Wat is een zero-day-aanval?

Een aanval die een zwakke plek in software exploiteert voordat de softwareontwikkelaar de kans krijgt deze te repareren, wordt een zero-day-aanval genoemd.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATIS

Ook voor Windows, iOS, Android, Chromebook en Voor Bedrijven

Je denkt misschien niet veel na over de software die je gebruikt om je computers en apparaten te draaien, maar achter de interface zit complexe code die een groot team ontwikkelaars jarenlang kan hebben geschreven en verfijnd. Ondanks hun inspanningen kunnen ontwikkelaars softwarefouten missen. Terwijl sommige fouten alleen de gebruikerservaring beïnvloeden, zijn andere veel ernstiger.  

Een zero-day fout is een softwarekwetsbaarheid die door hackers kan worden gebruikt en nog geen patch heeft. De softwareontwikkelaars zijn zich mogelijk niet bewust van de zwakte, werken aan een oplossing, of negeren deze. Zoals je je kunt voorstellen, kan zo'n kwetsbaarheid resulteren in een kritieke cyberbeveiligingsbreuk.

Waarom heet het een zero-day?

Veel mensen vragen zich af waarom experts dit type computer exploit een zero-day-kwetsbaarheid noemen in plaats van iets anders. Toegegeven, er zit een beetje sarcasme achter de naam. Mensen in de computerwereld noemen het een zero-day-aanval — omdat de softwaremakers nul dagen hebben om te reageren nadat hackers het hebben benut. Het is een beetje als het sluiten van de staldeur nadat de wolf al binnen is geweest. Natuurlijk kun je toekomstige aanvallen voorkomen, maar dat biedt weinig troost voor het ontbrekende schaap.  

Nadat de zero-day-kwetsbaarheid openbaar is gemaakt, is het niet langer een zero-day fout — het is gewoon een kwetsbaarheid. Meestal zullen fabrikanten dag en nacht doorwerken om zo snel mogelijk een patch te ontwikkelen om de zwakte te verhelpen zodra ze ervan op de hoogte zijn.

Hoe worden zero-day bugs ontdekt?

Omdat fabrikanten overuren maken om kwetsbaarheden te minimaliseren, zie je dat je software behoorlijk regelmatig updates krijgt. Soms worden beveiligingsupdates zelfs op dezelfde dag als de software uitgebracht. Hoewel ontwikkelaars graag intern beveiligingslekken vinden, hebben ze ook geen bezwaar tegen enige hulp van buitenaf. 

White hat hackers

White hat hacker is een ouderwetse term voor een ethische hacker. Bedrijven huren dergelijke specialisten in om de netwerkbeveiliging te verbeteren. Het identificeren van potentiële zero-day bugs kan deel van het werk zijn.

Grey hat hackers

Grijze hackers lijken op white hats, behalve dat ze niet in een officiële hoedanigheid werken. Dergelijke hackers kunnen proberen zero-day bugs te vinden in de hoop een baan bij het bedrijf te krijgen, bekendheid te verwerven, of gewoon voor vermaak. Een grijze hacker maakt nooit misbruik van de tekortkomingen die ze ontdekken. Een voorbeeld is wanneer een hacker een kwetsbaarheid in het cryptocurrency platform Poly Network benut om voor $600 miljoen aan tokens te stelen voordat hij het bedrag teruggeeft.

Wedstrijden

Veel softwarebedrijven organiseren hackevenementen en betalen hackers contant geld en prijzen voor het vinden van exploits. Hier ontdekken hackers zwakke plekken in besturingssystemen, webbrowsers en apps voor mobiele apparaten en computers. Een recent voorbeeld is toen twee Nederlandse beveiligingsspecialisten $200,000 wonnen voor een Zoom zero-day ontdekking op Pwn2Own.

Onderzoekers

Onderzoekers van cybersecuritybedrijven zoals Malwarebytes zoeken naar exploits als onderdeel van hun werk. Wanneer onderzoekers een exploit vinden voordat cybercriminelen dat doen, rapporteren ze het meestal aan de fabrikanten voordat ze het publiek maken. Door fabrikanten een voorsprong te geven, kunnen onderzoekers de kans op zero-day-aanvallen door hackers minimaliseren.

Hoe worden zero-day-aanvallen ontdekt?

Een softwaregebruiker realiseert zich dat ze het doelwit zijn van een zero-day-aanval wanneer hun systeem zich ongewoon gedraagt of wanneer een hacker de exploit gebruikt om dreigende malware zoals ransomware te plaatsen. Onderzoekers kunnen ook een zero-day-aanval ontdekken na een incident. Bijvoorbeeld, na de door de staat gesponsorde Stuxnet-aanval op Iran, beseften onderzoekers wereldwijd dat het een zero-day wormaanval was. Soms wordt een zero-day-aanval herkend door een fabrikant nadat een klant ongewoon gedrag rapporteert.

Zijn zero-day-aanvallen vaak voorkomend?

Zero-day-aanvallen zoals de Stuxnet-worm treffen specifieke doelwitten en hebben geen invloed op gewone computergebruikers. Ondertussen repareren gerenommeerde bedrijven zoals Microsoft, Apple en Google meestal zero-days zo snel mogelijk om hun reputatie en hun gebruikers te beschermen. Vaak is een oplossing beschikbaar voordat de gemiddelde gebruiker wordt beïnvloed. Toch mogen zero-days niet lichtvaardig worden opgevat omdat hun impact ernstig schadelijk kan zijn.

Hoe gebeurt een zero-day-aanval?

  • Identificatie: Hackers vinden niet-gemelde kwetsbaarheden in software door testing of te zoeken op zwarte markten in de onderwereld van het internet, zoals het dark web.
  • Creatie: Bedreigingsacteurs maken kits, scripts of processen die gebruik kunnen maken van de nieuwgevonden kwetsbaarheden.
  • Intelligentie: De aanvallers hebben al een doel voor ogen of gebruiken tools zoals bots, probing of scanners om winstgevende doelen met exploiteerbare systemen te vinden.
  • Planning: Hackers beoordelen de sterkte en zwaktes van hun doelwit voordat ze een aanval lanceren. Ze kunnen sociale engineering, spionnen of andere tactieken gebruiken om een systeem binnen te dringen.  
  • Uitvoering: Met alles op z'n plek zetten de aanvallers hun kwaadaardige software in en benutten de kwetsbaarheid.

Hoe zero-day-aanvallen te beperken

Voorkomen dat aanvallers ongekende kwetsbaarheden uitbuiten om je systeem binnen te dringen is zeker uitdagend. Het is cruciaal om dreigingsvectoren te sluiten die een dreigingsactor kan gebruiken om je netwerk te infiltreren met lagen van bescherming en veiligere praktijken. Hier zijn enkele tips die je kunnen helpen onbekende dreigingen te detecteren en voorkomen:

  • Gebruik geen oude software. Hackers kunnen gemakkelijker exploits creëren voor software die niet langer door de verkoper wordt ondersteund.
  • Gebruik geavanceerde antivirus-tools die machine learning, gedragsdetectie en exploit-mitigatie bevatten. Dergelijke functies kunnen je cybersecurity-tools helpen bedreigingen met onbekende handtekeningen te stoppen.
  • In bedrijven:
    • Train medewerkers om sociaal-ingenieursaanvallen zoals spear-phishing te herkennen die hackers kunnen gebruiken als aanvalsvector.
    • Adopteer Endpoint Detection and Response (EDR) oplossingen om je eindpunten te monitoren en beveiligen.
    • Verbeter netwerkbeveiliging met firewalls, prive-VPN’s en IPsec.
    • Segmenteer je netwerken met robuuste netwerktoegangscontroles.

Nieuws over zero-days