Zero-day kwetsbaarheden zijn kwetsbaarheden in protocollen, software en toepassingen die nog niet bekend zijn bij het grote publiek of de productontwikkelaars waar de kwetsbaarheid bestaat. Aangezien een zero-day kwetsbaarheid onbekend is bij het publiek of de ontwikkelaars, zijn er geen patches beschikbaar.
Volgens GPZ-onderzoek had de helft van de 18 zero-day kwetsbaarheden die door hackers in de eerste helft van 2022 voordat er een software-update beschikbaar kwam, voorkomen hadden kunnen worden als softwareleveranciers grondiger tests hadden uitgevoerd en uitgebreidere patches hadden gemaakt. Verrassend genoeg waren ten minste vier van de zero-day kwetsbaarheden van dit jaar variaties uit 2021.
Maar wat is precies een zero-day kwetsbaarheid? Dat leert u in deze gids. Maar om de definitie volledig te begrijpen, moeten we eerst een paar andere dingen definiëren.
Wat is een Zero-day Exploit?
Een zero-day exploit is een beveiligingslek dat niet openbaar is gemaakt of verholpen. De term verwijst zowel naar de exploit zelf als naar het pakket code dat de exploit en aanverwante tools bevat.
Aanvallers gebruiken vaak zero-day exploits om malware op systemen en netwerken die niet gepatcht zijn. Verdedigers kunnen ze ook gebruiken om penetratietests uit te voeren om kwetsbaarheden in netwerken op te sporen.
U kunt de termen "zero-day kwetsbaarheden", "zero-day exploits" of "zero-day aanvallen" horen wanneer u over zero-day exploits leert. Deze termen hebben een cruciaal verschil:
- De manier waarop hackers software aanvallen staat bekend als een "zero-day exploit".
- Het defect in uw systeem staat bekend als een "zero-day kwetsbaarheid".
- "Zero-day-aanvallen" zijn wat hackers doen wanneer ze misbruik maken van een kwetsbaarheid om uw systeem te infiltreren.
Als we het over "zero-day" kwetsbaarheden hebben, is het woord "onontdekt" essentieel, want om een "zero-day" kwetsbaarheid te worden genoemd, moet een fout onbekend zijn bij de ontwerpers van het systeem. Wanneer een beveiligingslek wordt ontdekt en een oplossing beschikbaar komt, is het geen "zero-day kwetsbaarheid" meer.
Zero-day exploits kunnen door aanvallers op verschillende manieren worden gebruikt, waaronder:
- Om ongepatchte systemen te misbruiken (d.w.z. zonder beveiligingsupdates toe te passen) om malware te installeren of op afstand de controle over computers over te nemen;
- om phishing-campagnes uit te voeren (d.w.z. e-mails verzenden om ontvangers te verleiden op links of bijlagen te klikken) met gebruikmaking van kwaadaardige bijlagen of links die leiden naar exploits op websites; of
- Om denial-of-service-aanvallen uit te voeren (d.w.z. servers overspoelen met verzoeken zodat legitieme verzoeken niet doorkomen).
Welke unieke kenmerken van Zero-day Exploits maken ze zo gevaarlijk?
Er zijn twee categorieën zero-day kwetsbaarheden:
Onontdekt: De softwareleverancier is nog niet op de hoogte van het gebrek. Dit type is uiterst zeldzaam omdat de meeste grote bedrijven speciale teams hebben die fulltime werken om de gebreken van hun software te vinden en te repareren voordat hackers of kwaadwillende gebruikers ze ontdekken.
Onopgemerkt: Het lek is gevonden en verholpen door de softwareontwikkelaar - maar niemand heeft het nog gemeld omdat ze niets hebben gemerkt dat er iets mis is met hun systeem. Deze kwetsbaarheid kan zeer waardevol zijn als u een aanval wilt uitvoeren op het systeem van iemand anders en niet wilt dat zij weten wat er aan de hand is totdat het gebeurd is!
Zero-day exploits zijn bijzonder riskant omdat ze een grotere kans op succes hebben dan aanvallen op bekende gebreken. Wanneer een kwetsbaarheid op day zero openbaar wordt gemaakt, moeten bedrijven deze nog patchen, wat een aanval denkbaar maakt.
Het feit dat bepaalde geavanceerde cybercriminele organisaties zero-day exploits strategisch inzetten, maakt ze veel riskanter. Deze bedrijven bewaren zero-day exploits voor hoogwaardige doelwitten, zoals overheidsinstellingen, financiële instellingen en zorginstellingen. Dit kan de duur van de aanval verlengen en de kans verkleinen dat het slachtoffer een kwetsbaarheid vindt.
Gebruikers moeten hun systemen blijven upgraden, zelfs nadat een patch is gemaakt. Doen ze dat niet, dan kunnen aanvallers nog steeds een zero-day exploit gebruiken totdat het systeem is gepatcht.
Hoe identificeer je een zero-day kwetsbaarheid?
De meest gebruikelijke manier om een zero-day kwetsbaarheid te identificeren is met behulp van een scanner zoals Nessus of OpenVAS. Deze tools scannen uw computer op kwetsbaarheden aan de hand van handtekeningen (bekende slechte bestanden). Als een handtekening overeenkomt, kan de scanner u vertellen met welk bestand het overeenkomt.
Bij dit soort scanning worden echter vaak veel kwetsbaarheden gemist, omdat handtekeningen slechts soms beschikbaar zijn of vaak genoeg worden bijgewerkt om alle nieuwe bedreigingen op te vangen.
Een andere methode om zero days te identificeren is reverse engineering van softwarebinaire bestanden (uitvoerbare bestanden). Deze methode kan erg moeilijk zijn, maar is meestal niet nodig voor de meeste mensen omdat er online veel gratis optie scanners zijn die geen technische kennis of expertise vereisen om effectief te gebruiken.
Voorbeelden van zero-day kwetsbaarheden
Enkele voorbeelden van zero-day kwetsbaarheden zijn
Heartbleed - Door deze kwetsbaarheid, ontdekt in 2014, konden aanvallers informatie onttrekken aan servers die OpenSSL-encryptiebibliotheken gebruiken. De kwetsbaarheid werd geïntroduceerd in 2011, maar werd pas 2 jaar later ontdekt toen onderzoekers ontdekten dat bepaalde versies van OpenSSL gevoelig waren voor heartbeats die door aanvallers werden verzonden. Hackers konden vervolgens privésleutels verkrijgen van servers die deze versleutelingsbibliotheek gebruikten, waardoor ze gegevens konden ontsleutelen die door gebruikers werden verzonden.
Shellshock - Deze kwetsbaarheid werd ontdekt in 2014 en stelde aanvallers in staat om toegang te krijgen tot systemen met een besturingssysteem dat kwetsbaar is voor aanvallen via de Bash-shellomgeving. Shellshock treft alle Linux-distributies en Mac OS X 10.4 en eerdere versies. Hoewel voor deze besturingssystemen patches zijn uitgebracht, zijn sommige apparaten nog niet gepatcht tegen deze exploit.
Equifax gegevensinbreuk - Het datalek bij Equifax was een grote cyberaanval in 2017. De aanval werd gepleegd door een onbekende groep hackers die de website van Equifax binnendrong en de persoonlijke gegevens van ongeveer 145 miljoen klanten stal, waaronder sofinummers en geboortedata.
WannaCry Ransomware - WannaCry is een ransomware-virus dat gericht is op Microsoft Windows-besturingssystemen; het versleutelt de bestanden van gebruikers en eist een losgeldbetaling via Bitcoin om ze te ontsleutelen. Het verspreidt zich via netwerken met behulp van EternalBlue. In april 2017 lekte een Windows-exploit uit van de NSA. De worm heeft wereldwijd meer dan 300.000 computers getroffen sinds de release op 12 mei 2017.
Malware-aanvallen op ziekenhuizen - Malware-aanvallen komen de laatste jaren steeds vaker voor omdat hackers zich om persoonlijke of politieke redenen richten op organisaties in de gezondheidszorg. Bij één zo'n aanval kregen hackers toegang tot patiëntendossiers van Hollywood Presbyterian Medical Center via phishing e-mails verzonden door de administratie van het ziekenhuis.
Laatste woorden
Een zero-day kwetsbaarheid is een softwarebug die is ontdekt maar nog niet bekend is gemaakt aan de softwareleverancier. Het is "nul dagen" van bekendheid, althans bij het publiek. Met andere woorden, het is een exploit in het wild die niemand kent, behalve degene die het als eerste heeft ontdekt en gemeld.
