Saiba mais sobre os perigos da exploração de dia zero, uma das maiores ameaças para a segurança cibernética
Uma exploração de dia zero é um ataque cibernético direcionado a uma vulnerabilidade de software desconhecida ou de um antivírus designado para proteger o sistema.
Os invasores podem identificar essas vulnerabilidades de dia zero, projetar uma exploração e usá-la para lançar um ataque. Esse tipo de ataque tem grande probabilidade de dar certo, pois ainda não há defesa contra a nova ameaça.
Isso transforma ataques de dia zero em ameaças de segurança significativas.
Normalmente, esses ataques acontem por meio de navegadores e anexos de e-mail para explorar vulnerabilidades no aplicativo que abre o anexo. Assim que o malware de dia zero entra no sistema, ele pode se espalhar rapidamente por todas as áreas-alvo.
As vulnerabilidades de dia zero vêm em muitas formas. Os invasores podem aproveitar algoritmos quebrados, segurança de senha ruim, um firewall de aplicativo da Web com defeito, autorizações ausentes, componentes de código aberto desprotegidos e muito mais.
Se o ataque for bem-sucedido, ele pode comprometer o software na rede de destino, roubar informações confidenciais, manter dados em resgate por grandes somas, tentar roubar identidade, corromper o sistema operacional da empresa e muito mais.
Alvos típicos para explorações de dia zero
As vulnerabilidades de dia zero são valiosas para várias partes. É por isso que existe um mercado onde as organizações contratam pesquisadores para descobrir elas. Além desse tipo de mercado, há também os agentes mal-intencionados que podem negociar detalhes de vulnerabilidade de dia zero sem divulgação pública.
Os alvos típicos para explorações de dia zero são grandes organizações, agências governamentais, indivíduos com acesso crítico a arquivos (como propriedade intelectual), dispositivos de hardware, Internet das Coisas (IoT), firmware, usuários domésticos que usam um sistema vulnerável e muito mais.
Às vezes, as agências governamentais usam explorações de dia zero para atingir países, organizações ou indivíduos que ameaçam a segurança nacional.
O que são vulnerabilidades de dia zero?
Normalmente, quando um indivíduo (ou uma equipe de segurança) detecta um software com possíveis vulnerabilidades de segurança, ele alerta os fornecedores de software para que um patch possa ser emitido e corrigir a vulnerabilidade.
Com tempo suficiente, os desenvolvedores de software podem corrigir o problema e distribuir patches (ou atualizações de software) para que todos os usuários possam aplicá-los o mais rápido possível.
Se agentes mal-intencionados aprenderem sobre a vulnerabilidade, projetar uma exploração e lançar um ataque pode levar algum tempo. Enquanto isso, esperamos que o patch já esteja disponível e implantado.
Como funcionam esses ataques?
Os hackers podem ser os primeiros a descobrir um elo fraco no software. Como os fornecedores e as equipes de segurança ainda não sabem da vulnerabilidade, eles praticamente não têm tempo hábil para criar uma defesa contra esse ataque direcionado.
As empresas vulneráveis a tais explorações podem iniciar procedimentos de detecção precoce para proteger suas redes.
Pesquisadores de segurança dedicados geralmente tentam cooperar com fornecedores de software e geralmente concordam em reter detalhes de vulnerabilidade de dia zero por um período prolongado antes de publicá-los.
Uma vez que uma vulnerabilidade de dia zero é tornada pública, ela é chamada de vulnerabilidade “n-day” ou “one-day”.
Exemplos de ataques de dia zero
Abaixo estão vários exemplos de ataques de dia zero nos últimos anos.
StuxnetName
Um worm de computador malicioso visava vulnerabilidades de dia zero em sistemas de supervisão e aquisição de dados (SCADA), infiltrando-se primeiro nos sistemas operacionais Windows. O Stuxnet explorou quatro vulnerabilidades de dia zero do Windows para se espalhar por unidades USB corrompidas. Dessa forma, o worm infectou os sistemas Windows e SCADA sem iniciar um ataque à rede.
O Stuxnet atingiu computadores usados para gerenciar a manufatura no Irã, Índia e Indonésia. Supõe-se que o alvo principal sejam as usinas de enriquecimento de urânio do Irã. Um ataque a eles pretendia interromper o programa nuclear do país. Uma vez infectados, os controladores lógicos programáveis (PLCs) nos computadores visados executavam comandos inesperados nas máquinas da linha de montagem, causando um mau funcionamento nas centrífugas usadas para produzir material nuclear.
Ataque de dia zero da Sony
A Sony Pictures foi vítima de uma exploração de dia zero no final de 2014. A exploração afetou a rede da Sony, levando a uma violação de dados corporativos em sites de compartilhamento de arquivos.
As informações vazadas incluíam detalhes dos próximos filmes, estratégias de negócios e endereços de e-mail pessoais de executivos seniores da Sony.
Ataques no Adobe Flash Player
Em 2016, um ataque de dia zero explorou uma vulnerabilidade não descoberta anteriormente (CVE-2016-4117) no Adobe Flash Player. Além disso, em 2016, mais de 100 organizações também foram afetadas por uma exploração de dia zero (CVE-2016-0167) que permitiu uma escalada de ataques de privilégio direcionados ao Microsoft Windows.
Em 2011, atores mal-intencionados usaram uma vulnerabilidade não corrigida no Adobe Flash Player para obter acesso à rede da empresa de segurança RSA. Os invasores enviaram anexos de e-mail com planilhas do Excel para vários funcionários da RSA. Os documentos do Excel continham um arquivo Flash incorporado para explorar a vulnerabilidade de dia zero.
Ao abrir um dos anexos corrompidos, um funcionário, sem saber, habilitou a instalação da ferramenta de administração remota Poison Ivy que assumiu o controle do computador infectado. Assim que se infiltraram na rede RSA, os hackers procuraram, copiaram e transmitiram informações confidenciais para servidores externos sob seu controle.
A RSA admitiu posteriormente que entre os dados roubados havia informações confidenciais sobre as ferramentas de autenticação de dois fatores SecurID da empresa, usadas globalmente para proteger cargas de trabalho e dispositivos críticos.
Ataques de dia zero do Microsoft Office
Em 2017, uma vulnerabilidade de dia zero revelou que os documentos do Microsoft Office em “formato rich text” podem permitir a execução de um script básico visual que carrega comandos do PowerShell na abertura. (CVE-2017-0199)
Outra exploração de dia zero de 2017 (CVE-2017-0261) carregava PostScript encapsulado para apresentar uma plataforma para iniciar infecções por malware.
Operação Aurora
Em 2009, uma exploração de dia zero teve como alvo várias grandes empresas – Google, Yahoo, Adobe Systems e Dow Chemical – para encontrar e roubar propriedade intelectual (IP). A vulnerabilidade de dia zero existia no Internet Explorer e no Perforce. (O Google usou o último para gerenciar seu código-fonte)
Como detectar um ataque de dia zero?
Um ataque de dia zero é difícil de detectar. Software antivírus, sistemas de detecção de intrusão (IDSes) e sistemas de prevenção de intrusão (IPSes) não podem identificar a assinatura da ameaça porque ainda não existe uma.
A maneira mais ideal de detectar ameaças de dia zero é por meio da análise de comportamento do usuário. A maioria das entidades autorizadas a interagir com sua rede normalmente exibem padrões de uso e comportamento específicos. Ações de rede fora do escopo normal podem indicar uma ameaça de dia zero.
As empresas atacadas por uma exploração de dia zero geralmente detectam tráfego inesperado ou tentativas suspeitas de verificação de um serviço ou cliente. Além da análise comportamental, as organizações também podem detectar uma ameaça de dia zero por meio do seguinte:
Banco de dados de malware existente e estatísticas de comportamento de malware como referência. No entanto, mesmo que esses bancos de dados sejam atualizados em tempo real, as explorações de dia zero aproveitam as vulnerabilidades recém-descobertas pelos invasores. Portanto, por definição, um banco de dados existente é limitado quando se trata de detectar ameaças desconhecidas.
O aprendizado de máquina é cada vez mais usado para detectar informações de exploração registradas anteriormente para apresentar uma linha de base para o comportamento seguro do sistema com base em dados de interação do sistema anteriores e atuais. À medida que as organizações coletam cada vez mais dados, a abordagem pode detectar ameaças de dia zero com mais confiabilidade.
Como a exploração de vulnerabilidades é um campo em constante evolução, uma abordagem de detecção híbrida é recomendada para proteger as organizações e seus valiosos dados de negócios.