Zero Day Exploit: Cos’è e Come Proteggersi

Data di pubblicazione: 3 Aprile 2023

I dipartimenti IT sono costantemente impegnati nella lotta contro gli attacchi informatici. Le imprese hanno l’obiettivo e la responsabilità di proteggere l’organizzazione e i dati da qualsiasi evento negativo. Dati riservati, clienti e dipendenti devono essere protetti mediante una strategia efficace, che include anche e soprattutto un impegno dal punto di vista informatico.

Ma ogni tipo di software o di tecnologia può presentare delle vulnerabilità. La più complicata da proteggere è la vulnerabilità zero day. Questi difetti, o “buchi” nei programmi software, possono essere sfruttati da un criminal hacker per sferrare uno zero day attack.

I programmatori stessi dei software sono continuamente alla ricerca di queste vulnerabilità e, quando le individuano, rilasciano una patch in grado di correggerle. Infine, inviano una patch con una release nuova del software: un processo che richiede tempo.

Se un criminal hacker individua una vulnerabilità, può sferrare un attacco zero day: i programmatori, a questo punto, hanno zero giorni per trovare una soluzione.

Indice dei contenuti

Cosa significa Zero Day Exploit?

Un malware zero day sfrutta i difetti e i buchi presenti nei software, difetti non conosciuti dai programmatori e quindi non protetti adeguatamente. Questo malware è molto pericoloso, in quanto difficilmente riconoscibile. È anche piuttosto complicato riuscire a proteggere software e sistemi dal malware zero day. Tutto questo trasforma uno zero day attack in una seria e grave minaccia per la sicurezza informatica delle imprese di tutto il mondo.

Occorre fare una precisazione. Al termine zero day vengono associate alcune parole, che hanno però significati differenti:

vulnerabilità zero day: trattasi della vulnerabilità di un software, che può essere scoperta prima o dopo che si verifica un attacco. Spesso il fornitore non ne è a conoscenza, pertanto non vi sono patch di protezione. In questo caso, un possibile attacco zero day potrebbe avere facilmente successo;
zero day exploit: trattasi del metodo scelto dagli hacker per sferrare un attacco. Generalmente, la vulnerabilità del sistema non viene rilevata prima che si verifichi un attacco;
zero day attack: ovvero, quando uno zero day exploit viene utilizzato con successo per attaccare un sistema, con l’obiettivo di trafugare dati o provocare danni.

Il cyber criminale ha un vantaggio in termini di tempo rispetto ai programmatori, nonostante essi abbiano individuato la vulnerabilità. L’hacker crea gli zero day exploit, ovvero i codici di attacco, prima che il programmatore riesca a individuare la falla nel sistema. Gli zero day exploit rappresentano il mezzo attraverso cui l’hacker sferra gli attacchi al sistema e alla cybersecurity aziendale.

L’obiettivo di un attacco

Uno zero day attack ha generalmente come obiettivo quello di generare profitti mediante la contaminazione dei dati e del software aziendale. Gli attacchi creano non pochi disagi all’azienda, minando la cybersecurity e rappresentano una minaccia piuttosto seria. Gli hacker che utilizzano gli zero day attack possono avere diverse finalità:

attivisti. Si tratta di hacker che sferrano attacchi con una finalità di stampo sociale o politico. In genere, questo hacker agisce apertamente con l’obiettivo di attirare maggiore attenzione su una tematica;
cybercriminali. Questi hacker attaccano software e sistemi per ottenere un guadagno di tipo economico;
cyber warfare. Trattasi di attacchi molto complessi, sferrati da agenti politici o nazioni contro infrastrutture informatiche di altre nazioni;
spionaggio industriale. In questo caso, gli hacker spiano e attaccano le aziende con la finalità di trafugare informazioni o dati rilevanti.

Gli zero day exploit possono sfruttare le vulnerabilità dei sistemi per far sì che l’attacco vada a buon fine. I sistemi che possono subire uno zero day attack sono:

hardware e firmware;
sistemi operativi;
componenti open-source;
internet of things (IoT);
browser web;
applicazioni Office.

Pertanto, non solo le aziende e le organizzazioni di qualsiasi tipo e dimensione, ma anche i singoli utenti, le agenzie organizzative e le nazioni possono subire uno zero day attack.

Come viene condotto un attacco Zero Day

I criminali, una volta individuata la vulnerabilità, scrivono e implementano un codice per sfruttarne le criticità. Questo codice, o zero day exploit, permette al criminale di perpetrare uno zero day attack. Per poter condurre un attacco, il criminale deve riuscire a raggiungere la vulnerabilità del sistema.

Spesso la tecnica utilizzata dagli hacker è quella dell’ingegneria sociale: attraverso un messaggio o una e-mail fraudolenta, il criminale convince l’utente a effettuare il download del malware. Quest’ultimo si insinua nell’infrastruttura e la danneggia profondamente.

Gli zero day exploit possono essere acquistati sul dark web, per cui un criminale può reperire questi codici malevoli con relativa semplicità. Una volta individuato lo zero day exploit occorre correggerlo: solo così non potrà più costituire una minaccia.

Uno zero day attack è particolarmente insidioso proprio perché gli hacker, troppo spesso, sono gli unici a sapere che è in atto un attacco. Una volta insinuato il malware nel sistema, l’hacker potrebbe sferrare subito l’attacco oppure rimanere silente fino a quando gli conviene.

Gli autori del software, una volta individuata la vulnerabilità e quando l’attacco viene scoperto, hanno l’obiettivo di creare e rilasciare una patch zero day. Ma potrebbero trascorrere giorni, settimane o addirittura mesi.

Come capire se si è sotto attacco

Non è affatto semplice capire che il sistema è stato attaccato da un malware zero day. Quest’ultimo potrebbe generare vulnerabilità di diversa natura: violazione di algoritmi, problemi con la sicurezza delle password, bug, assenza di autorizzazioni e di criptaggio dei dati.

È possibile ottenere maggiori informazioni sugli zero day exploit solo dopo che questi codici malevoli sono stati individuati. Le tecniche più comuni e diffuse per rilevare uno zero day attack sono:

ricerca del malware sulla base delle interazioni con il sistema attaccato. Vengono analizzate le interazioni con il software piuttosto che i soli codici dei file in ingresso, in modo da individuare eventuali anomalie, che potrebbero testimoniare l’avvenuto attacco;
utilizzare database informatici contenenti le tipologie di malware e il loro comportamento. Questi strumenti, pur essendo in continuo aggiornamento, rappresentano una risorsa limitata in quanto gli zero day exploit sono, in genere, sconosciuti e di nuova scrittura;
il machine learning, utilizzato per la rilevazione delle informazioni dagli exploit preesistenti. In questo modo, si può stabilire un parametro indicativo del comportamento del sistema quando è sano. Il rilevamento di un comportamento sospetto avviene quando si hanno sufficienti parametri di valutazione (di qualità).

Un’alternativa per la quale molte aziende propendono è la combinazione di differenti sistemi di rilevamento. In questo modo, è più semplice e probabile individuare uno zero day attack.

Come proteggersi

Garantire un buon livello di protezione al sistema significa seguire le best practice di cybersecurity. Non esiste, infatti, un metodo unico per proteggersi in maniera certa da uno zero day attack. Questo genere di minaccia non è da sottovalutare ed è bene fronteggiarla seguendo alcuni comportamenti:

usare le applicazioni essenziali. L’uso di un numero limitato di software riduce la probabilità di un attacco. Più software si utilizzano, più potenziali vulnerabilità ci saranno;
mantenere aggiornati i sistemi operativi e i software. I fornitori rilasciano costantemente nuove patch di sicurezza proprio per proteggere i sistemi, una volta riscontrate le vulnerabilità. Aggiornare i software e i sistemi consente di usufruire di un livello di protezione maggiore;
utilizzare un firewall. Il firewall ha una funzione protettiva fondamentale, soprattutto contro le minacce zero day. Occorre configurare il firewall e consentire solo le transazioni strettamente necessarie;
fornire assistenza e informazioni agli utenti. Nella maggior parte dei casi, formare i propri dipendenti è essenziale per evitare errori o falle che potrebbero aprire le porte a uno zero day attack. Occorre, quindi, insegnare a tutti gli utenti a seguire le abitudini di sicurezza, in grado di proteggere sia il singolo utente che l’intera organizzazione dalle minacce online. In questo modo si potrà avere maggiore consapevolezza e controllo riguardo i possibili zero day exploit;
scegliere un software antivirus completo e performante. Esistono centinaia di software in grado di rispondere, con relativa efficacia, alla minaccia di attacco zero day.

Alcuni celebri esempi

Negli ultimi anni, la minaccia di zero day attack si è trasformata in realtà (talvolta disastrosa) per diverse aziende nel mondo. I casi studio che permettono di analizzare gli scenari conseguenti a uno zero day attack coinvolgono brand noti in ogni angolo del mondo. Nessuna organizzazione è abbastanza al sicuro da uno zero day exploit, come confermano le evidenze.

In particolare, segnaliamo alcuni esempi tra i più celebri e conosciuti del mondo:

Microsoft Windows. Nel 2019 uno zero day attack ha minacciato la sicurezza di questo gigante della tecnologia, nell’area dell’Europa orientale. L’attacco ha interessato una parte vulnerabile di Microsoft Windows, diretto alle istituzioni governative dell’Europa orientale.

Questo attacco si è tradotto in una escalation dei privilegi locali. In questo caso lo zero day exploit ha sfruttato la vulnerabilità dei privilegi locali Microsoft Windows per eseguire un codice fraudolento, installando applicazioni, visualizzando e modificando i dati nelle applicazioni attaccate. L’attacco, una volta identificato, è stato contrastato da Microsoft Security Response Center mediante lo sviluppo e l’implementazione di una nuova patch;

Zoom. Nel 2020 è stata rilevata una falla piuttosto importante nella piattaforma Zoom. Questa piattaforma, utilizzata da milioni di utenti nel mondo, ha subito uno zero day attack dalle conseguenze importanti.

Gli hacker avevano accesso da remoto al PC degli utenti che utilizzavano l’applicazione eseguendo una versione non recente di Windows. In questo caso, gli hacker potevano prendere il controllo completo del PC, soprattutto quando ad essere attaccato era il profilo Amministratore, avendo libero accesso a tutti i file presenti nel dispositivo;

Apple iOS. Nel 2020 iOS di Apple, la più sicura delle piattaforme smartphone del mondo, è stata vittima di due set di vulnerabilità zero day. Gli hacker hanno avuto l’opportunità di compromettere gli iPhone di milioni di utenti, da remoto;

Chrome. Chrome di Google ha subito diverse minacce zero day. Nel 2021 sono stati rilasciati degli aggiornamenti per Chrome tesi a sopperire a una vulnerabilità riscontrata nel motore JavaScript V8. Questa falla, individuata e sanata mediante specifici aggiornamenti, avrebbe potuto avere effetti potenzialmente disastrosi per il browser web;

Stuxnet. Trattasi di uno degli esempi di zero day attack più famosi al mondo. L’attacco, individuato per la prima volta nel 2010 ma risalente almeno al 2005, interessava i computer destinati alla produzione. Questi PC eseguivano software PLC (Programmable Logic Controller), non sapendo di essere stati attaccati da un worm informatico. In questo caso, gli obiettivi dello zero day attack erano gli impianti di arricchimento dell’uranio in Iran: gli hacker desideravano, così, fermare il programma nucleare del paese. Gli hacker hanno sfruttato la vulnerabilità del software Siemens Step7, infettando i PLC con un worm che costringeva i macchinari e la catena di montaggio a eseguire comandi fraudolenti. Dall’esperienza di Stuxnet è nato un documentario intitolato “Zero Days”.

Vulnerabilità e attacchi informatici

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.