Je denkt misschien niet veel na over de software die je gebruikt om je computers en apparaten te draaien, maar achter de interface zit complexe code die een groot team ontwikkelaars jarenlang kan hebben geschreven en verfijnd. Ondanks hun inspanningen kunnen ontwikkelaars softwarefouten missen. Terwijl sommige fouten alleen de gebruikerservaring beïnvloeden, zijn andere veel ernstiger.
Een zero-day fout is een softwarekwetsbaarheid die door hackers kan worden gebruikt en nog geen patch heeft. De softwareontwikkelaars zijn zich mogelijk niet bewust van de zwakte, werken aan een oplossing, of negeren deze. Zoals je je kunt voorstellen, kan zo'n kwetsbaarheid resulteren in een kritieke cyberbeveiligingsbreuk.
Waarom heet het een zero-day?
Veel mensen vragen zich af waarom experts dit type computer exploit een zero-day-kwetsbaarheid noemen in plaats van iets anders. Toegegeven, er zit een beetje sarcasme achter de naam. Mensen in de computerwereld noemen het een zero-day-aanval — omdat de softwaremakers nul dagen hebben om te reageren nadat hackers het hebben benut. Het is een beetje als het sluiten van de staldeur nadat de wolf al binnen is geweest. Natuurlijk kun je toekomstige aanvallen voorkomen, maar dat biedt weinig troost voor het ontbrekende schaap.
Nadat de zero-day-kwetsbaarheid openbaar is gemaakt, is het niet langer een zero-day fout — het is gewoon een kwetsbaarheid. Meestal zullen fabrikanten dag en nacht doorwerken om zo snel mogelijk een patch te ontwikkelen om de zwakte te verhelpen zodra ze ervan op de hoogte zijn.
Hoe worden zero-day bugs ontdekt?
Omdat fabrikanten overuren maken om kwetsbaarheden te minimaliseren, zie je dat je software behoorlijk regelmatig updates krijgt. Soms worden beveiligingsupdates zelfs op dezelfde dag als de software uitgebracht. Hoewel ontwikkelaars graag intern beveiligingslekken vinden, hebben ze ook geen bezwaar tegen enige hulp van buitenaf.
White hat hackers
White hat hacker is een ouderwetse term voor een ethische hacker. Bedrijven huren dergelijke specialisten in om de netwerkbeveiliging te verbeteren. Het identificeren van potentiële zero-day bugs kan deel van het werk zijn.
Grey hat hackers
Grijze hackers lijken op white hats, behalve dat ze niet in een officiële hoedanigheid werken. Dergelijke hackers kunnen proberen zero-day bugs te vinden in de hoop een baan bij het bedrijf te krijgen, bekendheid te verwerven, of gewoon voor vermaak. Een grijze hacker maakt nooit misbruik van de tekortkomingen die ze ontdekken. Een voorbeeld is wanneer een hacker een kwetsbaarheid in het cryptocurrency platform Poly Network benut om voor $600 miljoen aan tokens te stelen voordat hij het bedrag teruggeeft.
Wedstrijden
Veel softwarebedrijven organiseren hackevenementen en betalen hackers contant geld en prijzen voor het vinden van exploits. Hier ontdekken hackers zwakke plekken in besturingssystemen, webbrowsers en apps voor mobiele apparaten en computers. Een recent voorbeeld is toen twee Nederlandse beveiligingsspecialisten $200,000 wonnen voor een Zoom zero-day ontdekking op Pwn2Own.
Onderzoekers
Onderzoekers van cybersecuritybedrijven zoals Malwarebytes zoeken naar exploits als onderdeel van hun werk. Wanneer onderzoekers een exploit vinden voordat cybercriminelen dat doen, rapporteren ze het meestal aan de fabrikanten voordat ze het publiek maken. Door fabrikanten een voorsprong te geven, kunnen onderzoekers de kans op zero-day-aanvallen door hackers minimaliseren.
Hoe worden zero-day-aanvallen ontdekt?
Een softwaregebruiker realiseert zich dat ze het doelwit zijn van een zero-day-aanval wanneer hun systeem zich ongewoon gedraagt of wanneer een hacker de exploit gebruikt om dreigende malware zoals ransomware te plaatsen. Onderzoekers kunnen ook een zero-day-aanval ontdekken na een incident. Bijvoorbeeld, na de door de staat gesponsorde Stuxnet-aanval op Iran, beseften onderzoekers wereldwijd dat het een zero-day wormaanval was. Soms wordt een zero-day-aanval herkend door een fabrikant nadat een klant ongewoon gedrag rapporteert.
Zijn zero-day-aanvallen vaak voorkomend?
Zero-day-aanvallen zoals de Stuxnet-worm treffen specifieke doelwitten en hebben geen invloed op gewone computergebruikers. Ondertussen repareren gerenommeerde bedrijven zoals Microsoft, Apple en Google meestal zero-days zo snel mogelijk om hun reputatie en hun gebruikers te beschermen. Vaak is een oplossing beschikbaar voordat de gemiddelde gebruiker wordt beïnvloed. Toch mogen zero-days niet lichtvaardig worden opgevat omdat hun impact ernstig schadelijk kan zijn.
Hoe gebeurt een zero-day-aanval?
- Identificatie: Hackers vinden niet-gemelde kwetsbaarheden in software door testing of te zoeken op zwarte markten in de onderwereld van het internet, zoals het dark web.
- Creatie: Bedreigingsacteurs maken kits, scripts of processen die gebruik kunnen maken van de nieuwgevonden kwetsbaarheden.
- Intelligentie: De aanvallers hebben al een doel voor ogen of gebruiken tools zoals bots, probing of scanners om winstgevende doelen met exploiteerbare systemen te vinden.
- Planning: Hackers beoordelen de sterkte en zwaktes van hun doelwit voordat ze een aanval lanceren. Ze kunnen sociale engineering, spionnen of andere tactieken gebruiken om een systeem binnen te dringen.
- Uitvoering: Met alles op z'n plek zetten de aanvallers hun kwaadaardige software in en benutten de kwetsbaarheid.
Hoe zero-day-aanvallen te beperken
Voorkomen dat aanvallers ongekende kwetsbaarheden uitbuiten om je systeem binnen te dringen is zeker uitdagend. Het is cruciaal om dreigingsvectoren te sluiten die een dreigingsactor kan gebruiken om je netwerk te infiltreren met lagen van bescherming en veiligere praktijken. Hier zijn enkele tips die je kunnen helpen onbekende dreigingen te detecteren en voorkomen:
- Gebruik geen oude software. Hackers kunnen gemakkelijker exploits creëren voor software die niet langer door de verkoper wordt ondersteund.
- Gebruik geavanceerde antivirus-tools die machine learning, gedragsdetectie en exploit-mitigatie bevatten. Dergelijke functies kunnen je cybersecurity-tools helpen bedreigingen met onbekende handtekeningen te stoppen.
- In bedrijven:
- Train medewerkers om sociaal-ingenieursaanvallen zoals spear-phishing te herkennen die hackers kunnen gebruiken als aanvalsvector.
- Adopteer Endpoint Detection and Response (EDR) oplossingen om je eindpunten te monitoren en beveiligen.
- Verbeter netwerkbeveiliging met firewalls, prive-VPN’s en IPsec.
- Segmenteer je netwerken met robuuste netwerktoegangscontroles.
Nieuws over zero-days
- Log4j zero-day "Log4Shell" komt net op tijd om uw weekend te verpesten
- Windows Kwetsbaarheid in Installer wordt actief uitgebuit zero-day
- Patch nu! FatPipe VPN zero-day actief uitgebuit
- Patch nu! Microsoft lost actief uitgebuite zero-days op en andere updates
- Google patcht zero-day kwetsbaarheid, en andere, in Android
- Patch nu! Apache repareert zero-day kwetsbaarheid in HTTP-server
- Update nu! Google Chrome repareert twee zero-days in de wildernis
- Apple brengt noodupdate uit: Patch, maar raak niet in paniek
- HiveNightmare zero-day laat iedereen als SYSTEM op Windows 10 en 11 functioneren
- PrintNightmare 0-day kan worden gebruikt om Windows domeincontrollers over te nemen
- Microsoft repareert zeven zero-days, waaronder twee PuzzleMaker-doelen, Google repareert ernstige Android-fout
- Ontdekking zero-day Zoom maakt gesprekken veiliger, hackers $200.000 rijker