Cari lettori di Tecnogalaxy, oggi parleremo per la prima volta di exploit zero day, andremo a vedere cosa sono, come vengono scoperti e come un malintenzionato sfrutta questi exploit. Entriamo nel dettaglio….

Cos’è uno zero day?

Uno zero day (tradotto in Italiano un giorno zero), è una vulnerabilità che un black hat (Un black hat è un hacker attivamente impegnato in qualsiasi tipo di operazione criminale informatica. Il suo obiettivo, come già specificato, è ottenere un guadagno economico tramite azioni di cyberspionaggio o altri scopi dannosi per le organizzazioni), ha scoperto e sfruttato prima che uno sviluppatore ha trovato e risolto il problema. Tecnicamente lo zero-day si riferisce a quanto tempo uno sviluppatore deve patteggiare il problema prima di essere sfruttato in natura.

Ovviamente le aziende di grandi dimensioni in generale come ad esempio Google, Microsoft etc….è difficile che vengano colpite da exploit zero-day, perché hanno ricercatori di sicurezza che lavoro al loro interno per trovare e risolvere questi problemi prima che i malintenzionati inizino a sfruttarli.

A volte però capita che vengano scoperte vulnerabilità anche in queste grandi case. Ad esempio sembra che Google sia stato preso in castagna come si dice.

Il commercio delle vulnerabilità zero-day essendo molto complesso dà vita ad un fiorente mercato nero, gestito specialmente nel dark web.

Esistono dei veri market virtuali dove vengono vendute le specifiche delle vulnerabilità zero-day , o addirittura i codici malevoli per sfruttare le vulnerabilità cioè gli exploit.

Ci sono poi le vulnerabilità half-day: sono sempre chiamate zero-day ma a differenza delle altre sono state rese note al pubblico o ai vendor interessati.

Anche le half-day comunque hanno un elevato valore, questo perché prima che il produttore rilasci la patch possono passare diversi giorni, se non mesi. Inoltre la vulnerabilità verrà sfruttata sicuramente per parecchi mesi prima che quest’ultima venga installata dagli utenti finali.

Possiamo dividere i mercati in tre tipologie:

  • Quelli diretti;
  • Quelli intermediati;
  • Il mercato nero;

Partiamo dal mercato diretto vedendo l’iniziativa di Chrome Vulnerability Reward Program di Google, che offre un programma chiamato bug bounty utilizzato per identificare le nuove vulnerabilità dei propri sistemi in cambio di premi , la cosa bella che sono in denaro.

Per i mercati intermediati invece, non sono le case produttrici a gestire la cosa, ma sono dei broker a farlo, convalidando le vulnerabilità zero-day scoperte, e in base al livello di criticità pagare chi ha scoperto la vulnerabilità.

I mercati neri ovviamente non hanno nulla di ufficiale e di legale, infatti i pagamenti avvengono tramite le principali valute digitali, di solito quelle utilizzate sono Bitcoin, WebMoney etc… mentre nei mercati ufficiali e in quelli intermediati vengono effettuati pagamenti tramite bonifici e quasi sempre in dollari.

Prendiamo come esempio la CVE-2019-5786 uscita a Marzo 2019, Google descriveva questa CVE-2019-5786 come un bug di cattiva gestione della memoria in FileReader.

Questa parte del browser Web consente alle app Web di leggere i file memorizzati sul computer dell’utente PAZZESCOOOOOO, sembra che questo bug potrebbe consentire l’esecuzione di codice dannoso.

Ovviamente come detto più volte, bisogna tenere sempre aggiornati i propri sistemi con le patch che rilasciano le varie case.

Non aggiornando ad esempio il proprio sistema informativo come ad esempio Windows con l’apposita funzione Windows Update, un malintenzionato potrebbe sfruttare vulnerabilità vecchie senza alcun sforzo, compromettendo oltre al vostro computer magari l0intera organizzazione.

Come accennato all’inizio dell’articolo, possiamo dividere in due i tipi di exploit:

  • Exploit conosciuti
  • Exploit sconosciuti o zero-day

Gli exploit  conosciuti sono noti ai creatori del software o del sistema operativo (Windows ad esempio), sono venuti a conoscenza o tramite segnalazioni fatte dagli utenti o tramite il processo qualità, (eseguito dal proprio team di sviluppo).

Di solito queste vulnerabilità vengono corrette in breve tempo tramite un aggiornamento software.

Gli attacchi Zero-Day invece sfruttano exploit sconosciuti, questo significa che al momento della scoperta non ci sono disponibili soluzioni/documentazione.

La maggior parte degli attacchi malware prendono di mira exploit sconosciuti perché come detto prima, quelli conosciuti vengono risolti rapidamente o possono essere bloccati con un programma antivirus.

Possiamo classificare ulteriormente gli exploit in base al tipo di vulnerabilità presa di mira o al metodo utilizzato per ottenere ad esempio il controllo di un computer o di un server o addirittura di una rete.

Possiamo dividerli così:

Attacchi a dizionario

Tipo di attacco più utilizzato nell’ambito del Password Cracking, permette di ottenere dei buoni risultati (ovviamente se il dizionario utilizzato è completo e le relative regole sono efficaci).

Viene presa la password in chiaro dal Dizionario utilizzato, genera l’hash.

Viene comparato l’hash generato con quello della della password da craccare.

Se l’hash non corrisponde, si ritorna allo Step 1.

Se l’hash corrisponde significa che la password è stata scoperta.

SQL Injection

Abbiamo già parato in qualche articolo precedente di SQL Injection. SQL è un linguaggio di programmazione che viene utilizzato da un programmatore per dialogare con un database.

Tramite questa tecnica è possibile accedere e manipolare i dati contenuti in nelle varie tabelle del database presenti su un server.

Attacchi di forza bruta

In questo tipo di attacco non si decripta la password, ma si craccra confrontando l’hash con quelli generati usando una combinazione di caratteri.

Questa è una tecnica diciamo vecchia ma ancora efficace e molto utilizzata dai malintenzionati.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.