Lo sfruttamento di una zero-day si basa sullo sviluppo di un exploit specifico, ovvero un codice o un metodo in grado di sfruttare la vulnerabilità prima che venga corretta. L'attaccante può integrarlo in un documento compromesso, un sito web, un malware o un'email di phishing.
Una volta lanciato l'exploit, può consentire di prendere il controllo del sistema, installare un cavallo di Troia, aprire una backdoor o estrarre dati. La particolarità di un exploit zero-day è che sfugge ai meccanismi di rilevamento classici, poiché si basa su una debolezza ancora sconosciuta a tutti.
Una vulnerabilità zero-day è una falla di sicurezza sconosciuta al produttore o all'editore di un software, di un hardware o di un sistema. È detta "zero-day" perché l'editore ha avuto zero giorni per correggere la vulnerabilità nel momento in cui viene scoperta o sfruttata. Non è quindi ancora stata oggetto di una patch ufficiale né di una segnalazione pubblica.
Queste falle possono esistere per mesi, persino anni, senza essere rilevate. Quando vengono trovate da criminali informatici o gruppi statali, possono essere sfruttate in tutta discrezione, rendendo il loro impatto potenzialmente molto grave.
Sì, diversi zero-day famosi hanno segnato la storia della cybersecurity. Uno dei più noti è Stuxnet, un malware scoperto nel 2010, progettato per sabotare le centrifughe nucleari in Iran. Sfruttava diversi zero-day in Windows, rivelando il livello di sofisticazione di alcune operazioni cyber offensive.
Un altro esempio: WannaCry, un ransomware che ha colpito centinaia di migliaia di computer nel 2017, sfruttava una vulnerabilità di Windows rivelata dal gruppo Shadow Brokers. Sebbene una patch fosse stata rilasciata poco prima dell'attacco, molti sistemi non erano aggiornati, dimostrando che la gestione delle patch rimane un anello debole. Questi esempi ricordano l'impatto devastante che possono avere le vulnerabilità non corrette.
Le vulnerabilità zero-day sono particolarmente pericolose perché sono sconosciute agli editori, agli utenti e spesso alle soluzioni di sicurezza tradizionali (antivirus, IDS, ecc.). Ciò significa che non esiste alcuna correzione, patch e spesso nessun meccanismo di rilevamento o protezione al momento dell'attacco.
Gli aggressori possono quindi sfruttarle senza essere rilevati, spesso nel contesto di attacchi mirati e sofisticati (cyber-spionaggio, sabotaggio, accesso prolungato a un sistema). Il loro valore è così elevato che alcune zero-day vengono rivendute sul dark web o ad attori governativi per centinaia di migliaia di euro.
Una CVE (Common Vulnerabilities and Exposures) è una falla di sicurezza già identificata, documentata e pubblicata in un database ufficiale. È nota al pubblico e, in generale, sono in corso o già disponibili delle patch correttive. Invece, una zero-day è una falla non ancora divulgata, quindi non registrata in una CVE al momento della sua scoperta.
In altre parole, ogni zero-day può diventare una CVE, ma non tutte le CVE sono zero-day. Il rischio maggiore di una zero-day è proprio che sia sfruttabile prima ancora della sua segnalazione, mentre una CVE è per definizione una vulnerabilità in fase di trattamento o di correzione.
Un pentest può occasionalmente rivelare una zero-day, ma non è garantito. I pentesters si basano principalmente su vulnerabilità note (CVE, configurazioni errate, pratiche rischiose), ma può accadere che un test manuale, una logica di attacco particolare o un'intuizione permetta di scoprire una vulnerabilità inedita.
Tuttavia, la scoperta di zero-day nell'ambito di un pentest rimane rara e dipende dal livello di profondità dell'analisi, dall'esperienza dei tester e dalla complessità del sistema testato. Per questa ragione, alcuni pentest molto avanzati includono fasi di fuzzing o di audit del codice specifici per la ricerca di zero-day, soprattutto in contesti ad alto rischio (settore difesa, finanza, infrastrutture critiche).