivirus regolari che utilizzano firme di minacce conosciute spesso non rilevano gli exploit zero-day perché queste minacce sono nuove e sconosciute.
- Minaccia Immediata: Gli attaccanti hanno un chiaro vantaggio fino a quando una patch non viene rilasciata e applicata.
Come Funziona un Attacco Zero-Day
Una minaccia zero-day di solito segue una cronologia chiamata ‘Finestra di Vulnerabilità.’
- Vulnerabilità Introdotta: Un sviluppatore scrive inavvertitamente del codice contenente un difetto di sicurezza (ad esempio, un overflow del buffer o una lacuna di iniezione SQL).
- Sfruttamento Creato: Un attaccante trova il difetto prima che il fornitore o i ricercatori di sicurezza lo notino. Quindi creano un ‘Zero Day Exploit’, che è un codice fatto per sfruttare questa debolezza.
- Attacco Lanciato: L’attaccante utilizza un ‘Zero Day Attack’ su determinati obiettivi o persino su internet. A questo punto, le scansioni di sicurezza standard spesso non riescono a rilevare l’attacco.
- Scoperta e Divulgazione: Il fornitore alla fine apprende del difetto, sia tramite un programma di ricompensa, un ricercatore di sicurezza, o rilevando un attacco attivo.
- Patch Rilasciata: Il fornitore sviluppa e distribuisce un aggiornamento di sicurezza. Una volta che la patch è disponibile, il difetto non è più un “zero day” ma diventa una “vulnerabilità conosciuta” (spesso assegnata un numero CVE).
Perché le Vulnerabilità Zero-Day Sono Importanti nella Sicurezza Informatica
Le vulnerabilità zero-day sono tra i rischi più seri per le organizzazioni perché superano la principale difesa, che è la gestione delle patch.
- Elusione delle difese: Poiché gli strumenti di sicurezza legacy si basano su database di minacce conosciute, gli attacchi zero-day possono passare attraverso firewall e protezioni degli endpoint inosservati.
- Alto valore: Questi exploit sono molto preziosi nel dark web. Gli hacker di stati nazionali e i gruppi di minacce persistenti avanzate (APT) spesso li conservano per usarli contro obiettivi importanti come infrastrutture critiche o reti governative.
- Impatto operativo: Risolvere un zero-day spesso significa tempi di inattività di emergenza, utilizzare soluzioni manuali o addirittura disattivare i sistemi fino a quando una patch non è pronta.
Zero Day vs. Vulnerabilità Conosciute
| Caratteristica | Vulnerabilità Zero Day | Vulnerabilità Conosciuta (N-Day) |
|---|---|---|
| Stato | Sconosciuto al venditore/pubblico | Divulgato pubblicamente |
| Disponibilità della Patch | Nessuna | Esiste una patch (ma potrebbe non essere applicata) |
| Rilevamento | Difficile (richiede analisi comportamentale) | Facile (rilevamento basato su firma) |
| Livello di Rischio | Critico / Grave | Variabile (dipende dallo stato della patch) |
Termini Correlati
- Exploit Prediction Scoring System (EPSS)
- Common Vulnerabilities and Exposures (CVE)
- Static Application Security Testing (SAST)
- Dynamic Application Security Testing (DAST)
FAQ: Vulnerabilità Zero-Day
Q: Qual è la differenza tra una vulnerabilità zero-day e un exploit zero-day?
La vulnerabilità è un difetto nel codice software stesso. L’exploit è il codice effettivo o la tecnica che gli attaccanti usano per sfruttare un difetto e violare un sistema.
Q: Come posso proteggermi dagli attacchi zero-day se non esiste una patch?
Poiché non puoi correggere ciò che non conosci, la protezione dipende dall’uso di più livelli di difesa:
- Usa Web Application Firewalls (WAF) per bloccare modelli di traffico sospetti.
- Implementa Runtime Application Self-Protection (RASP).
- Utilizza analisi comportamentale piuttosto che solo rilevamento basato su firme.
- Mantieni un rigoroso piano di risposta agli incidenti per reagire rapidamente una volta che una vulnerabilità zero-day viene divulgata.
Q: Il software antivirus può rilevare attacchi zero-day?
Il software antivirus tradizionale che utilizza solo ‘firme’ (che sono come impronte digitali di malware noti) non può rilevare minacce zero-day. Tuttavia, i moderni strumenti di Endpoint Detection and Response (EDR) che utilizzano l’IA e monitorano comportamenti insoliti possono spesso individuare attacchi zero-day, come la crittografia inaspettata di file o trasferimenti di dati non autorizzati.