O que é uma vulnerabilidade de dia zero? Definição, exemplos e medidas de proteção

O termo “zero day” aparece constantemente nas notícias sobre segurança cibernética, mas o conceito é frequentemente mal interpretado. Uma vulnerabilidade zero day não é necessariamente a mais perigosa do seu ambiente. Trata-se de uma categoria específica de vulnerabilidade que gera um tipo particular de risco, e compreender o que a diferencia das outras vulnerabilidades é essencial para gerenciá-la adequadamente.

A maioria das equipes de segurança dá mais importância ao risco de vulnerabilidades zero-day e subestima o risco, muito mais comum, de vulnerabilidades conhecidas sem correção. As defesas que fecham a janela de vulnerabilidades zero-day são, em grande parte, as mesmas que reduzem a exposição ao panorama mais amplo de vulnerabilidades. Compreender essa distinção é o que permite que as equipes de TI e os MSPs aloquem seus esforços de segurança de forma precisa, em vez de reativa. Leia o Relatório Kaseya sobre o Estado dos MSPs de 2026 — 69% dos MSPs oferecem gerenciamento de patches e atualizações como serviço, pois o intervalo entre a divulgação da vulnerabilidade e a aplicação do patch é um dos períodos mais críticos na segurança de TI.

O que é uma vulnerabilidade de dia zero?

Uma vulnerabilidade de dia zero é uma falha de segurança em software, hardware ou firmware que é desconhecida pelo fornecedor responsável por corrigi-la e, portanto, não possui patch disponível no momento em que é identificada ou explorada por invasores.

O termo se refere ao número de dias que o fornecedor teve para resolver o problema: zero. Quando uma vulnerabilidade é descoberta por um pesquisador e divulgada de forma responsável ao fornecedor, este tem tempo para desenvolver e lançar uma correção antes que a vulnerabilidade se torne amplamente conhecida e seja explorada. Um “zero day”, por outro lado, é explorado antes mesmo de qualquer divulgação ou é divulgado publicamente sem que o fornecedor seja notificado previamente, deixando uma janela de tempo em que os sistemas ficam vulneráveis e não há correção disponível.

O termo também é escrito como “0-day”, e “zero-day” pode se referir à própria vulnerabilidade, à exploração que tira proveito dela ou ao ataque que utiliza essa exploração. Cada um tem um significado distinto, e é por isso que a terminologia pode causar confusão.

Assim que uma correção é lançada, a vulnerabilidade deixa de ser tecnicamente considerada uma vulnerabilidade de dia zero. Ela passa a ser uma vulnerabilidade conhecida. Mas essa transição não elimina o risco. A janela de exposição prática é o período entre o momento em que um invasor toma conhecimento de uma vulnerabilidade e o momento em que uma organização aplica a correção correspondente; e, para a maioria das organizações, essa janela pode se estender por semanas ou meses, mesmo após a disponibilização da correção.

Vulnerabilidade de dia zero, exploração e ataque: definição dos três termos

Esses três termos costumam ser usados de forma intercambiável, mas descrevem coisas diferentes.

Uma vulnerabilidade de dia zero é uma falha subjacente no software ou firmware, uma brecha de segurança que existe, mas para a qual ainda não há correção. Trata-se de uma condição, não de uma ação.

Uma exploração de dia zero é o código, a ferramenta ou a técnica que tira proveito dessa vulnerabilidade. Pesquisadores de segurança utilizam essas explorações para demonstrar que uma vulnerabilidade é real e pode ser explorada. Os invasores as utilizam como armas. Quando a comunidade de segurança em geral fala que uma vulnerabilidade de dia zero está “sendo explorada na prática”, isso significa que uma exploração direcionada à vulnerabilidade foi empregada contra alvos reais.

Um ataque zero-day é a operação que utiliza a exploração contra um alvo. Uma vulnerabilidade pode existir sem ser explorada. Uma exploração pode ser criada sem ser utilizada em um ataque. O ataque é o momento em que uma vulnerabilidade causa danos mensuráveis.

Essa distinção é importante para a resposta a incidentes. Uma organização que identifica um comportamento de exploração em um sistema pode estar sofrendo um ataque de dia zero, mas o mesmo comportamento também pode indicar a exploração de uma vulnerabilidade conhecida que ainda não foi corrigida. Distinguir entre as duas situações requer uma capacidade de detecção que vá além da comparação de assinaturas.

Como as vulnerabilidades de dia zero são descobertas

As vulnerabilidades de dia zero são descobertas por meio de várias vias distintas, e a via é importante porque determina a rapidez com que uma correção é disponibilizada.

Os pesquisadores de segurança que identificam vulnerabilidades geralmente seguem processos de divulgação responsável, notificando o fornecedor em particular e concedendo-lhe um prazo definido (geralmente 90 dias, conforme o padrão do Google Project Zero) para desenvolver uma correção antes da divulgação pública. Nesses casos, pode já existir uma correção no dia em que a vulnerabilidade se torna de conhecimento público, reduzindo significativamente o período real de “zero-day”.

Grupos ligados a Estados-nação e organizações criminosas sofisticadas investem recursos substanciais em pesquisas de vulnerabilidades com o objetivo específico de identificar falhas exploráveis antes que os fornecedores o façam. As vulnerabilidades de dia zero descobertas dessa forma são normalmente transformadas em armas de ataque imediatamente e mantidas em segredo por meses ou anos para preservar seu valor como ferramentas de ataque. Essa é a categoria mais perigosa, pois essas vulnerabilidades já existem e estão sendo ativamente exploradas antes que qualquer pessoa fora do grupo de ataque saiba de sua existência.

O mercado de vulnerabilidades zero-day é uma economia real e substancial. Os intermediários compram e vendem exploits zero-day, sendo que tanto agências de inteligência governamentais quanto organizações criminosas atuam como compradores. Uma vulnerabilidade zero-day em um software amplamente utilizado pode render quantias significativas nesse mercado, criando um incentivo financeiro para que as vulnerabilidades sejam encontradas e acumuladas, em vez de divulgadas de forma responsável.

A implicação prática para os defensores é que, muitas vezes, não é possível saber se existe uma vulnerabilidade zero-day no software que você utiliza e se ela está sendo ativamente comercializada ou explorada, pois a característica definidora de uma verdadeira vulnerabilidade zero-day é que ela é desconhecida tanto pelo fornecedor quanto pelo público. A defesa deve basear-se na redução do impacto de uma exploração bem-sucedida, em vez de na prevenção da existência da vulnerabilidade.

Vulnerabilidades de dia zero x vulnerabilidades conhecidas: qual é a mais perigosa?

Para a maioria das organizações, as vulnerabilidades conhecidas sem correção representam um risco operacional maior do que as vulnerabilidades de dia zero.

As vulnerabilidades de dia zero recebem grande atenção por serem recentes e por ainda não existirem correções. Mas elas também são relativamente raras no panorama geral das vulnerabilidades. O volume de vulnerabilidades documentadas publicamente e corrigíveis em softwares de uso comum, a qualquer momento, é enorme. A grande maioria das explorações bem-sucedidas em ambiente real utiliza vulnerabilidades conhecidas, muitas vezes vulnerabilidades para as quais já existem correções disponíveis há meses ou anos.

Os dados por trás disso não deixam margem para dúvidas. A maioria das violações de segurança mais graves que são investigadas e atribuídas publicamente acaba envolvendo vulnerabilidades conhecidas exploradas, e não verdadeiros ataques de dia zero. Os invasores buscam o caminho de menor resistência. Um servidor Exchange sem patch, com uma vulnerabilidade CVE de 18 meses atrás, é mais acessível do que um ataque de dia zero recém-descoberto, que levou meses para ser identificado pela equipe de pesquisa de um Estado-nação.

A implicação prática é que a melhor defesa contra todo o panorama de vulnerabilidades, tanto as de dia zero quanto as já conhecidas, é basicamente a mesma: uma gestão rápida e automatizada de patches que minimize o intervalo entre a disponibilização de um patch e sua aplicação, combinada com recursos de detecção comportamental capazes de identificar atividades de exploração, independentemente de a vulnerabilidade específica ser conhecida ou não.

As vulnerabilidades de dia zero exigem duas capacidades adicionais que as vulnerabilidades conhecidas não exigem. A detecção comportamental, que identifica padrões de exploração sem depender de assinaturas conhecidas. E controles compensatórios que limitam os danos quando uma vulnerabilidade não pode ser corrigida porque ainda não existe uma correção disponível.

Exemplos notáveis de vulnerabilidades zero-day

Log4Shell (2021)

A vulnerabilidade crítica no Apache Log4j, uma biblioteca de registro de eventos Java amplamente utilizada, foi divulgada publicamente em dezembro de 2021. Poucas horas após a divulgação, a exploração ativa começou em grande escala. A combinação da presença quase universal do Log4j em aplicações Java corporativas e a gravidade da vulnerabilidade (execução remota de código com autenticação mínima exigida) tornou este um dos eventos de vulnerabilidade zero-day mais significativos da última década. Organizações com gerenciamento automatizado de patches e inventário de ativos que identificaram sua exposição ao Log4j conseguiram priorizar e responder. Aquelas sem esses recursos passaram dias descobrindo sua exposição real enquanto a exploração já estava em andamento.

ProxyLogon (Microsoft Exchange, 2021)

Um grupo patrocinado pelo Estado chinês explorou o ProxyLogon, um conjunto de vulnerabilidades no Microsoft Exchange Server, antes que a correção da Microsoft estivesse disponível. As vulnerabilidades permitiam a execução remota de código em servidores Exchange sem a correção instalada. Quando a Microsoft lançou as correções, milhares de servidores Exchange em todo o mundo já haviam sido comprometidos por meio de web shells que persistiram após a exploração inicial.

Vulnerabilidades zero-day do Chrome (em andamento)

O Google Chrome recebe regularmente correções de emergência para vulnerabilidades zero-day que estão sendo exploradas ativamente, pois os navegadores são softwares complexos diretamente expostos a conteúdos não confiáveis. O padrão é consistente: quando se identifica uma vulnerabilidade zero-day sendo explorada na prática, o Google lança uma correção de emergência, e as organizações que não automatizaram a aplicação de correções nos navegadores permanecem expostas até que a correção seja implementada manualmente.

Stuxnet (2010) e EternalBlue (2017)

O Stuxnet continua sendo o exemplo mais emblemático de uma arma de dia zero desenvolvida por um Estado-nação. Descoberto em 2010, ele explorou simultaneamente quatro vulnerabilidades de dia zero do Windows para lançar uma carga útil que causou danos físicos às centrífugas industriais do programa nuclear iraniano. Ele continua sendo notável por demonstrar que a exploração de vulnerabilidades de dia zero pode causar consequências físicas no mundo real, e não apenas perda de dados.

O EternalBlue, uma exploração de vulnerabilidade de dia zero originalmente desenvolvida pela NSA e divulgada em 2017, tinha como alvo o protocolo SMBv1 do Windows. Ele se tornou o mecanismo de propagação do WannaCry e do NotPetya, dois dos ataques cibernéticos mais destrutivos economicamente da história. A vulnerabilidade subjacente já contava com uma correção da Microsoft disponível quando o WannaCry foi lançado, mas milhões de sistemas sem a correção continuavam expostos; foi por isso que uma exploração de uma vulnerabilidade já divulgada ainda teve um impacto catastrófico.

O padrão recorrente nos incidentes de vulnerabilidades zero-day é o seguinte: as organizações que aplicaram as correções rapidamente após sua disponibilização, ou que possuíam sistemas de detecção comportamental capazes de identificar tentativas de exploração, conseguiram conter os danos de forma significativamente mais eficaz do que aquelas que não o fizeram.

Defesa contra ameaças de dia zero

A estratégia de defesa contra vulnerabilidades de dia zero é a mesma que se aplica ao panorama mais amplo de vulnerabilidades, com duas adições.

Minimizar a superfície de ataque

Quanto menos programas estiverem em execução no ambiente, menos alvos potenciais para ataques de dia zero existirão. Remover programas que não são usados ativamente, manter as extensões do navegador no mínimo necessário e reduzir os serviços expostos à Internet limita as oportunidades de exploração. Um ataque de dia zero em um programa que você não executa não pode prejudicá-lo.

Gerenciamento rápido e automatizado de patches

A aplicação de patches não ajuda durante o período de vulnerabilidade zero-day propriamente dito, mas reduz drasticamente a exposição assim que um patch é lançado. A transição de uma vulnerabilidade zero-day para uma vulnerabilidade conhecida e, posteriormente, para uma vulnerabilidade corrigida deve ocorrer o mais rápido possível, medido em dias, não em semanas. O Kaseya VSA 10 e o Datto RMM automatizam a implantação de patches em todos os terminais gerenciados no próprio dia do lançamento, com fluxos de trabalho de aprovação configuráveis em anéis para alterações que exigem testes antes da implantação em produção.

Detecção comportamental de EDR

As plataformas EDR que detectam comportamentos de exploração, injeção de processos, escalonamento de privilégios, processos filhos inesperados e conexões de rede incomuns provenientes de processos confiáveis são capazes de identificar explorações de dia zero, mesmo sem uma assinatura conhecida para a vulnerabilidade específica. O Datto EDR oferece detecção comportamental que identifica padrões de ataque, em vez de se limitar apenas a malware conhecido, o que o torna relevante durante a janela de dia zero pré-correção, quando ainda não existe uma assinatura disponível.

Segmentação de rede

Limitar o alcance de um sistema comprometido na rede reduz o alcance do dano quando uma vulnerabilidade de dia zero é explorada com sucesso. Um invasor que explore uma vulnerabilidade de dia zero em uma estação de trabalho não deve ter automaticamente acesso a um controlador de domínio, a um servidor de arquivos ou a um sistema de backup. A segmentação não impede a exploração, mas transforma um comprometimento catastrófico em um comprometimento contido.

Gerenciamento de vulnerabilidades

A varredura contínua que identifica softwares sem patch em todo o ambiente e prioriza a correção com base na disponibilidade de exploits e na criticidade dos ativos oferece visibilidade sobre os pontos de exposição mais urgentes. Quando uma nova vulnerabilidade de dia zero é anunciada, os dados de gerenciamento de vulnerabilidades mostram imediatamente quais ativos são afetados e com que rapidez é necessária uma resposta.

Informações sobre ameaças

Os feeds que monitoram campanhas ativas de exploração de vulnerabilidades zero-day fornecem um alerta antecipado, muitas vezes dias antes da disponibilidade de uma correção, de que uma vulnerabilidade específica está sendo explorada ativamente. Isso permite que controles compensatórios (alterações nas regras, desativação temporária de recursos, restrições de acesso à rede) sejam aplicados enquanto a correção é desenvolvida.

Defesa contra vulnerabilidades de dia zero para MSPs: o problema da janela de atualização

Para os MSPs, o desafio da defesa contra vulnerabilidades de dia zero não é conceitual. É operacional. O período entre a disponibilização de uma correção para uma vulnerabilidade de dia zero e a implantação dessa correção em dezenas de ambientes de clientes é a verdadeira janela de exposição e, sem automação, esse período se prolonga.

Imagine como é a coordenação manual de patches em grande escala. Uma vulnerabilidade crítica de “zero day” em um navegador é divulgada numa terça-feira. A equipe de MSP identifica a exposição, avalia quais clientes foram afetados, coordena as janelas de manutenção com cada cliente, programa a implantação e verifica o sucesso cliente por cliente. Na melhor das hipóteses, esse processo leva de três a quatro dias para ser concluído em 30 clientes. Em ambientes onde os invasores começam a atacar vulnerabilidades de alta gravidade recém-divulgadas dentro de 24 a 48 horas após a divulgação, esse intervalo de tempo é crucial.

Com o Kaseya VSA 10 ou o Datto RMM, a mesma implantação é realizada no mesmo dia, de acordo com uma política de atualização automatizada, com um processo de preparação em fases que testa o sistema em um grupo de validação antes da implantação completa em produção. A coordenação da janela de manutenção é pré-configurada. A verificação ocorre automaticamente. A janela de exposição do MSP é reduzida de dias para horas para os clientes que operam sob essa política.

É por isso que, para 69% dos MSPs que oferecem gerenciamento de patches como serviço, isso não é apenas uma linha de negócios, mas a capacidade operacional que torna a janela de vulnerabilidades de dia zero defensável. O serviço é o sistema. Explore o gerenciamento automatizado de patches do Kaseya VSA 10 para conhecer o modelo operacional que torna a resposta rápida a divulgações de vulnerabilidades de dia zero escalável em um ambiente com vários clientes.

As vulnerabilidades de dia zero ganham as manchetes. Mas são as vulnerabilidades conhecidas e sem correção que causam a maior parte dos danos reais. A estratégia de defesa que lida com ambas é a mesma: reduzir a superfície de ataque, automatizar a aplicação de correções, implementar a detecção comportamental e segmentar a rede. As organizações e os MSPs que tiram o máximo proveito dessas práticas são aqueles que as aplicam de forma contínua, em vez de recorrer a elas apenas em resposta à próxima divulgação de grande repercussão. Nessa altura, a brecha já está aberta.