Je denkt misschien niet veel na over de software die je gebruikt om je computers en apparaten te draaien, maar achter de interface zit complexe code die een groot team ontwikkelaars jarenlang kan hebben geschreven en verfijnd. Ondanks hun inspanningen kunnen ontwikkelaars softwarefouten missen. Terwijl sommige fouten alleen de gebruikerservaring beïnvloeden, zijn andere veel ernstiger.
Een zero-day fout is een softwarekwetsbaarheid die door hackers kan worden gebruikt en nog geen patch heeft. De softwareontwikkelaars zijn zich mogelijk niet bewust van de zwakte, werken aan een oplossing, of negeren deze. Zoals je je kunt voorstellen, kan zo'n kwetsbaarheid resulteren in een kritieke cyberbeveiligingsbreuk.
Waarom heet het een zero-day?
Veel mensen vragen zich af waarom experts dit type computer exploit een zero-day-kwetsbaarheid noemen in plaats van iets anders. Toegegeven, er zit een beetje sarcasme achter de naam. Mensen in de computerwereld noemen het een zero-day-aanval — omdat de softwaremakers nul dagen hebben om te reageren nadat hackers het hebben benut. Het is een beetje als het sluiten van de staldeur nadat de wolf al binnen is geweest. Natuurlijk kun je toekomstige aanvallen voorkomen, maar dat biedt weinig troost voor het ontbrekende schaap.
Nadat de zero-day-kwetsbaarheid openbaar is gemaakt, is het niet langer een zero-day fout — het is gewoon een kwetsbaarheid. Meestal zullen fabrikanten dag en nacht doorwerken om zo snel mogelijk een patch te ontwikkelen om de zwakte te verhelpen zodra ze ervan op de hoogte zijn.
Hoe worden zero-day bugs ontdekt?
Omdat fabrikanten overuren maken om kwetsbaarheden te minimaliseren, zie je dat je software behoorlijk regelmatig updates krijgt. Soms worden beveiligingsupdates zelfs op dezelfde dag als de software uitgebracht. Hoewel ontwikkelaars graag intern beveiligingslekken vinden, hebben ze ook geen bezwaar tegen enige hulp van buitenaf.
White hat hackers
White hat hacker is een ouderwetse term voor een ethische hacker. Bedrijven huren dergelijke specialisten in om de netwerkbeveiliging te verbeteren. Het identificeren van potentiële zero-day bugs kan deel van het werk zijn.
Grey hat hackers
Grey hat hackers zijn als white hats, behalve dat ze niet in een officiële hoedanigheid werken. Zulke hackers kunnen proberen zero-day bugs te vinden in de hoop een baan bij het bedrijf te krijgen, bekendheid te verwerven of gewoon voor het vermaak. Een grey hat hacker maakt nooit misbruik van de fouten die hij ontdekt. Een voorbeeld hiervan is toen een hacker misbruik maakte van een kwetsbaarheid in het cryptocurrency platform Poly Network om $600 miljoen aan tokens te stelen voordat hij het bedrag teruggaf.
Wedstrijden
Veel softwarebedrijven organiseren hackevenementen en betalen hackers geld en prijzen voor het vinden van exploits. Hier vinden hackers zwakke plekken in besturingssystemen, webbrowsers en apps voor mobiele apparaten en computers. Een recent voorbeeld hiervan is dat twee Nederlandse beveiligingsspecialisten 200.000 dollar mee naar huis namen voor een Zoom zero-day ontdekking op Pwn2Own.
Onderzoekers
Onderzoekers van cybersecuritybedrijven zoals Malwarebytes zoeken naar exploits als onderdeel van hun werk. Wanneer onderzoekers een exploit vinden voordat cybercriminelen dat doen, rapporteren ze het meestal aan de fabrikanten voordat ze het publiek maken. Door fabrikanten een voorsprong te geven, kunnen onderzoekers de kans op zero-day-aanvallen door hackers minimaliseren.
Hoe worden zero-day-aanvallen ontdekt?
Een softwaregebruiker realiseert zich dat hij het doelwit is van een zero-day aanval wanneer zijn systeem zich ongewoon gedraagt of wanneer een hacker de exploit gebruikt om bedreigende malware zoals ransomware te droppen. Onderzoekers kunnen een zero-day aanval ook na een gebeurtenis ontdekken. Na de door de staat gesponsorde Stuxnet-aanval op Iran realiseerden onderzoekers wereldwijd zich bijvoorbeeld dat het een zero-day wormaanval was. Soms wordt een zero-day aanval herkend door een fabrikant nadat een klant ongewone activiteit heeft gemeld.
Zijn zero-day-aanvallen vaak voorkomend?
Zero-day-aanvallen zoals de Stuxnet-worm treffen specifieke doelwitten en hebben geen invloed op gewone computergebruikers. Ondertussen repareren gerenommeerde bedrijven zoals Microsoft, Apple en Google meestal zero-days zo snel mogelijk om hun reputatie en hun gebruikers te beschermen. Vaak is een oplossing beschikbaar voordat de gemiddelde gebruiker wordt beïnvloed. Toch mogen zero-days niet lichtvaardig worden opgevat omdat hun impact ernstig schadelijk kan zijn.
Hoe gebeurt een zero-day-aanval?
- Identificatie: Hackers vinden niet-gerapporteerde kwetsbaarheden in software door ze te testen of door te winkelen op zwarte markten in de onderbuik van het internet zoals het Dark Web.
- Creatie: Bedreigingsacteurs maken kits, scripts of processen die gebruik kunnen maken van de nieuwgevonden kwetsbaarheden.
- Intelligentie: De aanvallers hebben al een doel voor ogen of gebruiken tools zoals bots, probing of scanners om winstgevende doelen met exploiteerbare systemen te vinden.
- Planning: Hackers beoordelen de sterkte en zwaktes van hun doelwit voordat ze een aanval lanceren. Ze kunnen sociale engineering, spionnen of andere tactieken gebruiken om een systeem binnen te dringen.
- Uitvoering: Met alles op z'n plek zetten de aanvallers hun kwaadaardige software in en benutten de kwetsbaarheid.
Hoe zero-day-aanvallen te beperken
Voorkomen dat aanvallers ongekende kwetsbaarheden uitbuiten om je systeem binnen te dringen is zeker uitdagend. Het is cruciaal om dreigingsvectoren te sluiten die een dreigingsactor kan gebruiken om je netwerk te infiltreren met lagen van bescherming en veiligere praktijken. Hier zijn enkele tips die je kunnen helpen onbekende dreigingen te detecteren en voorkomen:
- Gebruik geen oude software. Hackers kunnen gemakkelijker exploits creëren voor software die niet langer door de verkoper wordt ondersteund.
- Gebruik geavanceerde antivirustools met machine learning, gedragsdetectie en exploit mitigation. Dergelijke functies kunnen uw cyberbeveiligingsprogramma's helpen om bedreigingen met onbekende handtekeningen tegen te houden.
- In bedrijven:
- Train werknemers om social engineering-aanvallen zoals spear-phishing te herkennen die hackers kunnen gebruiken als aanvalsvector.
- Adopteer Endpoint Detection and Response (EDR) oplossingen om je eindpunten te monitoren en beveiligen.
- Verbeter netwerkbeveiliging met firewalls, prive-VPN’s en IPsec.
- Segmenteer je netwerken met robuuste netwerktoegangscontroles.
Nieuws over zero-days
- Log4j zero-day "Log4Shell" komt net op tijd om uw weekend te verpesten
- Windows Installer kwetsbaarheid wordt actief uitgebuit zero-day
- Patch nu! FatPipe VPN zero-day actief uitgebuit
- Patch nu! Microsoft lost actief uitgebuite zero-days op en andere updates
- Google patcht zero-day kwetsbaarheid, en andere, in Android
- Patch nu! Apache repareert zero-day kwetsbaarheid in HTTP-server
- Update nu! Google Chrome repareert twee zero-days in de wildernis
- Apple brengt noodupdate uit: Patch, maar raak niet in paniek
- HiveNightmare zero-day laat iedereen als SYSTEM op Windows 10 en 11 functioneren
- PrintNightmare 0-day kan worden gebruikt om Windows over te nemen
- Microsoft repareert zeven zero-days, waaronder twee PuzzleMaker-doelen, Google repareert ernstige Android-fout
- Ontdekking zero-day Zoom maakt gesprekken veiliger, hackers $200.000 rijker