O que é uma vulnerabilidade Zero-day?
Uma vulnerabilidade zero-day é uma falha em um software que pode potencialmente ser utilizada de diversas maneiras e não são conhecida pela fabricante do software. O termo “Ataque Zero-day” se refere a vulnerabilidade que está sendo explorada e é desconhecida pela fabricante do software, deixando a fabricante com “zero dias” para arrumá-la.
Uma vulnerabilidade zero-day é considerada o maior método de infecção já que é menos provável que ela ative um aviso do sistema de segurança operante e é menos dependente da falta de cuidado do usuário. Outros vetores de ataque como phishing requer a interação, seja um download de anexo no e-mail ou clicar em um link. Por outro lado, uma exploração de zero-day pode potencialmente utilizar do sistema operacional ou falha de software para infectar a máquina alvo.
Vulnerabilidades Zero-day privadas só são conhecidas por quem as descobriu e com quem ela foi compartilhada. Elas tendem a ser feitas por grupos de elite de espionagem cibernética. Apesar de serem um grande risco a segurança, eles não costumam ser espalhados pois os donos preferem mantê-los a deixarem eles serem descobertos.
Quando um ataque de Zero-day é descoberto publicamente, seja por um vazamento, por publicação de pesquisadores de segurança ou por divulgação, ela não é mais privada. Entretanto, uma nova vulnerabilidade de zero-day ainda pode ser uma ameaça e em diversos casos representa mais risco do que uma privada. Uma vez exposta, mesmo que já seja corrigida pelo fabricante, uma corrida contra o relógio começa entre atacantes explorações para a vulnerabilidade enquanto os usuários da fabricante alvo precisam aplicar a solução. Essa janela de tempo deixa uma abertura para os atacantes abusarem da vulnerabilidade enquanto ela está ativa. Essa situação é conhecida como Ataque One-day ou ataque N-day.
A corrida contra o relógio
Uma das causas mais famosas de uma vulnerabilidade zero-day sendo explorada é o caso da EternalBlue. Os Shadow Brokers, um grupo de ameaça conhecido por vazar ferramentas de hacking e da Agencia de segurança nacional americana (NSA) vazou em abril de 2017 uma exploração para uma vulnerabilidade no Microsoft Server Message Block protocol (CVE-2017-0144). A vulnerabilidade é explorada enviando pacotes criados para uma máquina virtual, que resultará no atacante usando código arbitrário remotamente no sistema comprometido.
As consequências desse vazamento foram as grandes campanhas de ransomware de maio a agosto de 2017, que incluíram malwares como o WannaCry, Petya, NotPetya e muitos outros. Mesmo com a vulnerabilidade que foi abusada vazada pela EternalBlue sendo atualizada com patch um mês antes do vazamento, ainda foi por causa dela que boa parte dessas campanhas de malware se proliferaram, por conta de uma grande quantidade de máquinas ao redor do mundo que se mantiveram desatualizadas.
Um exemplo mais recente ocorreu em agosto de 2020, quando a Microsoft lançou um patch para uma vulnerabilidade severa do Netlogon Remoto Protocol (MS-NRPC), descoberta e publicada pela companhia de segurança alemã Secura.
A vulnerabilidade conhecida como Zerologon (CVE-2020-1472) permite que um atacante não autenticado acesso o domínio da conta de administrador. Devido a uma falha no protocolo de autenticação, o envio de solicitações de autenticação elaboradas para o atacante fará com que o invasor obtenha controle total sobre um ambiente.
Dois meses após o lançamento do patch e um mês após os pesquisadores da Secura publicarem detalhes técnicos da vulnerabilidade, o Ryuk Ransomware entrou em ação explorando o Zerologon em uma grande campanha, alvejando sistemas não atualizados em massa.
Relacionados:
Por que combinar o gerenciamento de patch, vulnerabilidade?
Guia: Construindo uma estratégia para patch
Como se defender contra ataques de Zero-day
Se defender contra ataques de zero-day e N-day requer um método de alerta ágil que inclui:
- Uma política de múltiplas camadas de segurança cibernética. Se defender contra ataques de zero-day requer controlar cada aspecto da sua rede com ferramentas atualizadas, como firewalls e softwares de antivírus next-gen, proteção de endpoint, autenticação e gerenciamento de identidade, auditorias e mais importante, patch de software. Ao desenvolver suas múltiplas camadas, mantenha o foco na prevenção. Além do fato de ser muito mais barato prevenir ataques do que reagir a eles, os seus sistemas se mantém limpos e dá as ferramentas de auditoria uma chance de lutar contra as últimas ameaças que aparecerem.
- Boa higiene cibernética. Treinar funcionários para a preocupação de segurança cibernética em todos os ranques da organização é uma necessidade. Todos os funcionários devem saber o que estar atento em uma comunicação por e-mail e onde endereçar links e anexos suspeitos. Isso, junto de uma política de planejamento de patching de software pode prevenir que os atacantes saiam a frente e iniciem uma infecção.
Ataques de Zero-day, apesar de incomum, podem potencialmente ter consequências destrutivas em uma organização. Ataques de N-day exploram vulnerabilidades conhecidas muito mais comuns e apesar delas poderem causar dano severo, são muito mais fáceis de se defender contra. Se manter atualizados com as atualizações recentes e notícias de segurança cibernética e manter sistemas vulneráveis constantemente atualizados, as companhias podem amplificar sua proteção contra ataques de zero-day



