Início / Blog / O que é zero-day
Blog · Fundamentos

O que é uma vulnerabilidade zero-day

É a falha que ninguém sabia que existia — nem quem fabricou o software. E é justamente por isso que ela é tão perigosa.

Em resumo

Uma vulnerabilidade zero-day é uma falha de segurança desconhecida do fornecedor do software, para a qual ainda não existe correção (patch) — e que, muitas vezes, já está sendo explorada por atacantes antes de ser descoberta. O nome vem daí: o fabricante teve "zero dias" para corrigir. Como não há remendo para aplicar, a defesa não pode depender do patch: precisa de monitoramento 24h e detecção comportamental capazes de perceber o ataque pelo que ele faz, não pela falha que ele usa.

Quase toda proteção que conhecemos parte de uma premissa: a falha já é conhecida. O antivírus reconhece o vírus porque alguém o catalogou; o firewall bloqueia o ataque porque já viu aquele padrão; o time de TI aplica a atualização porque o fabricante avisou. O zero-day quebra essa lógica. Ele é a falha que ainda não foi catalogada por ninguém do lado da defesa — e às vezes o primeiro a descobri-la é justamente quem quer explorá-la.

Por que uma zero-day é tão perigosa

O perigo não está só na falha em si, mas no desequilíbrio de informação. Enquanto o fornecedor e a sua empresa não sabem que a brecha existe, o atacante tem uma chave que nenhuma fechadura reconhece como inválida:

Zero
Dias que o fornecedor teve para corrigir
Sem patch
A atualização ainda não existe
Comportamento
O que denuncia o ataque sem assinatura

Como os atacantes exploram uma zero-day

Uma zero-day raramente é o ataque inteiro — costuma ser a porta de entrada. O invasor usa a falha desconhecida para conseguir o primeiro acesso: executar um código que não deveria rodar, escapar de uma restrição, elevar privilégios. A partir daí, o roteiro se parece com qualquer outro incidente grave: ele explora a rede por dentro, procura servidores e backups, rouba dados e, no fim, pode criptografar tudo de uma vez.

A diferença é que a entrada não deixou o rastro esperado. Não houve senha vazada nem anexo malicioso reconhecido — houve uma brecha que ninguém sabia existir. Por isso, essas falhas têm alto valor no mercado criminoso e são frequentemente guardadas para alvos específicos, usadas com cuidado para não serem descobertas cedo demais.

Por que aplicar o patch, sozinho, não basta

Manter tudo atualizado é essencial — mas, contra zero-day, a atualização chega, por definição, depois. Existe sempre uma janela entre o momento em que a falha começa a ser explorada e o momento em que o fabricante libera a correção e você consegue aplicá-la. Nessa janela, o patch não existe para você.

Depender só de correções é apostar que você nunca será alvo antes do remendo ficar pronto. A postura mais segura é assumir que alguma brecha sempre estará aberta e construir a defesa para detectar o atacante pelo que ele faz depois de entrar — não pela porta específica que ele usou. É a diferença entre esperar o aviso e vigiar o ambiente. Falamos disso em detalhe no guia de resposta a incidentes.

Como reduzir o risco de uma zero-day

Não dá para corrigir o que ninguém conhece — mas dá para tornar a exploração muito mais difícil e a reação muito mais rápida. Quatro frentes fazem a diferença:

É exatamente isso que o Argos faz

O Argos é o SOC gerenciado 24h da NoBug, combinado com MDR: uma equipe humana somada a uma IA vigia seu ambiente sem parar e detecta o ataque pelo comportamento — não por uma assinatura que, no caso de uma zero-day, ainda não existe. Quando algo anômalo aparece, a triagem é feita em português, o óbvio é bloqueado automaticamente e o plantão é acionado quando o incidente é crítico. Tudo com os dados no Brasil. Contra uma falha que ninguém conhece, o que protege é ter sempre alguém acordado, olhando o que o atacante faz.

Leve com você
  • Zero-day é uma falha desconhecida do fornecedor, sem patch e já explorada por atacantes.
  • É perigosa porque não há correção e as defesas por assinatura não a reconhecem.
  • Aplicar patch é essencial, mas chega sempre depois — não cobre a janela de exposição.
  • A defesa é monitoramento 24h + detecção comportamental + resposta rápida + defesa em camadas.

Prepare-se para a falha que ninguém conhece

O Argos vigia sua empresa 24 horas e detecta o ataque pelo comportamento, mesmo sem patch disponível. A gente entende seu ambiente numa conversa rápida e monta uma proposta sob medida.