Em meio ao desenvolvimento de um software, por mais que nos atentemos a realizar os devidos testes, ainda é comum o software apresentar bugs.
A princípio, quando um desenvolvedor encontra essa falha, ele tentará corrigi-lo o mais rápido possível. Pode acontecer também de um usuário notificar a empresa de que o software está com defeito e até alertar outras pessoas na internet sobre a falha.
Entretanto, existem muitos hackers maliciosos que se aproveitam de falhas no software. Se esse “usuário” mal intencionado encontrar essa falha antes de que o fabricante possa perceber, ele pode tentar explorar o software a fim de obter acesso a informações, dados e documentos que não deveria ter.
O que vem a ser a falha zero-day?
Como vimos acima, normalmente o fabricante corrige as falhas rapidamente para eliminar a vulnerabilidade e deixar o software mais seguro. O problema é quando os hackers descobrem a falha antes mesmo do fabricante. Essa é a falha zero-day, no português - dia zero.
Quando um ponto fraco da segurança de um sistema ou aplicação é descoberto, um hacker pode fazer um ataque utilizando exploits - um código malicioso que se aproveita dessa falha para que possam acessar um sistema e fornecer as permissões necessárias para depois infectá-lo.
O nome zero-day faz referência ao tempo que o fabricante/desenvolvedor estão cientes da brecha de segurança e devem resolvê-la em menos de 1 dia, ou seja, a partir do momento que a falha é detectada, tem-se efetivamente “zero dias” para produzir uma atualização que corrija o problema, impedindo a exploração por criminosos antes disso.
Como funciona?
As vulnerabilidades zero-day podem ser exploradas por meio de vírus, worms, trojans e vários tipos de malwares, o que propaga e infecta outros usuários de maneira muito rápida e, pior, podendo circular pela internet por meses.
Como se proteger dessa falha?
Aí é que mora o problema: combater as vulnerabilidades zero-day ainda é um desafio. Como as falhas ainda são desconhecidas pelos fabricantes e não são detectáveis, infelizmente não existe um método 100% eficaz contra essa falha.
A boa notícia é que podemos contar com boas estratégias de segurança, para que possamos diminuir a possibilidade de sermos afetados. Alguns exemplos são:
- Manter sistemas atualizados: todos os sistemas devem estar atualizados em sua última versão. Com ferramentas desatualizadas, os hackers podem tirar proveito por mais tempo;
- Usar ferramentas de segurança eficientes: ferramentas de proteção atualizadas e de boa qualidade;
- Redes protegidas: usar redes protegidas com um firewall de qualidade;
- Um bom antivírus: embora antivírus não sejam muito eficientes contra falhas zero-day — já que sem saber da existência dessas brechas não há como identificar os ataques — há a possibilidade de que essas aplicações identifiquem malwares que, ao explorar uma falha zero-day, acabam apresentando um comportamento suspeito.
Curso Segurança da Informação - Fundamentos
Conhecer o cursoExemplos de falhas zero-day recentes…
Zoom
Atualmente, devido a pandemia da Covid-19, o Zoom teve um alto crescimento, estando em primeiro lugar na utilização de softwares de videochamada, passando concorrentes como o Google Hangouts e Skype. Isso imediatamente despertou o interesse de hackers que querem tirar proveito, o que ocasionou em várias vulnerabilidades de segurança de zero-day que foram tornadas públicas logo depois.
Um exemplo foi a invasão de videoconferências usando o ID da reunião virtual ou até mesmo um link que se tornou público, usando o nome da ferramenta a fim de enganar os usuários para infectá-los com malware.
Também foi descoberto que o Zoom era vulnerável a uma falha onde este transforma caminhos UNC em hiperlinks, onde ao serem clicados, resultam em logins hackeados. Existem alguns outros que foram descobertos, você pode conferir no próprio blog da Zoom, inclusive todas as suas notas oficiais. Todos as falhas citadas foram corrigidas rapidamente, segundo a empresa.
Windows 10
No ano passado, um pesquisador de segurança da Google, tornou público uma vulnerabilidade explorável do Windows 10. Nessa vulnerabilidade encontrada, era possível executar um ataque de negação de serviço (DoS) nos servidores Windows.
O “trato” após a descoberta dessa vulnerabilidade é que o Windows deveria corrigi-lo em até 90 dias, como não foi feito (ainda estavam corrigindo) foi tornado público no 91º dia.
Google Chrome
Ano passado, a Kaspersky descobriu uma vulnerabilidade zero-day no navegador Google Chrome. Neste caso ele manipulava a memória, onde o exploit obtém permissão para ler e escrever dados no dispositivo, onde imediatamente fazia o download e rodava o malware. Essa falha foi reportada e a Google já resolveu.
Considerações finais…
Por fim, se você tiver interesse de conhecer mais casos, desde 2014 uma equipe de pesquisadores de segurança da Google mantem o blog [“Project Zero”](https://googleprojectzero.blogspot.com/ ““Project Zero””) com relatos, notícias e atualizações que envolvem o zero-day.