O que é um ataque de dia zero? – Definição e explicação

Significado e definição de dia zero

"Dia zero" é um termo amplo que descreve as vulnerabilidades de segurança recentemente descobertas que os hackers podem usar para atacar sistemas. O termo "dia zero" refere-se ao fato de que o fornecedor ou desenvolvedor acabou de conhecer a falha – o que significa que tem "zero dias" para corrigi-la. Um ataque de dia zero ocorre quando hackers exploram a falha antes que os desenvolvedores tenham a chance de lidar com ela.

Dia zero às vezes é escrito como dia 0. As palavras vulnerabilidade, exploração e ataque são normalmente usadas junto de dia zero e são úteis para entender a diferença:

• Uma vulnerabilidade de dia zero é uma vulnerabilidade de software descoberta por invasores antes que o fornecedor tome conhecimento dela. Como os fornecedores não a conhecem, não existe correção para vulnerabilidades de dia zero, o que aumenta a probabilidade de o ataque ser bem-sucedido.
• Uma exploração de dia zero é o método que os hackers usam para atacar os sistemas com uma vulnerabilidade não identificada anteriormente.
• Um ataque de dia zero é o uso de uma exploração de dia zero para causar danos ou roubar dados de um sistema afetado por uma vulnerabilidade.

O que são ataques de dia zero e como eles funcionam?

Geralmente, os softwares possuem vulnerabilidades de segurança que os hackers podem explorar para causar estragos. Desenvolvedores de software estão sempre buscando vulnerabilidades para "corrigir", ou seja, desenvolver uma solução que lançarão em uma nova atualização.

No entanto, às vezes, os hackers ou atores maliciosos detectam a vulnerabilidade antes dos desenvolvedores de software. Enquanto a vulnerabilidade ainda está aberta, os invasores podem criar e implementar um código para tirar vantagem dela. Isso é conhecido como código de exploração.

O código de exploração pode vitimar os usuários através de roubo de identidade ou outras formas de crime virtual. Depois que os invasores identificam uma vulnerabilidade de dia zero, eles precisam de uma maneira de alcançar o sistema vulnerável. Eles costumam fazer isso por meio de um e-mail de engenharia social, ou seja, um e-mail ou outra mensagem que seja supostamente de um correspondente conhecido ou legítimo, mas na verdade é de um invasor. A mensagem tenta convencer o usuário a realizar uma ação, como abrir um arquivo ou visitar um site malicioso. Ao fazer isso, o usuário baixa o malware do invasor, que se infiltra nos arquivos do usuário e rouba dados confidenciais.

Quando uma vulnerabilidade torna-se conhecida, os desenvolvedores tentam corrigi-la para impedir o ataque. No entanto, as vulnerabilidades de segurança normalmente não são descobertas de imediato. Às vezes, isso pode levar dias, semanas ou até meses antes que os desenvolvedores identifiquem a vulnerabilidade que levou ao ataque. E mesmo depois que a correção de dia zero é lançada, nem todos os usuários são rápidos em implementá-la. Nos últimos anos, os hackers têm sido mais rápidos ao explorar vulnerabilidades logo após descobri-las.

As explorações podem ser vendidas na dark web por grandes somas de dinheiro. Depois de descoberta e corrigida, a exploração não é mais chamada de ameaça de dia zero.

Os ataques de dia zero são especialmente perigosos porque as únicas pessoas que os conhece são os próprios invasores. Depois que se infiltram em uma rede, os criminosos podem atacar imediatamente ou apenas esperar o momento mais vantajoso para fazer isso.

Quem realiza ataques de dia zero?

Atores maliciosos que realizam ataques de dia zero dividem-se em diferentes categorias, dependendo da sua motivação. Por exemplo:

• Criminosos virtuais – hackers cuja motivação é normalmente o ganho financeiro
• Hacktivistas – hackers motivados por uma causa política ou social que desejam dar visibilidade aos seus ataques para atrair atenção para sua causa
• Espionagem corporativa – hackers que espionam empresas para obter informações sobre elas
• Guerra virtual – países ou atores políticos que espionam ou atacam a infraestrutura virtual de outro país

Quais são os alvos das explorações de dia zero?

Um hackeamento de dia zero pode explorar vulnerabilidades em uma variedade de sistemas, incluindo:

• Sistemas operacionais 
• Navegadores da Web 
• Aplicativos do Office
• Componentes de código aberto
• Hardware e firmware
• Internet das Coisas (IoT) 

Como resultado, há uma ampla gama de vítimas em potencial:

• Indivíduos que usam um sistema vulnerável, como um navegador ou sistema operacional – Os hackers podem usar as vulnerabilidades de segurança para comprometer dispositivos e construir grandes botnets
• Indivíduos com acesso a dados valiosos de empresas, como propriedade intelectual
• Dispositivos de hardware, firmware e Internet das Coisas
• Grandes empresas e organizações
• Agências governamentais
• Alvos políticos e/ou ameaças à segurança nacional

É útil pensar em termos de ataques de dia zero direcionados versus não direcionados:

• Ataques de dia zero direcionados são realizados contra alvos potencialmente valiosos, como grandes organizações, agências governamentais ou pessoas famosas.
• Ataques de dia zero não direcionados são normalmente empreendidos contra usuários de sistemas vulneráveis, como um sistema operacional ou navegador.

Mesmo quando os invasores não direcionam seus ataques para indivíduos específicos, uma grande quantidade de pessoas ainda pode ser afetada por ataques de dia zero, normalmente como dano colateral. Os ataques não direcionados têm como objetivo capturar o máximo de usuários possível, o que significa que os dados de usuários médios podem ser afetados.

Como identificar ataques de dia zero

Como as vulnerabilidades de dia zero podem assumir várias formas, como criptografia de dados perdidos, autorizações perdidas, algoritmos danificados, bugs, problemas com segurança de senhas e assim por diante – pode ser desafiador detectá-las. Devido à natureza desses tipos de vulnerabilidades, informações detalhadas sobre explorações de dia zero estão disponíveis somente após a exploração ser identificada.

Organizações que são atacadas por exploração de dia zero podem observar tráfego inesperado ou atividade de verificação suspeita originada de um cliente ou serviço. Algumas técnicas de detecção de dia zero incluem:

1. Usar bancos de dados existentes de malware e como eles se comportam como uma referência. Embora esses bancos de dados sejam atualizados muito rapidamente e possam ser úteis como ponto de referência, por definição, as explorações de dia zero são novas e desconhecidas. Portanto, há um limite do quanto um banco de dados existente pode revelar.
2. Alternativamente, algumas técnicas buscam características de malware baseadas em como eles interagem com o sistema visado. Em vez de examinar o código dos arquivos recebidos, essa técnica analisa as interações que eles têm com o software existente e tenta determinar se são resultantes de ações maliciosas.
3. Cada vez mais o aprendizado de máquina é usado para detectar dados de explorações gravadas anteriormente para estabelecer uma referência para o comportamento seguro do sistema com base em dados de interações passadas e atuais com o sistema. Quanto mais dados estiverem disponíveis, mais confiável será a detecção.

Normalmente, é usado um híbrido de diferentes sistemas de detecção.

Exemplos de ataques de dia zero

Alguns exemplos recentes de ataques de dia zero incluem:

2021: vulnerabilidade de dia zero do Chrome

Em 2021, o Chrome do Google sofreu uma série de ameaças de dia zero, fazendo com que o Chrome lançasse atualizações. A vulnerabilidade originou-se de um bug no mecanismo V8 JavaScript usado no navegador da Web.

2020: Zoom

Uma vulnerabilidade foi encontrada na popular plataforma de conferência por vídeo. Esse exemplo de ataque de dia zero envolveu o acesso remoto de hackers a um PC de usuário que estava usando uma versão mais antiga do Windows. Se o alvo fosse um administrador, o hacker poderia assumir completamente a máquina e acessar todos os arquivos.

2020: Apple iOS

O iOS da Apple é frequentemente descrito como a mais segura das principais plataformas de smartphone. No entanto, em 2020, ele foi vítima de pelo menos dois conjuntos de vulnerabilidades de dia zero do iOS, incluindo um bug de dia zero que permitiu aos invasores comprometer iPhones remotamente.

2019: Microsoft Windows, Europa Oriental

Esse ataque se concentrou em escalonamento de privilégios locais, uma parte vulnerável do Microsoft Windows, e seu alvo foram instituições governamentais da Europa Oriental. A exploração de dia zero aproveitou uma vulnerabilidade de privilégio local no Microsoft Windows para executar um código arbitrário, instalar aplicativos e visualizar e alterar os dados em aplicativos comprometidos. Depois que o ataque foi identificado e comunicado ao Microsoft Security Response Center, uma correção foi desenvolvida e implementada.

2017: Microsoft Word

Essa exploração de dia zero comprometeu contas bancárias pessoais. As vítimas foram pessoas que abriram involuntariamente um documento malicioso do Word. O documento exibia um prompt "carregar conteúdo remoto", mostrando aos usuários uma janela pop-up que solicitava acesso externo a partir de outro programa. Quando a vítima clicava em "sim", o documento instalava um malware no seu dispositivo, que conseguia capturar credenciais de login de contas bancárias.

Stuxnet

Um dos mais famosos exemplos de ataque de dia zero foi o Stuxnet. Descoberto pela primeira vez em 2010, mas com raízes que remontam a 2005, esse worm de computador malicioso afetou a fabricação de computadores que executavam software de controlador lógico programável (PLC). O alvo principal foram usinas de enriquecimento de urânio do Irã para atrapalhar o programa nuclear do país. O worm infectou os PLCs através de vulnerabilidades no software Siemens Step7, fazendo com que os PLCs realizassem comandos inesperados na maquinaria da linha de montagem. A história do Stuxnet foi posteriormente transformada em um documentário chamado Zero Days.

Como se proteger contra ataques de dia zero

Para se proteger do dia zero e manter seu computador e seus dados seguros, é essencial que indivíduos e organizações sigam as melhores práticas de segurança virtual. Entre elas:

Mantenha todos os softwares e sistemas operacionais atualizados. Isso ocorre porque os fornecedores incluem correções de segurança para lidar com vulnerabilidades recém-identificadas em novas versões. As atualizações garantem mais segurança.

Use somente aplicativos essenciais. Quanto mais softwares você tiver, terá mais vulnerabilidades em potencial. Você pode reduzir o risco à sua rede usando somente os aplicativos de que precisa.

Use um firewall. Um firewall desempenha um papel essencial na proteção do seu sistema contra ameaças de dia zero. Você pode garantir máxima proteção configurando-o para permitir somente transações necessárias.

Nas organizações, eduque os usuários. Muitos ataques de dia zero aproveitam os erros humanos. Ensinar bons hábitos de segurança a funcionários e usuários fará com que fiquem seguros on-line e protegerá as organizações de explorações de dia zero e outras ameaças digitais.

Use uma solução de software antivírus abrangente. O Kaspersky Total Security ajuda a manter seus dispositivos seguros, bloqueando ameaças conhecidas e desconhecidas.

Artigos relacionados:

• O que é um cavalo de Troia?
• Como se proteger do crime virtual
• O que é rootkit?
• O que é uma violação de segurança?