Il Microsoft Intelligence Center ha segnalato circa tre zero-day VMware. Broadcom ha contrassegnato i propri clienti come compromessi e le vulnerabilità erano CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226. Ciò ha avuto un impatto sui prodotti VMware ESX, tra cui Workstation, Telco Cloud Pattern, vSphere, VMware ESXi, Cloud Foundation e Fusion. Si sono verificati overflow dell'heap VCMI, difetti di divulgazione delle informazioni HGFS e perdite di memoria dai processi VMX.
Anche il driver BioNTdrv.sys di Paragon Partition Manager è stato recentemente vittima di attacchi ransomware zero-day. Era vulnerabile alla mappatura arbitraria della memoria del kernel, alla scrittura e allo spostamento della memoria, il che ha aperto la strada ad attacchi Bring Your Vulnerable Driver su sistemi privi di driver di periferica. Il bug critico di PostgreSQL era legato a un attacco zero-day al Tesoro degli Stati Uniti.
Gli zero-day stanno diventando un problema, causando conseguenze devastanti che vanno oltre la violazione dei dati. Questa guida esplorerà le vulnerabilità zero-day. Impareremo come prevenire gli attacchi zero-day e mitigarli.
Cosa sono gli attacchi zero-day?
Un attacco zero-day è una vulnerabilità o un difetto che gli hacker trovano nel codice di un'applicazione o in qualsiasi altra opportunità che possono sfruttare. Gli exploit zero-day sfruttano al massimo i difetti di sicurezza non risolti o sconosciuti nell'hardware, nel software e nel firmware dei computer. Si tratta di un attacco zero-day perché il fornitore ha zero giorni per risolvere il problema di sicurezza. Gli autori degli attacchi possono sfruttare immediatamente queste vulnerabilità e accedere ai sistemi vulnerabili.
Gli sviluppatori di software devono rilasciare patch per queste vulnerabilità e aggiornare i loro programmi. Ma a quel punto il danno è già stato fatto ed è troppo tardi per prevenirlo. Gli attacchi zero-day possono installare malware, rubare dati e persino uccidere persone. Possono causare molti pericoli e provocare il caos tra utenti, organizzazioni e sistemi. Gli attacchi zero-day possono essere virus, malware, attacchi ransomware o minacce non rilevabili che eludono le tradizionali tecnologie di rilevamento basate su firme.
Le vulnerabilità zero-day possono comportare gravi rischi a causa della portata sconcertante della copertura degli attacchi. Possono esporre intere organizzazioni e migliaia di utenti ai crimini informatici fino a quando il fornitore o la comunità non identificano e risolvono il problema. Alcune vulnerabilità zero-day possono rimanere inosservate per giorni, mesi o anni, quindi gli sviluppatori non hanno abbastanza tempo per reagire e risolverle quando diventano di dominio pubblico.
Le organizzazioni vengono colte alla sprovvista quando gli hacker sfruttano queste falle prima che i fornitori possano correggerle. È una corsa contro il tempo. E una volta che gli hacker creano exploit zero-day funzionanti, possono lanciare attacchi su larga scala.
Perché gli attacchi zero-day sono così pericolosi?
Gli zero-day sono pericolosi perché non si sa con cosa si ha a che fare. L'entità del danno è sconosciuta e ci sono molti pericoli nascosti, come perdite finanziarie, danneggiamento della reputazione della tua azienda e creazione di punti ciechi, ulteriori punti ciechi che non puoi rilevare rapidamente o correggere.
Pensala in questo modo. Immagina di essere un principiante nel karate e di avere la cintura bianca.Ti hanno bendato e ti hanno incaricato di affrontare un cintura nera. La parte peggiore è che non sei nemmeno esperto nelle arti marziali, quindi le possibilità di perdere sono incredibilmente alte. L'unica via d'uscita è sfuggire alla situazione e pianificare delle contromisure per non incrociare più la cintura nera. Gli attacchi zero-day possono avere origine anche da difetti nella codifica e nelle pratiche di progettazione. Le vulnerabilità di sicurezza tradizionali possono essere corrette in tempo e rendere sicure le applicazioni, ma le vulnerabilità zero-day sono diverse. Non c'è tempo per creare e lavorare sui sistemi di patch. Non esistono correzioni per queste vulnerabilità. Ciò significa che dovrai sviluppare nuove patch e soluzioni di sicurezza.
Gli attacchi zero-day ad alto impatto possono causare perdite che vanno da 500.000 a 2 milioni di dollari, a seconda dell'obiettivo e della piattaforma.
Come funzionano gli attacchi zero-day?
Ecco come funzionano gli attacchi zero-day in breve:
- Nel codice del software compare una vulnerabilità, ma il fornitore e il pubblico non ne sono a conoscenza. Un hacker alla fine la individua tramite strumenti automatizzati e test.
- L'avversario sfrutterà quindi questo codice e trarrà vantaggio dalla sua vulnerabilità. Creerà una variante dannosa e la inserirà nel servizio web o nell'app, causandone il malfunzionamento.
- Ciò consentirà loro di ottenere un accesso non autorizzato. Il danno inizia lì e si aggrava lentamente.
- Quando il fornitore scopre il problema, tenterà una rapida risoluzione. Gli utenti e le organizzazioni devono correggere la vulnerabilità per impedire ulteriori sfruttamenti e fermare la violazione.
Come rilevare gli attacchi zero-day?
Gli attacchi zero-day sfruttano le lacune di sicurezza nei programmi e nelle app. Gli aggressori possono individuare i punti deboli nel codice sorgente e creare codice dannoso da iniettare nei database.
Rilevare gli attacchi zero-day non è semplice, ma può essere difficile e complicato. Per individuare le vulnerabilità, è necessario impostare regole di correlazione predefinite e analizzare i dati esistenti nella propria infrastruttura. Un altro modo per rilevare queste minacce è monitorare i movimenti interni.
Esaminare le attività degli utenti utilizzando tecnologie di rilevamento, registrazione e monitoraggio continuo delle minacce. Le attività di registrazione della vostra organizzazione possono fornirvi informazioni su ciò che sta accadendo, mentre i dashboard consolidati possono anche fornire approfondimenti strategici sulla sicurezza.
Prevenzione e mitigazione degli attacchi zero-day
L'implementazione di una soluzione affidabile di intelligence sulle minacce e di SIEM è essenziale per raccogliere dati telemetrici e analizzare gli eventi di sicurezza. Queste soluzioni dovrebbero essere in grado di identificare più tipi di dati provenienti da fonti diverse e generare avvisi in tempo reale ogni volta che vengono rilevate deviazioni. È possibile indagare tempestivamente su questi valori anomali con il personale addetto alla sicurezza e ridurre gli accessi non autorizzati. Integrate queste misure con attività proattive di ricerca delle minacce. Utilizzate analisi avanzate per cercare potenziali Indicatori di compromissione (IoC) e condurre indagini dettagliate.
Tutte queste tattiche vi aiuteranno anche a semplificare i flussi di lavoro di risposta agli incidenti e a selezionare gli strumenti giusti per il lavoro. SentinelOne può aiutarvi ad automatizzare le azioni di risposta, personalizzare le politiche, attivare avvisi e mettere immediatamente in quarantena o isolare gli host compromessi o le minacce, quando vengono rilevati. Vi aiuterà anche a bloccare automaticamente gli IP dannosi, a eseguire il backup dei dati e a ridurre al minimo l'impatto di futuri eventi di sicurezza.
Puoi anche prevenire e mitigare gli attacchi zero-day adottando queste misure aggiuntive:
- Applica le patch ai tuoi sistemi e aggiorna rigorosamente. Effettuate una verifica di tutte le vostre risorse, beni, inventario e utenti. Esaminate i dati storici degli eventi, cercate modelli ricorrenti e approfondite le anomalie passate. Vi forniranno indizi sugli eventi futuri.
- Mettete in pratica il principio dell'accesso con privilegi minimi. Costruite un'architettura di sicurezza di rete zero-trust e non fidatevi di nessuno. Verificate sempre. Questo perché la persona di cui vi fidate oggi potrebbe diventare il nemico di domani tradendo la vostra organizzazione. Ripulite i protocolli di onboarding e offboarding e rendeteli più rigorosi.
- Non consentite ai dipendenti di trasmettere dati privati su reti pubbliche. Incoraggiate una cultura in cui possano segnalare le loro scoperte in modo anonimo e garantite la completa trasparenza. Una buona comunicazione è fondamentale per imparare a prevenire gli attacchi zero-day e fornire una protezione continua.
Migliorare l'intelligence sulle minacce
Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.
Per saperne di piùEsempi reali di attacchi zero-day
Ecco alcuni esempi reali di attacchi zero-day verificatisi di recente nel 2025:
L'attacco informatico zero-day a Microsoft
Microsoft non si aspettava che un attacco zero-day prendesse di mira più vettori. Kevin Breen, direttore senior di Immersive, ha dichiarato: "Non pensavamo fosse possibile. Gli attacchi zero-day di solito prendono di mira una singola piattaforma o un ambiente di sistema operativo".
Nel febbraio 2025, Microsoft ha rilasciato aggiornamenti di sicurezza per 67 vulnerabilità nella sua ultima patch e li ha distribuiti. Tuttavia, quattro attacchi zero-day avevano già colpito Windows NTLMv2 hash, Windows Ancillary Function Driver, Windows Storage e i dispositivi Microsoft Surface. L'esecuzione di codice remoto e l'escalation dei privilegi erano i principali rischi per la sicurezza. Tre nuove vulnerabilità hanno interessato Hyper-V: CVE-2025-21335, CVE-2025-21333 e CVE-2025-21334.
Bypass zero-day dell'autenticazione JetBrains TeamCity
JetBrains ha scoperto la vulnerabilità CVE-2023-42793 il 20 settembre 2023 e l'ha resa nota. La vulnerabilità di bypass dell'autenticazione ha preso di mira il loro server CI/CD e le istanze on-premise. Gli aggressori hanno ottenuto un accesso non autorizzato e hanno lanciato attacchi di esecuzione di codice remoto. La grave falla di bypass dell'autenticazione è stata scoperta pochi giorni dopo la sua esposizione, senza lasciare il tempo per un ripristino immediato.
Minaccia zero-day di MOVEit Transfer
Un gruppo russo ha esaminato i problemi di SQL injection e ha trovato una vulnerabilità zero-day in MOVEit Transfer. Il gruppo ha quindi eseguito attacchi ransomware su centinaia di organizzazioni, tra cui diverse università, reti sanitarie, banche e agenzie governative.
Campioni di LEMURLOOT con i nomi di file human2.aspx e _human2.aspx sono stati caricati su molti repository pubblici globali. L'attacco si è diffuso e ha colpito anche organizzazioni in paesi come il Pakistan e la Germania.
Mitigare gli attacchi zero-day con SentinelOne
SentinelOne utilizza algoritmi avanzati di intelligenza artificiale per eseguire la scansione delle risorse e bloccare le minacce zero-day, anche quelle sconosciute. La sua piattaforma Endpoint Detection and Response (EDR) fornisce una visione approfondita dell'attività della rete e degli utenti, rendendo più facile individuare le minacce. SentinelOne può estendere la sua protezione degli endpoint con Singularity XDR.
Singularity™ Threat Intelligence con data lake e Purple AI è in grado di raccogliere e correlare dati provenienti da più fonti. Il motore comportamentale di SentinelOne è in grado di rilevare e tracciare comportamenti dannosi all'interno delle aziende. Se si verifica qualcosa di sospetto o si verificano deviazioni, lo segnala immediatamente per la revisione e la correzione. La consapevolezza del contesto di SentinelOne nell'intelligence sulle minacce elimina i falsi positivi, riduce il rumore degli avvisi e mantiene le organizzazioni aggiornate con le notifiche più rilevanti. SentinelOne è in grado di simulare attacchi zero-day per valutare le possibilità con il suo Offensive Security Engine™ e Verified Exploit Paths™. La sua tecnologia brevettata Storylines™ è in grado di ricostruire eventi storici, artefatti e condurre analisi forensi informatiche.
Gli utenti possono generare report dettagliati sul sistema e sulla conformità direttamente dalla sua dashboard unificata. SentinelOne semplifica gli audit di conformità e aiuta le organizzazioni ad aderire ai migliori standard normativi, come SOC 2, HIPAA, PCI-DSS e ISO 27001. Le sue soluzioni sono supportate da una forte comunità di esperti del settore e utenti che condividono informazioni utili.
Il CNAPP senza agenti offre una sicurezza olistica e varie funzionalità, tra cui: Kubernetes Security Posture Management (KSPM), Cloud Workload Protection Platform (CWPP), Cloud Security Posture Management (CSPM), IaC Scanning, SaaS security posture management (SSPM), rilevamento dei segreti e prevenzione della fuga delle credenziali cloud, Gestione degli attacchi esterni e delle superfici (EASM), valutazioni delle vulnerabilità, scansione della pipeline CI/CD, integrazione Snyk e altro ancora. La piattaforma aiuta gli utenti a implementare le migliori pratiche DevSecOps nelle organizzazioni e a svolgere audit interni ed esterni.
Prenota una demo live gratuita.
Conclusione
Sebbene gli attacchi zero-day sembrino inarrestabili, essi rivelano anche una realtà più profonda sul nostro mondo cibernetico in continua evoluzione: noi plasmiamo ogni vulnerabilità scoperta e ne siamo plasmati. La vera resilienza non deriva dall'uso delle migliori tecnologie, ma dalla capacità di abbandonare mentalità compiacenti. Questo perché gli hacker non prendono di mira solo il software, ma anche le persone.
Collaborando tra le diverse funzioni, applicando test rigorosi e acquisendo incessantemente informazioni, possiamo creare ecosistemi digitali in cui gli attacchi zero-day sono uno stimolo, non precursori del caos.
Investite in difese proattive, promuovete una cultura della consapevolezza informatica e iniziate a lavorare sulla vostra sicurezza. Contattate SentinelOne per rimanere al passo con i tempi e difendervi.
"FAQs
Gli attacchi zero-day sfruttano le vulnerabilità software appena scoperte prima che gli sviluppatori rilasciano le patch. Gli aggressori individuano queste falle di sicurezza e creano malware o metodi di hacking entro un breve lasso di tempo in cui la vulnerabilità è attiva.
Poiché i difensori hanno zero giorni per rispondere, il danno può diffondersi molto rapidamente, infettando sistemi critici, rubando dati o infettando intere reti senza essere individuato immediatamente.
I fornitori e i ricercatori hanno bisogno di un preavviso per correggere le vulnerabilità. Un attacco "zero-day" si verifica quando il tempo a disposizione è pari a zero. L'autore dell'attacco sfrutta la vulnerabilità prima che sia disponibile una patch o che sia trascorso il tempo necessario, lasciando al fornitore solo "zero giorni" per applicare la patch o prepararsi. Questo breve lasso di tempo mette le aziende di fronte a un dilemma e sottolinea la necessità di affrontare queste minacce.
Chiunque può scoprire vulnerabilità zero-day, dai ricercatori di sicurezza e dai cracker white hat ai criminali informatici. I ricercatori etici di solito informano il fornitore in modo che possa rilasciare una patch, mentre gli autori delle minacce sfruttano la vulnerabilità a proprio vantaggio.
Anche le agenzie governative finanziano attività di ricerca dei bug e le loro scoperte a volte rimangono segrete, alimentando speculazioni su un uso nascosto a fini di spionaggio.
Un mercato zero-day è un mercato commerciale in cui le società di intermediazione possono acquistare exploit da ricercatori e black hat. Viene utilizzato per acquistare e vendere falle di sicurezza e condurre attività illegali. È il lato oscuro del mondo della sicurezza informatica e qualcosa a cui prestare attenzione. C'è una mancanza di trasparenza nelle transazioni e i prezzi possono sembrare iniqui.
La prevenzione e la scoperta degli attacchi zero-day dipendono dalla vigilanza dei team di sicurezza e dagli strumenti di rilevamento delle anomalie. Modelli di comportamento insoliti, traffico di dati sospetto o reclami degli utenti possono dare il via a un'indagine.
I professionisti della sicurezza utilizzano sandboxing, honeypot e soluzioni di monitoraggio avanzate per individuare le attività dannose in tempo reale. A volte, scoperte accidentali durante controlli di routine rivelano exploit zero-day. La segnalazione di questi a fornitori può aiutare a sviluppare rapidamente patch prima che si verifichino danni significativi.
Le grandi aziende, le agenzie governative, le istituzioni finanziarie e gli operatori sanitari sono spesso in cima alla lista degli obiettivi zero-day. Queste entità conservano dati sensibili e gestiscono infrastrutture critiche, il che le rende obiettivi primari per lo spionaggio, il sabotaggio o il guadagno finanziario.
Neanche le piccole imprese e gli utenti individuali sono immuni; gli exploit zero-day possono diffondersi indiscriminatamente attraverso software comunemente utilizzati da tutti i settori, dai sistemi operativi alle applicazioni web.
- Rimanete vigili con aggiornamenti regolari del software, poiché le patch spesso risolvono vulnerabilità non divulgate.
- Abilitate gli aggiornamenti automatici ove possibile.
- Utilizzate antivirus e firewall affidabili per monitorare e bloccare attività sospette.
- Adottate buone pratiche di sicurezza delle password ed evitate di cliccare su link sconosciuti o di scaricare file da fonti non verificate.
Inoltre, prendete in considerazione l'utilizzo di VPN sulle reti Wi-Fi pubbliche. Ridurre la tua impronta digitale può diminuire le possibilità di cadere vittima di un attacco zero-day.
Le organizzazioni in genere implementano protocolli di risposta rapida, tra cui l'isolamento dei sistemi interessati e l'esecuzione di analisi forensi per individuare la violazione. Rilasciano patch di emergenza o indirizzano gli utenti verso soluzioni temporanee. I team di risposta agli incidenti collaborano con i ricercatori di sicurezza, condividono le informazioni sulle minacce e rafforzano le difese perimetrali. Anche i test di penetrazione regolari aiutano a scoprire i punti deboli prima che lo facciano gli attori malintenzionati. La formazione continua del personale aumenta ulteriormente la consapevolezza, riducendo al minimo le probabilità di ripetute intrusioni zero-day.