Vulnerabilidade de dia zero.

A vulnerabilidade de dia zero recebe esse nome porque os defensores tiveram "zero dias" para preparar uma correção quando ela surge. Estas falhas são muito valorizadas: governos, corretores de exploits e grupos criminosos pagam somas de seis e sete dígitos por exploits funcionais, e os atores APT usam-nas para intrusões discretas.

Dois casos mostram o espectro. O Stuxnet (2010) encadeou quatro 0-days do Windows até então desconhecidos — incluindo a falha de atalhos LNK CVE-2010-2568 — para se propagar offline e sabotar as centrífugas iranianas de enriquecimento de urânio. O FORCEDENTRY (CVE-2021-30860), corrigido pela Apple em setembro de 2021, foi um overflow de inteiros do tipo zero-click no analisador de imagens CoreGraphics que o Pegasus do NSO Group usou para comprometer iPhones sem qualquer interação do utilizador. O Threat Analysis Group da Google tem registado números recorde de 0-days explorados ativamente nos últimos anos, na sua maioria em navegadores, sistemas operativos móveis e appliances de segurança.

A defesa contra 0-days apoia-se em controlos em camadas: mitigações de exploração (ASLR, CFG/CET, sandboxing), deteção comportamental por EDR/XDR da atividade pós-exploração, segmentação de rede, patch virtual via WAF/IPS e divulgação coordenada rápida assim que os investigadores as descobrem. Uma vez publicada a correção pelo fornecedor, o problema passa a ser uma vulnerabilidade n-day — ainda perigosa até que todos apliquem o patch.

flowchart LR
  A[Falha existe, fornecedor sem conhecimento] --> B[Atacante descobre-a]
  B --> C[Transforma em exploit]
  C --> D[Exploracao ativa no mundo real]
  D --> E[Fornecedor toma conhecimento dos ataques]
  E --> F[Patch publicado]
  F --> G[Agora uma vulnerabilidade n-day]