Che cos'è uno zero-day exploit?

Gli exploit Zero-day sono un tipo di malware che sfrutta i difetti nel codice del software per lanciare un attacco informatico che è difficile da rilevare. La piattaforma Intel vPro® include funzionalità di sicurezza integrate e basate su hardware che aiutano a proteggere dagli attacchi zero-day.

Capire gli exploit Zero-Day

  • Le vulnerabilità Zero-day sono punti deboli nel codice sviluppato.

  • Gli exploit Zero-day sfruttano queste vulnerabilità con virus e malware.

  • Quando gli hacker sfruttano l'exploit zero-day, possono lanciare un attacco zero-day che può compromettere il sistema prima che una patch possa essere creata o applicata.

  • Il software antivirus può bloccare il malware noto, ma il malware zero-day è nuovo, quindi la sua firma può evade il rilevamento.

  • Le funzionalità di sicurezza abilitate da hardware della piattaforma Intel vPro® possono contribuire a proteggere dagli attacchi zero-day.

author-image

di

In uno exploit zero-day, gli hacker sfruttano i difetti nel codice del software per progettare e iniettare il malware. Le soluzioni di sicurezza basate su software possono essere efficaci per rilevare le minacce note, ma non per nuove minacce o varianti. L'utilizzo di una strategia completa di sicurezza informatica che include l'utilizzo di dispositivi di endpoint con sicurezza integrata basata su hardware, come quella offerta sui PC con piattaforma Intel vPro®, può aiutare a proteggere le aziende dagli attacchi zero-day.

Definire gli Exploit Zero-Day, le vulnerabilità e gli attacchi

Quando un difetto nel codice computer ha il potenziale per essere sfruttato da hacker, ciò crea una vulnerabilità zero-day. Se gli sviluppatori e i dipartimenti IT non vengono avvisati in anticipo del bug, si dice che abbiano "zero giorni" per riparare il danno e bloccare la minaccia.

In molti casi, la vulnerabilità zero-day era presente quando il codice è stato sviluppato. Gli hacker possono scoprire il codice difettoso e la vulnerabilità risultante, anche quando il problema non viene rilevato dagli sviluppatori, i team IT e gli utenti aziendali.

Gli hacker sfruttano quindi la vulnerabilità in un exploit zero-day, sviluppando malware o virus difficili da rilevare, e ulteriormente sfruttando l'exploit per lanciare un attacco zero-day.

Gli attacchi Zero-day possono rappresentare una minaccia seria per la sicurezza informatica e l'integrità dei dati di un'organizzazione. Quando il software infetto viene lanciato o un sistema è avviato, il malware preesistente può infettare l'applicazione, il sistema operativo (OS), il firmware e/o la memoria di sistema, compromettendo i dati e la funzionalità di un dispositivo individuale o di un'intera rete.

Come funzionano gli attacchi Zero-Day

Talvolta gli hacker montano e vendono kit di exploit sul dark web. Altri hacker pagano per questi kit di exploit in modo da poter lanciare i propri attacchi zero-day, tra cui ransomware lucrativi, cryptojacking o altre minacce avanzate, moltiplicando il numero di attacchi potenziali.

In un attacco zero-day, gli hacker possono sfruttare un kit di exploit attivo o malware che è stato progettato intorno a un difetto noto nel codice di un'applicazione, sistema operativo o altra risorsa di software. Se il malware è una nuova variante, o se non ha alcuna firma o modello di comportamento unici, può sfuggire al rilevamento dalle soluzioni del software di sicurezza.

Obiettivi degli exploit Zero-Day

I venditori di Software as a Service (SaaS) e i fornitori di servizi gestiti (MSP) sono obiettivi popolari per gli exploit zero-day perché questi attori condividono gli aggiornamenti del software direttamente con molte aziende. Un exploit zero-day su un SaaS o MSP offre il potenziale per scalare rapidamente.

Una variante di un exploit zero-day è chiamata attacco alla catena di fornitura del software perché si infiltra in un'applicazione di un software, sistema operativo o aggiornamento prima della sua distribuzione. In un attacco della catena di fornitura, il malware viene implementato all'interno del codice legittimo, quindi la firma dannosa e il comportamento vengono mascherati.

Queste minacce sono definite come malware "senza file" perché non richiedono un download o l'installazione nel sistema di destinazione. Invece, il codice dannoso può sabotare strumenti di sistema legittimi e operare in memoria senza essere mai memorizzato sul disco rigido.

Rilevare gli exploit Zero-Day

Un attacco zero-day potrebbe generare traffico inatteso o attività sospette, quindi gli esperti IT o di sicurezza possono talvolta rilevare gli attacchi zero-day scannerizzando il traffico internet, esaminando il codice e implementando le tecnologie di rilevamento del malware. Anche se gli exploit zero-day sono nuovi e sconosciuti, possono condividere alcune funzionalità comuni con un malware noto.

Indizi potrebbero essere trovati nel comportamento del codice sospetto e la natura delle sue interazioni con il sistema di destinazione. Con l'applicazione dell'apprendimento automatico, un modello insolito di comportamento può essere spesso rilevato e segnalato per l'ispezione.

Alcune minacce zero-day eludono il rilevamento, tuttavia, e vengono invece scoperte da un utente che nota che il programma del software si sta comportando in modo sospetto. In altri casi, uno spettatore o sviluppatore fortunato può riconoscere una vulnerabilità zero-day prima che il codice venga rilasciato, quindi un attacco può essere effettivamente evitato.

Prevenire attacchi Zero-Day

Gli attacchi Zero-day rappresentano una sfida seria per i team IT. Ridurre la probabilità di un attacco richiede una strategia di sicurezza informatica multilivello per affrontare proattivamente le minacce note e prepararsi all'ignoto attraverso le buone pratiche e proteggendo i dispositivi endpoint.

Misure proattive

L'attenzione vigile all'ispezione del codice, al patch e alla manutenzione può contribuire a ridurre la vulnerabilità di un'azienda agli attacchi zero-day.

Software antivirus e la scansione frequente possono inoltre aiutare a rilevare malware noti ed evitare molte violazioni di sicurezza. Quando i difetti vengono scoperti e sistemati, gli sviluppatori e gli utenti negli Stati Uniti li registrano in un elenco di Vulnerabilità ed rischi comuni (CVE) che viene mantenuto e diffuso dal Dipartimento di sicurzza interna degli Stati Uniti con il supporto di molte aziende di tecnologia. Allo stesso modo, l'Agenzia dell'Unione europea per la sicurezza informatica (ENISA) sta lavorando su un database regionale per la divulgazione coordinata della vulnerabilità (CVD) che include i dati e i rapporti dei paesi membri dell'UE.

I team IT dovrebbero rimanere aggiornati sulle ultime CVE e verificare che le loro soluzioni di sicurezza tengano in conto tutte le minacce note.

Inoltre, gli attacchi zero-day possono assumere la forma di malware senza file che bypassa le soluzioni di sicurezza di solo software e si insinua direttamente nella memoria di sistema. Oltre alle protezioni basate su software, le aziende possono aggiungere un altro livello di difesa implementando dispositivi endpoint con funzionalità di sicurezza integrate e abilitate da hardware.

Oltre alle soluzioni tecniche, evitare gli attacchi informatici include anche una componente di formazione dei dipendenti, poiché gli utenti individuali del sistema sono spesso obiettivo degli hacker. Alcuni hacker disseminano un codice dannoso, tra cui il malware zero-day, attraverso l'ingegneria sociale o gli schemi di phishing. Per combattere questa minaccia, i singoli utenti devono essere formati per evitare di interagire con le applicazioni sospette e i file che possono essere inviati tramite e-mail, messaggio o browser.

Rilevamento delle minacce e gestione delle patch

La maggior parte delle strategie e degli strumenti di sicurezza informatica si affidano alle conoscenze preventive di un particolare difetto, exploit o minaccia informatica. Ad esempio, è sempre una buona pratica mantenere il software completamente aggiornato con la gestione delle patch coerente e proattiva. Tuttavia, poiché le vulnerabilità zero-day non sono ancora state scoperte, le patch non saranno ancora disponibili.

Il rilevamento basato sulla firma è un'altra funzionalità delle soluzioni antivirus tradizionali. Le varianti di malware note hanno caratteristiche uniche che possono essere scoperte e bloccate. Ancora, il malware zero-day non è noto e quindi la sua firma non sarà riconoscibile.

Questo è il luogo in cul le funzionalità di sicurezza basate su hardware possono essere utilizzate al meglio per aumentare e rafforzare le soluzioni solo software. La sicurezza a livello hardware può aiutare a rilevare e difendere dal malware zero-day che attacca la memoria di sistema, il firmware, il BIOS o altri livelli di supporto dello stack di tecnologia sotto il sistema operativo o il software di applicazione,

L'hardware giusto può inoltre accelerare la crittografia ad alta intensità di elaborazione che protegge e aiuta a ridurre le superfici di attacco del sistema. Gli acceleratori basati su hardware possono inoltre supportare intelligenza artificiale (IA) per migliorare il riconoscimento del modello e identificare un comportamento anomalo.

Quando il software di sicurezza è ottimizzato per queste funzionalità hardware, può essere più efficace nel rilevare un comportamento anomalo in un'applicazione o altro codice. Quelle anomalie possono essere potenti indicatori degli attacchi zero-day e altre minacce avanzate.

Esempi di attacchi Zero-Day

Nel 2020, un'impresa IT negli Stati Uniti è stata l'obiettivo di un attacco zero-day. Gli hacker hanno aggiunto un codice al software dell'azienda e l'azienda senza saperlo ha distribuito il codice infetto ai suoi clienti come parte di un aggiornamento di routine. Ironicamente, il software compromesso è stato un prodotto di monitoraggio della rete.

Il malware ha installato una "porta sul retro" per ottenere accesso ai clienti dell'azienda. La violazione non è stata scoperta per mesi, portando vulnerabilità zero-day in almeno 18.000 aziende, tra cui centinaia di aziende di grandi dimensioni e agenzie governative, secondo un report del Wall Street Journal.urnal.1

Inoltre nel 2020, gli hacker hanno acquisito accesso a PC più vecchi con software obsoleti con un attacco zero-day rivolto a una piattaforma di videoconferenza popolare. Gli hacker sono stati in grado di controllare i PC degli utenti da remoto e di rubare circa 500.000 password, che sono state poi messe in vendita sul dark web.b.2

Protezione contro gli exploit Zero-Day con la piattaforma Intel vPro®

La piattaforma Intel vPro® offre funzionalità di sicurezza abilitate da hardware che aiutano a proteggere tutti i livelli dello stack di elaborazione dagli attacchi zero-day e altre minacce avanzate. Queste funzionalità uniche aiutano a ridurre la superficie d'attacco del sistema bloccando le risorse critiche così che venga impedito al codice dannoso di compromettere il sistema operativo, le applicazioni, la memoria e i dati.

Intel® Hardware Shield

Le funzionalità di sicurezza della piattaforma Intel vPro® si basano Intel® Hardware Shield, una serie di funzionalità abilitate nel silicio. Intel® Hardware Shield aiuta a ridurre il rischio di infezione del malware, tra cui gli attacchi zero-day, bloccando la memoria nel BIOS quando il software è in esecuzione. Intel® Hardware Shield supporta l'avvio sicuro, quindi è meno probabile che il malware possa compromettere il sistema operativo. Molte soluzioni di software di sicurezza leader sono ottimizzate affinché Intel® Hardware Shield sfrutti la crittografia accelerata e basata su hardware e aiuti a evitare gli attacchi informatici.

  • Intel® Threat Detection Technology (Intel® TDT) aiuta i venditori di software di sicurezza a rafforzare le loro soluzioni di sicurezza di endpoint aumentando e migliorando i rilevatori di comportamento nelle proprie soluzioni di sicurezza con sensori basati su hardware che profilano il malware mentre lavora sulla CPU. Intel® TDT interagisce con la telemetria basata su hardware per aiutare a scoprire le vulnerabilità zero-day e altre minacce avanzate.
  • Il rilevamento del comportamento anomalo (ABD) di Intel® TDT è un componente di Intel® TDT che aiuta a scoprire gli attacchi informatici difficili da rilevare che si infiltrano nelle applicazioni o nei processi di sistema validi. Queste varianti di malware possono diventare minacce zero-day perché sono nascoste all'interno dei processi legittimi e possono eludere i metodi di rilevamento basati su comportamento. ABD traccia l'esecuzione del software all'interno della CPU e costruisce modelli IA dinamici del comportamento delle applicazioni. Poi confronta il comportamento insolito o anomalo rispetto ai modelli "conosciuti come buoni" per scoprire le minacce nascoste.
  • Intel® Control-Flow Enforcement Technology (Intel® CET) è una funzionalità dei processori portatili Intel® Core™ di undicesima e dodicesima generazione. Intel® CET aiuta a difendere dagli attacchi sulla memoria di sistema.

Approcci multilivello per la protezione Zero-Day

Gli exploit Zero-day e gli attacchi sono elusivi, ma un approccio multilivello può aiutare a dispositivi, utenti e reti vulnerabili.

Come primo passo, i team IT dovrebbero mantenere soluzioni di sicurezza robuste e proattive come software antivirus e la gestione delle patch. È inoltre importante educare gli utenti a rispettare le politiche di sicurezza, scegliere password solide, evitare di interagire con il codice sospetto e proteggere i dati personali che possono essere sfruttati dagli hacker.

Le soluzioni basate su software non possono sempre fornire una protezione sufficiente dagli attacchi zero day, tuttavia, e un approccio completo dovrebbe includere uno strato di sicurezza basato su hardware. I dispositivi endpoint con piattaforma Intel vPro® rafforzano il software di sicurezza con funzionalità abilitate da hardware che aiutano a ridurre la superficie d'attacco del sistema e a difendere l'intero stack di tecnologia dalle minacce zero-day.

I prodotti Intel® supportano la protezione Zero-Day

I prodotti, le piattaforme e le tecnologie Intel® offrono funzionalità di sicurezza abilitate da hardware che aiutano a proteggere tutti i livelli dello stack di elaborazione tra cui il firmware, la memoria e altre funzionalità che non possono essere protetta da soluzioni di sicurezza di solo software.

Piattaforma Intel vPro®

La piattaforma Intel vPro® è una piattaforma di elaborazione aziendale comprovata con sicurezza hardware integrata in grado di rilevare il ransomware, gli attacchi di catena di fornitura di software, gli attacchi zero-day e altre minacce avanzate.

Esplora la piattaforma Intel vPro®

Intel® Hardware Shield

Intel® Hardware Shield aiuta a ridurre il rischio di infezione del malware, tra cui gli attacchi zero-day, bloccando la memoria nel BIOS e supportando l'avvio sicuro.

Scopri Intel® Hardware Shield

Intel® Threat Detection Technology (Intel® TDT)

Intel® TDT offre il monitoraggio degli attacchi informatici e prestazioni di sicurezza aumentate a livello hardware. Le soluzioni di sicurezza Endpoint possono sfruttare la Intel® Threat Detection Technology per aiutare a scoprire attacchi avanzati che sfuggono alla maggior parte degli altri metodi di rilevamento.

Informazioni su Intel® TDT

Rilevamento del comportamento anomalo di Intel® TDT

Intel® TDT include il rilevamento del comportamento anomalo (ABD) abilitato dall'IA per monitorare il software per indicazioni di compromesso.

Leggi il white paper

Rafforzamento della protezione del sistema

Con l'irrigidimento del sistema, gli amministratori IT identificano e affrontano le vulnerabilità di sicurezza nel loro ambiente IT.

Capire l'irrigidimento di sistema

Mostra di più Mostra di meno

FAQ

Domande ricorrenti

Gli exploit Zero-day e le vulnerabilità sono problemi che sono già presenti nel codice prima che venga implementato. Quando i bug vengono scoperti, il difetto deve essere aggiustato immediatamente per evitare ulteriori violazioni di sicurezza. Pertanto, dal momento del rilevamento, i team IT hanno "zero giorni" per rispondere.

Gli esperti di sicurezza o IT possono talvolta scoprire attacchi zero-day scannerizzando il traffico internet, esaminando il codice e implementando le tecnologie di rilevamento del malware. Alcune minacce zero-day bypassano queste precauzioni e vengono scoperte da un utente che nota che il programma di un software si sta comportando in modo sospetto. In altri casi, uno sviluppatore può riconoscere una vulnerabilità zero-day prima che il codice venga rilasciato, quindi un attacco effettivo può essere evitato.

Una volta identificato un exploit zero-day, i fornitori di soluzioni di sicurezza possono essere avvisati affinché aggiungano le firme antivirus e altre protezioni che possono aiutare a bloccare la nuova minaccia.

Informazioni su prodotti e prestazioni

1Kevin Poulsen, Robert McMillan, and Dustin Volz, “SolarWinds Hack Victims: From Tech Companies to a Hospital and University,” The Wall Street Journal, December 21, 2020, wsj.com/articles/solarwinds-hack-victims-from-tech-companies-to-a-hospital-and-university-11608548402.
2Davey Winder, “Zoom Gets Stuffed: Here’s How Hackers Got Hold of 500,000 Passwords,” Forbes, April 28, 2020, forbes.com/sites/daveywinder/2020/04/28/zoom-gets-stuffed-heres-how-hackers-got-hold-of-500000-passwords/?sh=4f5489725cdc.