Zero-day-sårbarhed: Definition og eksempler?
Zero-day-sårbarheder er sårbarheder i protokoller, software og applikationer, som endnu ikke er kendt af offentligheden eller produktudviklerne, hvor sårbarheden findes. Da en zero-day-sårbarhed er ukendt for offentligheden eller udviklerne, er der ingen patches til rådighed.
Ifølge GPZ Research vil halvdelen af de 18 zero-day-sårbarheder, der blev udnyttet af hackere i første halvdel af 2022 før en softwareopdatering blev gjort tilgængelig, kunne have været forhindret, hvis softwareleverandørerne havde foretaget grundigere test og lavet mere omfattende patches. Overraskende nok var mindst fire af dette års zero-day-sårbarheder variationer fra 2021.
Men hvad er en zero-day-sårbarhed egentlig? Det er det, du lærer i denne vejledning. Men for at forstå definitionen fuldt ud, skal vi først definere et par andre ting.
Hvad er en zero-day-eksploit?
En zero-day-exploit er en sikkerhedssårbarhed, som ikke er blevet offentliggjort eller rettet offentligt. Udtrykket henviser både til selve udnyttelsen og til den kodepakke, der indeholder udnyttelsen og de tilhørende værktøjer.
Angribere bruger ofte zero-day exploits til at distribuere malware på systemer og netværk, der ikke er blevet patchet. Forsvarere kan også bruge dem til at udføre penetrationstest for at opdage netværkssårbarheder.
Du kan høre udtrykkene "zero-day sårbarheder", "zero-day exploits" eller "zero-day attacks", når du lærer om zero-day exploits. Disse udtryk har en afgørende forskel:
- Den måde, som hackere bruger til at målrette software på, er kendt som en "zero-day exploit".
- Fejlen i dit system er kendt som en "zero-day-sårbarhed".
- "Zero-day-angreb" er det, som hackere gør, når de udnytter en sårbarhed til at infiltrere dit system.
Når man taler om zero-day-sårbarheder, er ordet "undiscovered" vigtigt, for for at blive kaldt en "zero-day-sårbarhed" skal en fejl være ukendt for systemets designere. Når en sikkerhedsbrist opdages og en rettelse gøres tilgængelig, er den ikke længere en "zero-day-sårbarhed".
Zero-day exploits kan bruges af angribere på forskellige måder, herunder:
- At udnytte systemer, der ikke er blevet patchet (dvs. uden at anvende sikkerhedsopdateringer), til at installere malware eller tage kontrol over computere på afstand;
- At gennemføre phishing-kampagner (dvs. at sende e-mails, der forsøger at narre modtagerne til at klikke på links eller vedhæftede filer) ved hjælp af ondsindede vedhæftede filer eller links, der fører til webhosting-eksplosioner, eller
- For at udføre denial-of-service-angreb (dvs. oversvømme servere med forespørgsler, så legitime forespørgsler ikke kan komme igennem).
Hvilke unikke karakteristika ved zero-day-eksperter gør dem så farlige?
Der findes to kategorier af zero-day-sårbarheder:
Uopdaget:Softwareleverandøren har endnu ikke fået kendskab til fejlen. Denne type er ekstremt sjælden, fordi de fleste store virksomheder har dedikerede teams, der arbejder på fuld tid med at finde og rette fejl i deres software, før hackere eller ondsindede brugere opdager dem.
Uopdaget:Fejlen er blevet fundet og rettet af softwareudvikleren - men ingen har rapporteret den endnu, fordi de ikke har bemærket noget galt med deres system. Denne sårbarhed kan være meget værdifuld, hvis du ønsker at iværksætte et angreb mod en andens system og ikke ønsker, at de skal vide, hvad der foregår, før det er sket!
Zero-day-eksperter er særligt risikable, da de har større chance for at lykkes end angreb på kendte fejl. Når en sårbarhed offentliggøres på dag nul, skal virksomhederne stadig patche den, hvilket gør det muligt at gennemføre et angreb.
Det faktum, at visse sofistikerede cyberkriminelle organisationer anvender zero-day exploits strategisk, gør dem meget mere risikable. Disse virksomheder gemmer zero-day-eksperter til mål af høj værdi, herunder offentlige myndigheder, finansielle institutioner og sundhedsfaciliteter. Dette kan forlænge angrebets varighed og mindske sandsynligheden for, at offeret finder en sårbarhed.
Brugerne skal fortsætte med at opgradere deres systemer, selv efter at der er blevet oprettet en patch. Hvis de ikke gør det, kan angriberne stadig bruge en zero-day-eksplosion, indtil systemet er patchet, indtil systemet er patchet.
Hvordan identificerer man en Zero-day-sårbarhed?
Den mest almindelige måde at identificere en zero-day-sårbarhed på er ved hjælp af en scanner som Nessus eller OpenVAS. Disse værktøjer scanner din computer for sårbarheder ved hjælp af signaturer (kendte dårlige filer). Hvis en signatur passer, kan scanneren fortælle dig, hvilken fil den passer til.
Denne type scanning overser dog ofte mange sårbarheder, fordi signaturer kun nogle gange er tilgængelige eller opdateres ofte nok til at fange alle nye trusler, efterhånden som de opstår.
En anden metode til at identificere zero days er reverse engineering af binære softwarefiler (eksekverbare filer). Denne metode kan være meget vanskelig, men er normalt unødvendig for de fleste mennesker, fordi der findes masser af gratis scannere online, som ikke kræver nogen teknisk viden eller ekspertise for at kunne bruges effektivt.
Eksempler på zero-day-sårbarheder
Nogle eksempler på zero-day-sårbarheder omfatter:
Heartbleed - Denne sårbarhed, der blev opdaget i 2014, gjorde det muligt for angribere at udtrække oplysninger fra servere, der bruger OpenSSL-krypteringsbiblioteker. Sårbarheden blev introduceret i 2011, men blev først opdaget 2 år senere, da forskere fandt ud af, at visse versioner af OpenSSL var modtagelige for hjerteslag sendt af angribere. Hackere kunne derefter få private nøgler fra servere, der anvender dette krypteringsbibliotek, hvilket gjorde det muligt for dem at dekryptere data, der blev overført af brugere.
Shellshock - Denne sårbarhed blev opdaget i 2014 og gav angribere mulighed for at få adgang til systemer, der kører et operativsystem, der er sårbart over for angreb via Bash-shell-miljøet. Shellshock påvirker alle Linux-distributioner og Mac OS X 10.4 og tidligere versioner. Selv om der er blevet frigivet patches til disse styresystemer, er nogle enheder endnu ikke patchet mod denne udnyttelse.
Databrud i Equifax - Equifax' databrud var et stort cyberangreb i 2017. Angrebet blev begået af en ukendt gruppe hackere, som brød ind på Equifax' websted og stjal ca. 145 millioner kunders personlige oplysninger, herunder personnumre og fødselsdatoer.
WannaCry Ransomware - WannaCry er en ransomware-virus, der er rettet mod Microsoft Windows-operativsystemer; den krypterer brugernes filer og kræver en løsesumbetaling via Bitcoin for at dekryptere dem. Den spredes gennem netværk ved hjælp af EternalBlue. En Windows-exploit, der blev lækket fra NSA i april 2017. Ormen har påvirket over 300.000 computere verden over siden sin udgivelse den 12. maj 2017.
Malware-angreb på hospitaler - Malwareangreb er blevet mere og mere almindelige i de seneste år, da hackere angriber sundhedsorganisationer af personlige eller politiske årsager. Et sådant angreb involverede hackere, der fik adgang til patientjournaler på Hollywood Presbyterian Medical Center via phishing-e-mails sendt fra hospitalets administration.
Sidste ord
En zero-day-sårbarhed er en softwarefejl, som er blevet identificeret, men som softwareleverandøren endnu ikke har fået kendskab til. Den er "nul dage" fra at være kendt, i det mindste af offentligheden. Med andre ord er det en fejl i naturen, som ingen kender til - bortset fra den, der opdagede og rapporterede den først.
- Cybersikkerhed i banksektoren: De største trusler og de bedste måder at forebygge dem på - 25. september 2023
- Hvordan tjekker man, om ens e-mailkilder er pålidelige? - 25. september 2023
- Sådan beskytter du dine adgangskoder mod AI - 20. september 2023