Una vulnerabilità zero-day (o 0-day) è una vulnerabilità informatica ancora ignota al vendor del software o dell’hardware affetto — e quindi priva di patch o mitigazione ufficiale — nel momento in cui viene scoperta o sfruttata. Il termine deriva dal fatto che il vendor ha avuto “zero giorni” per prepararsi: dalla scoperta della vulnerabilità all’attacco, non è disponibile alcuna contromisura ufficiale.
Ciclo di vita
Introduzione del difetto (sviluppo)
↓
Scoperta da parte di un ricercatore o attaccante
↓ [periodo zero-day: il vendor non sa]
Sfruttamento silenzioso (può durare mesi/anni)
↓
Scoperta indipendente, segnalazione, o disclosure pubblica
↓ [diventa N-day: il vendor sa, lavora alla patch]
Rilascio della patch
↓ [sistemi non aggiornati rimangono vulnerabili: rimane N-day]
Patch deployment completatoIl periodo in cui una vulnerabilità è zero-day — nota all’attaccante ma non al vendor — è il momento di massima pericolosità: nessuna patch esiste, nessun antivirus ha firme, nessun IDS ha regole specifiche.
Il mercato delle zero-day
Le zero-day hanno un mercato economico significativo. I broker di vulnerabilità (Zerodium, Crowdfences) e i governi pagano cifre nell’ordine di centinaia di migliaia a milioni di dollari per zero-day su target di alto valore:
| Target | Prezzo stimato (Zerodium, 2023) |
|---|---|
| iOS full chain (no interazione) | $2.5M |
| Android full chain | $1.5M |
| Windows privilege escalation | $250K |
| Chrome/Safari RCE | $500K |
Esiste un mercato grigio (governi, forze dell’ordine) e un mercato nero (criminalità organizzata, APT). Le zero-day acquistate dai governi vengono usate per operazioni di intelligence e cyberwarfare — la divulgazione pubblica senza notifica al vendor è una scelta politica controversa (vedi EternalBlue, sviluppato dalla NSA e poi trafugato da Shadow Brokers nel 2017, base di WannaCry e NotPetya).
Difese senza patch
In assenza di patch, le contromisure si concentrano sulla riduzione della superficie di attacco e sul rilevamento:
- Segmentazione di rete: limita la propagazione laterale anche dopo lo sfruttamento.
- Principio del minimo privilegio: riduce il danno dall’esecuzione di codice arbitrario.
- EDR e behavior-based detection: rileva comportamenti anomali anche senza firme specifiche della vulnerabilità.
- Virtual patching: regole WAF o IPS che bloccano i pattern di sfruttamento noti senza modificare il software.
- Sandboxing: isola il software vulnerabile in un ambiente con permessi ridotti.
- Monitoring anomalie: un sistema che inizia a comportarsi in modo insolito dopo aver ricevuto input specifici è un segnale di sfruttamento.
Responsible Disclosure
Il processo di Coordinated Vulnerability Disclosure (CVD) è il meccanismo per trasformare una zero-day in una vulnerabilità con patch. Il ricercatore che scopre una vulnerabilità la segnala privatamente al vendor — che ha un periodo concordato (tipicamente 90 giorni) per sviluppare e distribuire una patch — prima di divulgarla pubblicamente. La divulgazione pubblica forzata dopo la scadenza del termine (approccio di Google Project Zero) garantisce che il vendor non abbia incentivi a procrastinare indefinitamente la correzione.