FAQ

Lo sfruttamento di una zero-day si basa sullo sviluppo di un exploit specifico, ovvero un codice o un metodo in grado di sfruttare la vulnerabilità prima che venga corretta. L'attaccante può integrarlo in un documento compromesso, un sito web, un malware o un'email di phishing.

Una volta lanciato l'exploit, può consentire di prendere il controllo del sistema, installare un cavallo di Troia, aprire una backdoor o estrarre dati. La particolarità di un exploit zero-day è che sfugge ai meccanismi di rilevamento classici, poiché si basa su una debolezza ancora sconosciuta a tutti.

Una vulnerabilità zero-day è una falla di sicurezza sconosciuta al produttore o all'editore di un software, di un hardware o di un sistema. È detta "zero-day" perché l'editore ha avuto zero giorni per correggere la vulnerabilità nel momento in cui viene scoperta o sfruttata. Non è quindi ancora stata oggetto di una patch ufficiale né di una segnalazione pubblica.

Queste falle possono esistere per mesi, persino anni, senza essere rilevate. Quando vengono trovate da criminali informatici o gruppi statali, possono essere sfruttate in tutta discrezione, rendendo il loro impatto potenzialmente molto grave.

Le vulnerabilità zero-day sono particolarmente pericolose perché sono sconosciute agli editori, agli utenti e spesso alle soluzioni di sicurezza tradizionali (antivirus, IDS, ecc.). Ciò significa che non esiste alcuna correzione, patch e spesso nessun meccanismo di rilevamento o protezione al momento dell'attacco.

Gli aggressori possono quindi sfruttarle senza essere rilevati, spesso nel contesto di attacchi mirati e sofisticati (cyber-spionaggio, sabotaggio, accesso prolungato a un sistema). Il loro valore è così elevato che alcune zero-day vengono rivendute sul dark web o ad attori governativi per centinaia di migliaia di euro.

Una CVE è semplicemente una dichiarazione pubblica dell'esistenza di una falla in un determinato prodotto, mentre una vulnerabilità sfruttata significa che un attaccante sta attivamente utilizzando tale falla per compromettere i sistemi. In altre parole, non tutte le CVE vengono sfruttate in condizioni reali: alcune possono rimanere teoriche o tecniche.

Al contrario, una vulnerabilità può essere sfruttata senza aver ancora ricevuto una CVE: questo è ciò che viene chiamato zero-day. Per valutare il pericolo reale di una CVE, è necessario consultare informazioni complementari come i dati KEV della CISA o il punteggio EPSS, che indicano se la falla è attivamente utilizzata in attacchi informatici. Queste informazioni sono disponibili direttamente dal nostro sito Internet CVE Find.

Una CVE (Common Vulnerabilities and Exposures) è una falla di sicurezza già identificata, documentata e pubblicata in un database ufficiale. È nota al pubblico e, in generale, sono in corso o già disponibili delle patch correttive. Invece, una zero-day è una falla non ancora divulgata, quindi non registrata in una CVE al momento della sua scoperta.

In altre parole, ogni zero-day può diventare una CVE, ma non tutte le CVE sono zero-day. Il rischio maggiore di una zero-day è proprio che sia sfruttabile prima ancora della sua segnalazione, mentre una CVE è per definizione una vulnerabilità in fase di trattamento o di correzione.