O que é uma exploração de dia zero? E por que eles são perigosos?

Publicados: 2021-12-04

Embora as empresas sempre tenham enfrentado muitas ameaças, os ataques cibernéticos estão se tornando cada vez mais preocupantes. Uma exploração de dia zero é uma das ameaças de malware mais graves.

Os ataques cibernéticos podem ter consequências graves para as empresas, pois os hackers podem roubar dinheiro, dados ou propriedade intelectual que comprometem suas operações. E nenhuma empresa está imune. Eles impactam comerciantes, empresas locais, redes nacionais e até gigantes globais como o Google (na verdade, o Google tem pelo menos 22 ataques imprevistos todos os anos).

Mas isso não quer dizer que os ataques cibernéticos sejam inevitáveis. Existem medidas que podemos tomar para nos proteger.

Neste artigo, contaremos tudo o que você precisa saber sobre explorações de dia zero, por que são perigosas e como identificá-las e preveni-las.

Vamos começar!

O que é uma exploração de dia zero?

Uma exploração de dia zero é uma falha de segurança não descoberta em seu software ou hardware que os hackers podem explorar para violar seus sistemas. Os exploits de dia zero têm muitos nomes diferentes, incluindo “exploits zero-hour” ou “exploits day0”.

Não importa o nome, a origem do “dia zero” é a mesma. O termo “dia zero” enfatiza a gravidade do problema. Depois que alguém descobre uma vulnerabilidade de dia zero, os desenvolvedores têm zero dias para corrigir o erro antes que se torne um problema urgente.

Ao aprender sobre explorações de dia zero, você pode ouvi-las chamadas de “vulnerabilidades de dia zero” ou “ataques de dia zero”. Há uma distinção essencial entre esses termos:

  • “Exploração de dia zero” refere-se ao método que os hackers usam para atacar o software
  • “Vulnerabilidade de dia zero” refere-se à falha não descoberta em seu sistema
  • “Ataque de dia zero” refere-se à ação que os hackers realizam quando usam a vulnerabilidade para violar seu sistema

O termo “não descoberto” é crucial ao discutir vulnerabilidades de dia zero, pois a vulnerabilidade deve ser desconhecida pelos criadores do sistema para ser considerada uma “vulnerabilidade de dia zero”. Uma vulnerabilidade de segurança deixa de ser uma “vulnerabilidade de dia zero” quando os desenvolvedores sabem sobre o problema e lançam um patch.

Muitos grupos diferentes de pessoas realizam ataques de dia zero, incluindo:

  • Cibercriminosos: hackers criminosos com motivação financeira
  • Hacktivistas: Pessoas que procuram invadir sistemas para promover uma causa ou agenda política
  • Hackers corporativos: Hackers que desejam obter informações sobre um concorrente
  • Hackers com fins lucrativos: pessoas que encontram vulnerabilidades para vendê-las a empresas (mas não pretendem explorar a vulnerabilidade por conta própria)

Um exploit de dia zero é tão assustador quanto parece: um problema tão sério que os desenvolvedores têm zero dias para corrigir o erro antes que se torne um problema urgente. Prepare seu site para esse tipo de ataque com este guia Click to Tweet

Como funciona um ataque de dia zero

Embora cada ataque seja diferente, a maioria dos ataques geralmente funciona assim:

  • Etapa 1: Seus desenvolvedores criam um sistema. Este sistema contém uma vulnerabilidade de dia zero que os desenvolvedores não conhecem.
  • Etapa 2: depois que o sistema estiver ativo, o hacker (às vezes chamado de “ator de ameaça” ou “ator malicioso”) descobre uma vulnerabilidade no sistema.
  • Etapa 3: o hacker escreve e executa código malicioso para explorar a vulnerabilidade e violar seu sistema.
  • Etapa 4: O público ou os desenvolvedores percebem um problema grave e os desenvolvedores corrigem o problema com um patch.

Às vezes, o hacker que descobre sua ameaça de dia zero e o hacker que ataca seu sistema são pessoas diferentes.

Alguns hackers vendem informações para outros hackers através do mercado negro. O mercado negro existe na dark web – uma seção da internet que você não pode alcançar com mecanismos de busca como Google, Yahoo e Bing. As pessoas acessam a dark web por meio de navegadores anônimos como o Tor.

Algumas empresas de segurança cibernética também procuram exploits para vender essas informações aos proprietários do sistema.

Essas empresas vendem esses dados nos mercados “branco” ou “cinza” (embora as distinções entre os mercados branco, cinza e negro variem dependendo das leis locais de segurança cibernética).

Como os hackers realizam um ataque de dia zero
Como os hackers realizam um ataque de dia zero. ( Fonte: Norton)

Agora que você sabe como funcionam as explorações de dia zero, provavelmente está se perguntando como os hackers violam seu sistema.

Embora não exista um método comprovado, muitos hackers usam:

Fuzzing

Fuzzing (ou “testes de fuzz”) é uma técnica de força bruta que os hackers usam para encontrar falhas em seu sistema.

Quando um hacker confunde um alvo, ele usa um software que insere dados aleatórios nas caixas de entrada do seu sistema (caixas de texto onde as pessoas inserem informações). Em seguida, o hacker observa falhas, vazamentos de memória ou declarações com falha que indicam uma falha em seu código.

Muitas técnicas de fuzzing se concentram em enviar spam para caixas de entrada com respostas aleatórias, sem sentido ou inválidas. Por exemplo, se você tivesse uma caixa de texto para alguém inserir sua idade em anos, um hacker testaria para ver como seu sistema responde quando eles colocam “-94” ou “@45”.

Engenharia social

A engenharia social é uma técnica de manipulação que os hackers usam para obter acesso a um sistema por meio de seus usuários.

Existem muitos tipos de engenharia social, incluindo:

  • Pretexting: Quando alguém usa pretexting, eles tentam ganhar sua confiança criando um cenário crível. Por exemplo, eles podem fingir ser do seu departamento de TI e dizer que precisam da sua senha.
  • Quando alguém o atrai, eles tentam violar seu sistema, seduzindo você a interagir com material corrupto. Por exemplo, em 2018, um hacker chinês enviou um CD misterioso para várias autoridades estaduais e locais dos EUA. O objetivo era induzi-los a abrir o conteúdo do CD por curiosidade.
  • Phishing: quando alguém faz phishing em você, ele se passa por alguém que você conhece para convencê-lo a fornecer informações confidenciais, abrir um arquivo malicioso ou clicar em um link corrompido. Por exemplo, se você esperava um e-mail de “[email protected]”, um hacker pode usar o endereço de e-mail “[email protected]” para phishing. Como 38% dos ataques cibernéticos a empresas dos EUA em 2019 usaram phishing, muitas empresas se protegem contra phishing com ferramentas de prevenção de fraudes como FraudLabsPro ou Simility.

Exemplo de um e-mail de phishing
Exemplo de um e-mail de phishing. ( Fonte: SecureWorld)

Uma vez que um hacker usa engenharia social para violar um sistema, ele usa a conta do usuário para caçar vulnerabilidades de dia zero por dentro.

Alvos comuns

Você não precisa ser uma empresa bancária multibilionária para que um hacker tenha como alvo você. Os hackers terão como alvo qualquer organização, indivíduo ou entidade da qual possam lucrar, especialmente:

  • Organizações com pouca segurança cibernética
  • Organizações que lidam com dados pessoais (especialmente endereços, números de seguro social (SSNs), nomes legais completos do cliente e datas de nascimento do cliente)
  • Agências governamentais
  • Organizações que têm informações confidenciais
  • Organizações que criam software ou hardware para clientes (já que podem usar a tecnologia para hackear clientes)
  • Organizações que atuam na área de defesa

Ao escolher quem hackear, muitos hackers procuram alvos fáceis que renderão uma alta recompensa, pois querem ganhar mais dinheiro com o mínimo de esforço e risco.

Embora cada hacker funcione de maneira diferente, a maioria tem como alvo:

  • Sistemas operacionais
  • Navegadores da Web
  • Hardware e firmware
  • Aplicações de Software
  • Dispositivos da Internet das Coisas (IoT)

Exemplos

Embora você não pense em ataques cibernéticos regularmente, eles acontecem com mais frequência do que você imagina. Em 2020, indivíduos e organizações detectaram mais de 677 milhões de malware. Este é um aumento de 2.317,86% em relação a 2010, quando as pessoas detectaram apenas mais de 28 milhões de malware.

De acordo com uma pesquisa do Ponemon Institute, quase 48% das organizações sofreram uma violação de dados nos últimos dois anos. 62% dessas organizações desconheciam a vulnerabilidade antes do ataque (o que significa que eram ataques de dia zero).

Embora a maioria das organizações não divulgue os detalhes de seus ataques, sabemos de muitos grandes ataques dos últimos anos. Esses incluem:

O hack do Google Chrome 2021

Em abril de 2021, o Google lançou uma atualização para seu navegador Google Chrome em dispositivos Windows, Linux e Mac. Entre outras coisas, esta atualização corrigiu uma vulnerabilidade de dia zero que um hacker explorou. Eles chamaram a vulnerabilidade de “CVE-2021-21224”.

Embora o Google não tenha compartilhado todos os detalhes do ataque, o CVE-2021-21224 permitiu que alguém executasse código em uma sandbox por meio de uma página HTML criada.

O hack de zoom de 2020

Em julho de 2020, a empresa de segurança cibernética 0patch informou que uma pessoa anônima havia identificado uma vulnerabilidade de dia zero no Zoom. A vulnerabilidade permitia que um hacker executasse código remotamente no Zoom assim que entrasse, fazendo com que um usuário clicasse em um link ou abrisse um malware. A vulnerabilidade existia apenas em computadores que executavam o Windows 7 ou versões anteriores do Windows.

Depois de aprender sobre a vulnerabilidade, 0patch levou as informações para o Zoom, e os desenvolvedores do Zoom lançaram um patch de segurança para o problema em um dia.

O ataque do Microsoft Word 2016/2017

Em 2016, Ryan Hanson (pesquisador e consultor de segurança da Optiv) identificou uma vulnerabilidade de dia zero no Microsoft Word. A vulnerabilidade (conhecida como “CVE-2017-0199”) permitiu que um invasor instalasse malware no computador de um usuário depois que o usuário baixava um documento do Word que executava scripts maliciosos.

De acordo com a Reuters, hackers exploraram o CVE-2017-0199 para roubar milhões de contas bancárias online antes que os desenvolvedores da Microsoft o corrigissem em 2017. Curiosamente, Hanson não foi a única pessoa a descobrir o CVE-2017-0199 — em abril de 2017, pesquisadores da McAfee e FireEye ambos relataram encontrar a vulnerabilidade.

O Ataque Stuxnet de 2010

Em 2010, o Stuxnet teve como alvo várias instalações (incluindo instalações nucleares) no Irã. Stuxnet era um worm de computador que infectava computadores Windows por meio de pendrives que continham malware.

O malware Stuxnet então atacou as máquinas visando seus controladores lógicos programáveis ​​(PLCs). Esses PLCs automatizam os processos da máquina, o que significa que o Stuxnet pode interferir no maquinário de seu alvo.

De acordo com a McAfee, o Stuxnet destruiu várias estações de tratamento de água, usinas de energia, linhas de gás e centrífugas na instalação de enriquecimento de urânio de Natanz, no Irã. O Stuxnet também gerou muitos descendentes, incluindo o Duqu (um malware que rouba dados dos computadores visados).

Por que os ataques de dia zero são perigosos

O impacto financeiro, operacional e legal de um ataque de dia zero pode ser devastador. De acordo com o Relatório de Investigações de Violação de Dados de 2021 da Verizon, 95% das organizações visadas por hackers perderam:

  • Entre US$ 250 e US$ 984.855 em ataques de Business Email Compromise (BEC)
  • Entre US$ 148 e US$ 1.594.648 em incidentes de violação de dados de computador (CDB)
  • Entre US$ 69 e US$ 1.155.755 em incidentes de ransomware

No entanto, os ataques de dia zero ainda são devastadores, mesmo que você não perca dinheiro. Aqui está o porquê:

Eles podem passar despercebidos por dias, meses ou até anos

Como as vulnerabilidades de dia zero são desconhecidas pelos desenvolvedores, muitas organizações não sabem quando um invasor violou seus sistemas até muito tempo depois do ataque. Infelizmente, isso significa que os hackers podem abusar repetidamente do seu sistema antes que você possa detê-los.

Vulnerabilidades podem ser difíceis de corrigir

Assim que sua empresa souber que um hacker comprometeu seu sistema, você precisará descobrir onde está a vulnerabilidade. Como muitas organizações usam vários sistemas, pode demorar um pouco para localizar e corrigir o problema.

Hackers podem usá-los para roubar dados financeiros ou informações bancárias

Muitos invasores entram nos sistemas para roubar dados financeiros ou informações bancárias. Alguns hackers vendem esses dados para terceiros, enquanto outros usam suas informações financeiras para roubar dinheiro de você.

Criminosos podem usá-los para manter sua empresa por resgate

Enquanto muitos hackers usam ataques de dia zero para roubar dados, outros retêm sua empresa por meio de ataques de negação de serviço distribuído (DDoS) e outras técnicas de resgate. Os ataques DDoS enviam spam ao seu site com solicitações até que ele falhe.

Se você quiser saber como parar um ataque DDoS, leia nosso estudo de caso: “Como parar um ataque DDoS em suas trilhas”.

Criminosos podem atingir seus clientes

Se você vende software ou hardware com uma base de usuários dedicada, os hackers podem violar seu sistema e usá-lo para atacar seus clientes.

Recentemente, vimos um exemplo devastador disso quando criminosos violaram o software da Kaseya e usaram seu sistema para atacar de 800 a 1.500 clientes da Kaseya com ransomware.

Como identificar um ataque de dia zero

Como cada ataque de dia zero funciona de maneira diferente, não há uma maneira perfeita de detectá-los. No entanto, existem muitas maneiras comuns pelas quais as organizações identificam ataques. Aqui estão seis deles.

1. Conduza a verificação de vulnerabilidades

A verificação de vulnerabilidades é o processo de busca de vulnerabilidades de dia zero em seu sistema. Depois de encontrar uma vulnerabilidade, você trabalha para corrigi-la antes que os hackers possam explorá-la.

A verificação de vulnerabilidades pode ser uma atividade independente ou uma parte regular do seu processo de desenvolvimento. Muitas organizações também optam por terceirizar sua verificação de vulnerabilidades para empresas especializadas em segurança cibernética.

2. Colete e monitore relatórios de usuários do sistema

Como os usuários do seu sistema interagem com o seu sistema regularmente, eles podem detectar problemas em potencial antes de você. Naturalmente, você deve rastrear seus relatórios de usuários para relatórios sobre e-mails suspeitos, pop-ups ou notificações sobre tentativas de senha.

3. Observe o desempenho do seu site

De acordo com o Relatório de Investigações de Violação de Dados de 2021 da Verizon, mais de 20% dos ataques cibernéticos têm como alvo aplicativos da web. Embora nem sempre você possa saber se os hackers violaram seu aplicativo ou site da Web, alguém pode ter atacado seu site se:

  • Você não pode fazer login
  • A aparência do seu site mudou
  • Seu site redireciona os visitantes para um site desconhecido
  • O desempenho do seu site cai inesperadamente
  • Seu site está mostrando avisos do navegador, como este:

Uma mensagem do Google informando que um site pode estar comprometido
Uma mensagem do Google informando que um site pode estar comprometido.

4. Utilize Retro Hunting

Retro hunting é o processo de procurar relatórios de ataques cibernéticos significativos e verificar se sua organização foi afetada. Para aproveitar ao máximo a caça retrô, certifique-se de:

Precisa de uma solução de hospedagem que lhe dê uma vantagem competitiva? Kinsta cobre você com velocidade incrível, segurança de última geração e dimensionamento automático. Confira nossos planos

  • Direcione todos os e-mails de seus fornecedores de software para uma caixa de entrada central e verifique regularmente se há notificações sobre falhas de segurança
  • Analise as notícias diariamente para verificar se há novos ataques a organizações em seu setor
  • Leia os detalhes dos ataques recentes e peça aos seus desenvolvedores para verificar se seus sistemas podem resistir a um ataque semelhante

5. Preste atenção à velocidade de rede reduzida

Quando um hacker obtém acesso a um sistema por meio de malware, o aumento do tráfego de rede às vezes diminui a velocidade da conexão com a Internet da vítima. Portanto, se você ficar de olho nas velocidades de sua rede, poderá identificar um ataque à medida que ele acontece.

6. Acompanhe o desempenho do seu software

Quando alguém obtém acesso ao seu sistema por meio de uma vulnerabilidade, o código que eles injetam em seu software pode tornar seu programa lento, alterar suas funções ou colocar recursos offline. Naturalmente, você pode identificar um ataque de dia zero observando mudanças significativas ou inexplicáveis ​​em seu sistema.

Como se proteger de explorações de dia zero

Como você não tem escolha a não ser sentar e assistir hackers roubarem dinheiro, dados e segredos comerciais enquanto espera que os desenvolvedores resolvam o buraco, os ataques de dia zero são muito estressantes.

A melhor arma da sua organização contra ataques de dia zero é uma melhor preparação. Aqui estão oito maneiras de proteger seus sistemas contra ataques de dia zero.

1. Use o software de segurança

O software de segurança protege seu sistema contra vírus, invasões baseadas na Internet e outras ameaças de segurança.

Embora cada software ofereça tipos de proteção ligeiramente diferentes, a maioria das soluções de software pode verificar downloads em busca de malware, bloquear usuários não autorizados de seu sistema e criptografar seus dados.

Algumas empresas de software de segurança também desenvolvem software especializado para sites. Por exemplo, se você usa o WordPress (como 40% dos sites), pode proteger seu site com:

  • Software de monitoramento de integridade de arquivos (FIM)
  • Plugins que procuram comentários desonestos (como Astra Web Security e WP fail2ban)
  • Plugins que protegem seu site contra ataques de força bruta
  • Uma rede de entrega de conteúdo (CDN)

Alternativamente, você pode usar um plugin de segurança geral como Sucuri ou Wordfence.

2. Instale novas atualizações de software com frequência

À medida que os hackers encontram vulnerabilidades em códigos desatualizados, atualizar seu site, aplicativos da Web e software é fundamental para manter seus sistemas seguros. Novas atualizações protegem seu sistema porque:

  • Eles contêm patches para vulnerabilidades de segurança cibernética conhecidas (incluindo explorações de dia zero)
  • Eles removem partes antigas ou não utilizadas de programas que os hackers podem explorar
  • Eles introduzem novas medidas de segurança cibernética para manter os usuários seguros
  • Eles corrigem pequenos bugs que são vulneráveis ​​ao fuzzing

3. Use hospedagem segura na web

Hackers violam mais de 127.000 sites todos os dias. E como os hackers podem invadir seu site por meio de plugins, temas de sites ou versões desatualizadas do núcleo do WordPress, os sites do WordPress são os principais alvos.

Felizmente, você pode proteger sua organização usando um provedor de hospedagem seguro como Kinsta. Kinsta protege seu site com:

  • Conexões Secure File Transfer Protocol (SFTP) e Secure Shell (SSH) criptografadas
  • Uma conexão segura com o Google Cloud Platform
  • Uma garantia de correção de hack
  • Uma ferramenta de negação de IP que permite bloquear o acesso de endereços IP ao seu site
  • Proteção de negação de serviço distribuída (DDoS) e um firewall de nível empresarial por meio da Cloudflare
  • Backups automáticos a cada duas semanas
  • Uma garantia de segurança

Garantia de hospedagem WordPress segura da Kinsta
Garantia de hospedagem WordPress segura da Kinsta.

4. Use um firewall

Os firewalls são exatamente o que parecem: paredes digitais entre seu sistema e o mundo exterior. Os firewalls adicionam uma camada extra de proteção aos seus sistemas, pois os hackers precisam violar o firewall antes que possam atacar seu sistema.

Há muitos tipos de firewalls que você pode escolher, incluindo firewalls pessoais, de filtragem de pacotes, com estado, de aplicativos da Web e de próxima geração (NGFW).

5. Use a Regra de Menor Acesso

A Regra de Acesso Mínimo diz que as pessoas em sua organização devem ter acesso apenas aos dados, hardware e software de que precisam para realizar suas tarefas normais de trabalho.

A Regra de Acesso Mínimo cria menos pontos de entrada para hackers que usam engenharia social, limitando o número de pessoas que têm acesso administrativo a cada sistema.

6. Mude para o desenvolvimento de DevOps

DevOps é uma abordagem que utiliza um sistema de desenvolvimento contínuo para atualizar os programas constantemente. Ele pode ajudá-lo a aumentar sua segurança contra explorações de dia zero, pois força você a atualizar e alterar seu sistema constantemente.

Se você quiser saber mais sobre o desenvolvimento de DevOps, leia nosso artigo “Ferramentas de DevOps”. Mas, resumindo, o desenvolvimento do DevOps segue este ciclo de vida:

Um diagrama de um ciclo de vida de DevOps
Um diagrama de um ciclo de vida de DevOps. ( Fonte: Atlassian)

7. Implementar o treinamento de segurança do usuário

O treinamento de segurança do usuário ensina seus funcionários a identificar técnicas de engenharia social e ameaças de segurança à solta.

Treinar seus funcionários para identificar ameaças de segurança cibernética os ajudará a identificar ataques, informar as pessoas certas rapidamente e agir sem entrar em pânico ou fornecer informações aos hackers.

8. Use VPNs

Redes Privadas Virtuais (VPNs) são servidores intermediários que protegem seus dados de navegação, endereço IP e dados de conexão enquanto você navega na Internet. O uso de VPNs tornará mais difícil para hackers criminosos invadirem seu sistema por meio do navegador da Web, pois eles têm menos informações para usar contra você.

As VPNs funcionam assim:

Como funcionam as VPNs
Como as VPNs funcionam. ( Fonte: Yellowstone Computing)

Saiba tudo o que você precisa saber sobre essa forma cada vez mais comum de vulnerabilidade cibernética: explorações de dia zero. Clique para Tweetar

Resumo

Os ataques de dia zero são cada vez mais comuns e uma preocupação natural para organizações em todo o mundo. No entanto, existem etapas que você pode seguir para reduzir o risco de ataque, incluindo:

  • Treinar sua equipe para detectar e responder a ataques
  • Usando medidas de segurança cibernética, como VPNs, software de segurança e firewalls
  • Alterando seu processo de desenvolvimento para atualizar os sistemas regularmente
  • Controlando cuidadosamente o acesso a dados e sistemas vulneráveis
  • Usando serviços de hospedagem de sites seguros (como Kinsta)

Agora que compartilhamos nossas dicas, acabou para você. Que medidas você toma para mitigar o risco de um ataque cibernético em sua organização? Por favor, deixe-nos saber nos comentários abaixo.