48271479392
Blog AVG Signal Protezione Minacce Attacchi zero-day: tutto quello che c'è da sapere

Scritto da Oliver Buxton
Pubblicato il giorno December 18, 2020

Che cos'è un attacco zero-day?

Gli attacchi zero-day, noti anche come exploit zero-day, sono tentativi riusciti da parte dei criminali informatici di trovare e sfruttare vulnerabilità del software fino a quel momento sconosciute. Sfortunatamente, in tutto il software sono presenti punti deboli che offrono backdoor sfruttabili dagli hacker per inserire malware o violare i dati. Gli attacchi che sfruttano vulnerabilità precedentemente sconosciute dagli ingegneri software sono chiamati attacchi "zero day" proprio perché gli sviluppatori hanno avuto a disposizione zero giorni per risolvere il problema prima dell'attacco.

Questo articolo contiene:

    Sebbene la definizione di attacco zero-day possa suonare minacciosa, questo tipo di attacchi non varia molto tecnicamente da altri attacchi malware comuni. Gli exploit zero-day sono comunque particolarmente difficili da rilevare ed è complicato difendersi, semplicemente perché la vulnerabilità presa di mira è sconosciuta al momento dell'attacco per gli ingegneri che hanno scritto il codice. Ecco perché gli hacker cercano e sfruttano opportunità di exploit zero-day.

    Cosa è una vulnerabilità del software?

    Le vulnerabilità del software sono difetti nella progettazione di un particolare programma, software o sistema operativo che offrono ai criminali informatici l'opportunità di attaccare un dispositivo o una rete. Non appena viene individuata una vulnerabilità, gli sviluppatori si affrettano a risolvere il problema tramite un aggiornamento del software noto come patch, che chiude le porte a questa opportunità. Idealmente, gli sviluppatori hanno la possibilità di applicare patch prima che gli hacker individuino il punto debole e riescano a sfruttarlo.

    Non tutti i difetti del software possono essere sfruttati, ma quando un hacker riesce a identificarne uno ancora sconosciuto agli sviluppatori, la vulnerabilità diventa una minaccia zero-day.

    È in corso una lotta quasi continua tra gli sviluppatori che tentano di ridurre al minimo le vulnerabilità e i criminali informatici che cercano di sfruttare nuovi difetti e punti deboli. Anche se le vulnerabilità del software non possono essere completamente evitate, un software antivirus affidabile può rilevare le minacce in tempo reale e attivare misure di difesa, offrendo una protezione potente da qualsiasi potenziale exploit, anche un attacco zero-day che tenta di compromettere il sistema con l'inserimento di malware.

    In che modo gli hacker identificano le vulnerabilità?

    Nel momento in cui viene rilasciato un nuovo programma o un aggiornamento del software, puoi stare certo che gli hacker dedicheranno tutto il tempo possibile a trovare punti deboli a livello di sicurezza o progettazione che possano essere resi vulnerabili agli exploit. Col passare del tempo diminuisce la probabilità di trovare un difetto che non sia stato già scoperto, così come il tempo a disposizione degli hacker per attuare effettivamente un exploit prima che gli sviluppatori rilascino una patch per chiudere le porte.

    I criminali informatici cercano attivamente difetti nel codice del computer sfruttando strumenti software, come gli analizzatori statici automatizzati, che possono determinare se, come e perché una particolare parte di codice si comporta in modo imprevisto. Non tutti i difetti del software possono essere sfruttati, ma quando un hacker riesce a identificarne uno ancora sconosciuto agli sviluppatori del software, la vulnerabilità diventa una minaccia zero-day.

    Non tutte le vulnerabilità del software possono essere sfruttate.Non tutte le vulnerabilità del software possono essere sfruttate: per alcune l'attacco potrebbe essere piuttosto semplice, come nel caso della finestra al centro, mentre per altre potrebbe essere troppo difficile, come per la finestra a destra.

    Gli hacker si concentrano sulla ricerca di vulnerabilità sfruttabili all'interno di programmi, browser Web e sistemi operativi diffusi, allo scopo di colpire il maggior numero possibile di utenti prima che venga pubblicata una patch per risolvere il problema sottostante. Una tecnica comune per sfruttare una vulnerabilità di un browser Web, ad esempio, prevede l'uso di metodi basati su phishing via email per attirare i destinatari a visitare inconsapevolmente siti Web compromessi. Gli hacker ricorrono anche a tecniche di phishing per indurre le persone a scaricare documenti compromessi che contengono vulnerabilità zero-day.

    Come si possono rilevare gli attacchi zero-day?

    L'unico modo infallibile per rilevare e difendersi da un exploit zero-day è quando gli sviluppatori stessi riescono a scoprire e risolvere la vulnerabilità del software prima che gli hacker abbiano la possibilità di sfruttarla. Per definizione, quando viene sfruttata una vulnerabilità precedentemente sconosciuta e attuato un attacco zero-day, è già troppo tardi. Per questo motivo, gli sviluppatori dedicano molto tempo e molte risorse alla ricerca delle vulnerabilità e alla loro correzione immediata, evitando così gli attacchi zero-day alla fonte.

    Quando viene sfruttata una vulnerabilità precedentemente sconosciuta e attuato un attacco zero-day, è già troppo tardi.

    Anche dopo la consegna dei loro payload, in genere una qualche forma di malware, gli attacchi zero-day continuano spesso a operare dietro le quinte fino a quando i sintomi dell'infezione non diventano evidenti. Ciò è particolarmente vero per i dispositivi e le reti che si basano su software antivirus passivo "basato sulla firma" in grado di trovare e contrastare solo minacce consolidate (o note). 

    Serve software di rilevamento antivirus "basato su euristica" più sofisticato, come quello usato da AVG AntiVirus Free, per identificare in tempo reale il malware zero-day più recente e pericoloso e difendersi esaminando i file per individuare caratteristiche o modelli sospetti.

    Una volta rilevato un attacco zero-day, i team dedicati alla sicurezza e gli sviluppatori dovranno affrontare una corsa contro il tempo per ridurre al minimo i danni. I team dedicati alla sicurezza informatica devono affrettarsi per garantire di scoprire come rimuovere il malware e aggiornare il software per includere la nuova firma. In modo analogo, gli sviluppatori di software dovranno affannarsi a creare patch per il codice e prevenire ulteriori exploit. Più tempestivi saranno questi interventi, maggiori saranno le probabilità di riuscire a gestire l'impatto complessivo dell'attacco, perché meno saranno le persone esposte.

    Perché gli attacchi zero-day sono così pericolosi?

    Gli attacchi zero-day sono violazioni della sicurezza particolarmente pericolose proprio perché la loro estensione è sconosciuta. In risposta a un attacco, uno sviluppatore di software può creare una patch, che però non è di alcun aiuto per gli utenti già colpiti. Considerato poi che gli attacchi zero-day di solito prendono di mira il software subito dopo il rilascio, può trascorrere del tempo fino a quando non viene resa disponibile una nuova patch per correggere la vulnerabilità, lasciando gli utenti finali pericolosamente esposti.

    A peggiorare le cose, molti sistemi antivirus tradizionali utilizzano strumenti di rilevamento delle minacce che si basano sul trovare una corrispondenza tra firme rivelatrici e attacchi informatici noti. Poiché gli attacchi zero-day sfruttano vulnerabilità precedentemente sconosciute (e forse malware non ancora noto), non solo possono rimanere inosservati per lunghi periodi di tempo, ma è anche molto più difficile difendersi.

    Questo è un altro motivo per cui è così importante mantenere aggiornato il software antivirus. Il tipo di scansione euristica avanzata adottata dai migliori programmi antivirus può identificare e proteggere da minacce precedentemente sconosciute man mano che emergono, offrendo una potente difesa anche dagli attacchi zero-day.

    Grazie alle funzionalità di rilevamento delle minacce all'avanguardia e costantemente aggiornate, AVG AntiVirus Free offre una sicurezza avanzata per l'intera gamma di potenziali vettori di attacchi zero-day.

    Gli attacchi zero-day sono comuni?

    Considerate le difficoltà di rilevamento e difesa, non sorprende che gli exploit zero-day siano cresciuti fino a diventare uno dei metodi più popolari scelti dagli hacker. In effetti, alcune delle più gravi violazioni della sicurezza informatica a livello globale sono stati attacchi zero-day e studi recenti stimano che circa il 30% di tutti gli attacchi malware prende di mira vulnerabilità zero-day.

    Poiché viene scoperta solo una piccola minoranza di vulnerabilità sfruttabili, questo settore rappresenta chiaramente ancora un'area importante di crescita potenziale per la criminalità informatica. Basta osservare alcuni degli attacchi zero-day più recenti per rendersi conto che è improbabile che questo tipo di minaccia sia destinata a scomparire presto.

    I più noti attacchi zero-day

    Probabilmente l'attacco zero-day più famigerato è stato quello che ha fatto tremare Sony Pictures nel 2014. L'esatta vulnerabilità che ha permesso agli hacker di penetrare nel sistema di sicurezza della società e attuare un exploit è ancora avvolta nella segretezza. Ma il gruppo di hacker ha ottenuto un accesso quasi completo alla rete di Sony e non è stato rilevato per diversi mesi, prima di causare la perdita di un vero tesoro di dati riservati, tra cui informazioni personali dei dipendenti, email interne, dati finanziari e sceneggiature cinematografiche inedite.

    Per finire, il gruppo ha poi distribuito malware per cancellare i dischi rigidi dell'azienda e paralizzarne l'infrastruttura di rete. L'attacco a Sony è un esempio sconvolgente dei possibili effetti degli attacchi zero-day e del motivo per cui sono così pericolosi. Anche se prendono di mira reti presumibilmente sicure, gli exploit zero-day possono rimanere inosservati molto tempo dopo l'attacco.

    La maggior parte degli attacchi zero-day attira molta meno attenzione, ma può essere altrettanto devastante. Il recente exploit CVE-2019-0797 che ha compromesso l'onnipresente sistema operativo Windows di Microsoft nel 2019 è un esempio tipico del costante gioco al gatto e al topo che coinvolge criminali informatici e sviluppatori.

    La vulnerabilità Microsoft è stata rapidamente scoperta dai professionisti della sicurezza informatica, ma non prima che gli hacker riuscissero a usarla per ottenere il controllo completo di PC in tutto il mondo. Microsoft ha rilasciato una patch nel giro di poche settimane, ma la vulnerabilità è rimasta un rischio notevole per gli utenti che non hanno aggiornato tempestivamente il software. 

    Nel frattempo, subito dopo il rilascio della patch, gli hacker hanno rivolto la loro attenzione a trovare falle anche nel nuovo software, con un conseguente ulteriore attacco zero-day su Windows pochi mesi dopo.

    Come proteggersi dagli attacchi zero-day

    Nonostante l'ovvio pericolo rappresentato dagli attacchi zero-day, esistono per fortuna varie misure che puoi adottare per ridurre al minimo la minaccia.

    La difesa più semplice e immediata contro gli attacchi zero-day è mantenere i programmi, i sistemi operativi e i driver completamente aggiornati. Le patch zero-day sono il modo più efficace per neutralizzare le minacce causate dalle vulnerabilità, ma sono efficaci solo se usi effettivamente la versione più recente del software. Ogni minuto di ritardo per gli aggiornamenti ti mette inutilmente a rischio per vulnerabilità che gli sviluppatori hanno già identificato e risolto.

    Ma indipendentemente dalla frequenza con cui aggiorni il tuo software per proteggerti da minacce note, emergeranno sempre minacce nuove e sconosciute ed è impossibile impedire completamente gli attacchi zero-day. In presenza di attacchi informatici, l'obiettivo dovrebbe essere invece quello di mantenere la maggiore sicurezza possibile. Ecco perché l'uso di uno strumento di sicurezza informatica completo è così importante: ti offre le migliori possibilità di rilevare e rimuovere una minaccia prima che comprometta la tua sicurezza.

    AVG AntiVirus Free non solo si aggiorna automaticamente man mano che vengono identificate nuove minacce, ma si avvale anche di metodi di rilevamento euristico all'avanguardia per bloccare e rimuovere anche virus sconosciuti. Con AVG AntiVirus Free puoi esplorare il Web comodamente e in tutta sicurezza, sapendo che i tuoi dispositivi sono sempre completamente protetti anche dalle minacce più recenti.

    Proteggi il tuo dispositivo Android dalle minacce con AVG AntiVirus

    Installazione gratuita

    Proteggi il tuo iPhone dalle minacce con AVG Mobile Security

    Installazione gratuita
    Minacce
    Protezione
    Oliver Buxton
    18-12-2020