A existência de falhas (vulnerabilidades) em software é algo bastante comum. Daí a necessidade de serem lançadas atualizações de segurança ou patchs que visam corrigir problemas. Na internet existem vários sites que disponibilizam exploits, que, na prática, são linhas de código que realizam determinadas ações com o objetivo de explorar vulnerabilidades.
Tenha cuidado e mantenha sempre o seu software atualizado.
Um exploit é uma sequência de comandos (ou até um software completo) que têm como objetivo explorar uma falha ou vulnerabilidade. Este tipo de código pode ser usado para os mais diversos fins, podendo causar problemas de vários níveis. Muitos hackers usam exploits para conseguir injetar malware nas máquinas das vítimas.
Imagine, por exemplo, que está a navegar na internet e vai parar a um site com um anúncio maligno. O anúncio parece normal, mas, na verdade, tem associado um exploit capaz de fazer um scan à sua máquina em busca de falhas.
No nível técnico, os exploits cibernéticos não são considerados propriamente malware, já que não há nada inerentemente maligno. O perigo de um exploit, como referido, vem do que o utilizador depois de este conseguir explorar uma falha no sistema.
Quando um hacker descobre uma vulnerabilidade e imediatamente cria um exploit para explorar essa falha, é chamado de exploit zero day (dia zero). Ataques de exploit zero day são muito perigosos, pois não há solução óbvia nem imediata para corrigir a vulnerabilidade.
Um kit de exploits é como uma caixa de ferramentas de software com várias ferramentas (exploits) que podem ser usadas para invadir sistemas de computador vulneráveis.
Exploit Database: A maior base de dados de exploits
Para ter uma ideia da quantidade de exploits públicos, basta que aceda à página do projeto Exploit Database aqui. O projeto Exploit Database é mantido pela Offensive Security, uma empresa na área da segurança da informação que fornece várias certificações de segurança da informação, bem como serviços de teste de penetração de ponta.
O Exploit Database é um projeto sem fins lucrativos fornecido como um serviço público pela Offensive Security.