Wat is een 'zero-day'-aanval?

Een aanval waarbij misbruik wordt gemaakt van een kwetsbaarheid in software voordat de softwareontwikkelaar de kans heeft om deze te verhelpen, wordt een zero-day aanval genoemd.

.st0{fill:#0D3ECC;} MALWAREBYTES GRATIS DOWNLOADEN

Ook voor Windows, iOS, Android, Chromebook en Voor bedrijven

u denken misschien geen twee keer na over de software die u gebruikt om uw computers en apparaten te laten werken, maar achter de interface zit zeer complexe code waar een groot team van ontwikkelaars jaren aan heeft gewerkt om deze te schrijven en af te stellen. Ondanks hun inspanningen kunnen ontwikkelaars fouten in de software over het hoofd zien. Sommige fouten hebben alleen invloed op de gebruikerservaring, maar andere zijn veel ernstiger.  

Een 'zero-day'-fout is een softwarekwetsbaarheid die door hackers kan worden uitgebuit en waarvoor nog geen patch is. De softwareontwikkelaars zijn mogelijk niet op de hoogte van de zwakke plek, zijn bezig met de ontwikkeling van een oplossing of negeren deze. Zoals u zich kan voorstellen, kan zo'n kwetsbaarheid leiden tot een kritieke inbreuk op de cyberbeveiliging.

Waarom wordt het een zero-day genoemd?

Veel mensen willen weten waarom experts dit type computervredebreuk een zero-day kwetsbaarheid noemen in plaats van iets anders. Toegegeven, er zit een beetje sarcasme achter de naam. Mensen in de computerwereld noemen het een 'zero-day'-aanval, omdat de makers van software nul dagen de tijd hebben om te reageren nadat hackers er misbruik van hebben gemaakt. Het is zoiets als de schuurdeur dichtdoen als de wolf al binnen is. Zeker, u kan toekomstige aanvallen voorkomen, maar dat is een schrale troost voor de vermiste schapen.  

Nadat het "zero-day"-lek openbaar is gemaakt, is het niet langer een "zero-day"-fout - het is gewoon een kwetsbaarheid. Gewoonlijk zullen fabrikanten het vuur uit de sloffen steken om een patch te ontwikkelen om het zwakke punt te verhelpen zodra ze er weet van hebben.

Hoe worden zero-day bugs ontdekt?

uw Omdat fabrikanten overuren maken om kwetsbaarheden te minimaliseren, ziet u op uregelmatig software-updates verschijnen. Soms verschijnen beveiligingsupdates zelfs op dezelfde dag als de software debuteert. Hoewel ontwikkelaars beveiligingslekken graag intern vinden, hebben ze ook geen bezwaar tegen hulp van buitenaf. 

White hat hackers

White hat hacker is een archaïsche term voor een ethische hacker. Bedrijven huren dergelijke specialisten in om de netwerkbeveiliging te verbeteren. Het identificeren van potentiële zero-day bugs kan deel uitmaken van de job.

Grijze hoed hackers

Grey hat hackers zijn als white hats, behalve dat ze niet in een officiële hoedanigheid werken. Zulke hackers kunnen proberen zero-day bugs te vinden in de hoop een baan bij het bedrijf te krijgen, bekendheid te verwerven of gewoon voor het vermaak. Een grey hat hacker maakt nooit misbruik van de fouten die hij ontdekt. Een voorbeeld hiervan is toen een hacker misbruik maakte van een kwetsbaarheid in het cryptocurrency platform Poly Network om $600 miljoen aan tokens te stelen voordat hij het bedrag teruggaf.

Wedstrijden

Veel softwarebedrijven organiseren hackevenementen en betalen hackers geld en prijzen voor het vinden van exploits. Hier vinden hackers zwakke plekken in besturingssystemen, webbrowsers en apps voor mobiele apparaten en computers. Een recent voorbeeld hiervan is dat twee Nederlandse beveiligingsspecialisten 200.000 dollar mee naar huis namen voor een Zoom zero-day ontdekking op Pwn2Own.

Onderzoekers

Onderzoekers van cyberbeveiligingsbedrijven zoals Malwarebytes zoeken naar exploits als onderdeel van hun werk. Als onderzoekers een exploit eerder vinden dan cybercriminelen, melden ze dit meestal aan de fabrikanten voordat ze het openbaar maken. Door fabrikanten een voorsprong te geven, kunnen onderzoekers de kans verkleinen dat hackers zero-day aanvallen lanceren.

Hoe worden 'zero-day'-aanvallen ontdekt?

Een softwaregebruiker realiseert zich dat hij het doelwit is van een zero-day aanval wanneer zijn systeem zich ongewoon gedraagt of wanneer een hacker de exploit gebruikt om bedreigende malware zoals ransomware te droppen. Onderzoekers kunnen een zero-day aanval ook na een gebeurtenis ontdekken. Na de door de staat gesponsorde Stuxnet-aanval op Iran realiseerden onderzoekers wereldwijd zich bijvoorbeeld dat het een zero-day wormaanval was. Soms wordt een zero-day aanval herkend door een fabrikant nadat een klant ongewone activiteit heeft gemeld.

Komen zero-day aanvallen veel voor?

Zero-day aanvallen zoals de Stuxnet-worm hebben specifieke doelen en hebben geen invloed op gewone computergebruikers. Ondertussen repareren gerenommeerde bedrijven zoals Microsoft, Apple en Google zero-days meestal zo snel mogelijk om hun reputatie en hun gebruikers te beschermen. Vaak is er al een fix voordat de gemiddelde gebruiker wordt getroffen. Toch moeten zero-days niet te licht worden opgevat, omdat de gevolgen ernstig kunnen zijn.

Hoe gebeurt een 'zero-day'-aanval?

  • Identificatie: Hackers vinden niet-gerapporteerde kwetsbaarheden in software door te testen of door te shoppen op zwarte markten in de onderbuik van het internet zoals de Dark Web.
  • Creatie: Bedreigingsactoren maken kits, scripts of processen die de nieuw gevonden kwetsbaarheden kunnen misbruiken.
  • Intelligentie: De aanvallers hebben al een doelwit in gedachten of gebruiken tools zoals bots, probing of scanners om winstgevende doelwitten met exploiteerbare systemen te vinden.
  • Planning: Hackers peilen de sterkte en zwakke punten van hun doelwit voordat ze een aanval uitvoeren. Ze kunnen gebruik maken van social engineering, spionnen of een andere tactiek om een systeem te infiltreren.  
  • Uitvoering: Met alles op zijn plaats zetten de aanvallers hun kwaadaardige software in en maken ze misbruik van de kwetsbaarheid.

Hoe zero-day aanvallen te beperken

Het is ongetwijfeld een uitdaging om aanvallers ervan te weerhouden onbekende kwetsbaarheden te misbruiken om het uw systeem binnen te dringen. Het is van cruciaal belang om de bedreigingsvectoren te sluiten die een bedreigende actor kan gebruiken om te infiltreren in het uw netwerk met lagen van bescherming en veiligere praktijken. Hier volgen enkele tips die u kunnen helpen bij het detecteren en voorkomen van onbekende bedreigingen:

  • Gebruik geen oude software. Hackers kunnen gemakkelijker exploits maken voor software die de leverancier niet langer ondersteunt.
  • Gebruik advanced antivirustools met machine learning, gedragsdetectie en exploit mitigation. Dergelijke functies kunnen uw cyberbeveiligingstools helpen om bedreigingen met onbekende handtekeningen tegen te houden.
  • In bedrijven:
    • Train werknemers om social engineering-aanvallen zoals spear-phishing te herkennen die hackers kunnen gebruiken als aanvalsvector.
    • Endpoint Detection and Response (EDR)- oplossingen gebruiken om uw endpoints te bewaken en te beveiligen.
    • Verbeter de netwerkbeveiliging met firewalls, private VPN's en IPsec.
    • Segmenteer uw netwerken met robuuste netwerktoegangscontroles.

Nieuws over nuldagen