Hvad er zero-day exploit, og hvorfor er det farligt?

Hvad er Zero day?

“Zero day” henviser til en software- eller hardwaresårbarhed, som er ukendt for folk, der ville være interesserede i at rette den, det kunne f.eks. være leverandører. Udtrykket omfatter både zero-day-sårbarheder og zero-day-exploits.

Udtrykket zero day hentyder til det tidsrum - nul dage - hvor softwareudvikleren eller -leverandøren har været opmærksom på problemet. Og da softwaren allerede er i brug, har de haft nul dage til at adressere og lappe sårbarheden.

I bedste fald, når nogen opdager en zero-day-sårbarhed, rapporterer de det til softwareudviklerne, så de kan rette op på det. Desværre sker det nogle gange, at hackere finder sårbarheden først og udnytter den, før udvikleren kan nå at rette den.

Zero-day-sårbarhed defineret

En zero-day-sårbarhed er en cybersikkerhedssårbarhed i et stykke software eller hardware, som endnu ikke er blevet opdaget af udviklerne og leverandørerne. Det betyder, at der i øjeblikket ikke er nogen måde at lukke sikkerhedshullet på. Det kan være en hvilken som helst sårbarhed - en fejl, manglende kryptering eller manglende autorisationer. En zero-day-sårbarhed kan bane vejen for en zero-day-exploit.

Zero-day exploit defineret

Et zero-day exploit er en metode eller teknik, som kriminelle bruger til at udnytte en zero-day-sårbarhed. Det er en kode, et værktøj eller en strategi, som cyberkriminelle bruger til at udnytte den sikkerhedsfejl, der endnu ikke er blevet opdaget af softwarens skabere. Zero-day exploit er midlet til at udføre et zero-day-angreb.

Zero-day angreb defineret

Et zero-day-angreb er den type cyberangreb, der implementerer zero-day exploit. Det er processen med at udnytte sårbarheden til at opnå en uautoriseret handling - installere bagdøre, inficere malware eller stjæle følsomme oplysninger.

Hvordan fungerer zero-day angreb?

Hackere udfører zero-day-angreb ved at opdage en sikkerhedsbrist i softwaren eller hardwaren og derefter skrive og implementere kode for at udnytte sårbarheden, før udviklerne har haft en chance for at lappe den.

Et vellykket zero-day exploit giver angriberne adgang til softwaren eller systemet. I forlængelse heraf bringer disse angreb også softwarebrugernes cybersikkerhed i fare - hackere kan stjæle deres personlige oplysninger og bruge dem til ulovlige formål.

Hvis cyberkriminelle f.eks. udfører et vellykket zero-day IoT-angreb på en smart-bygning, kan beboerne miste adgangen til bygningen, og angriberne kan stjæle oplysninger om beboernes adfærd og endda forstyrre den kritiske infrastruktur, f.eks. ved at afbryde strøm- eller vandforsyningen.

Hvem udfører zero-day-angreb?

Afhængigt af motivationen kan forskellige grupper af ondsindede aktører bruge zero-day exploit til at infiltrere systemer med zero-day-sårbarhed. De mest almindelige gerningsmænd omfatter:

• Cyberkriminelle – Grupper eller enkeltpersoner, der er interesserede i at eksponere følsomme data, mest for at opnå økonomisk gevinst.
• Hacktivister – Ondsindede aktører, der er motiveret af politiske og sociale årsager, og som ønsker, at angrebet skal skabe opmærksomhed om deres ønskede sag.
• Virksomhedsspionage-hackere – Hackere, der udspionerer virksomheder for at indsamle relevante oplysninger, f.eks. forretningshemmeligheder og hemmelige dokumenter.
• Cyberkrigsagenter – Regeringsorganer og politiske aktører, der udnytter sårbarheder i cybersikkerheden til at spionere eller angribe et andet lands cyberinfrastruktur.

Hver af disse enheder udnytter cyber-risici som f.eks. zero-day-sårbarheder til at få adgang til usikre systemer. Mens nogle cyberkriminelle handler i stilhed, kan andre sælge zero-day exploits på dark web og endda dele oplysninger om sårbarheder i online cybersikkerhedsfora og på sociale medier.

Hvad er de hyppigste mål for zero-day angreb?

Cyberkriminelle og regeringer bruger zero-day-sårbarheder rettet mod operativsystemer, webbrowsere, kontorapplikationer, hardware, firmware og endda Internet of Things (IoT)-systemer. Den brede vifte af mål gør listen over mål forholdsvis lang:

• Store virksomheder og organisationer.
• Offentlige myndigheder.
• Kritisk infrastruktur.
• Forskningsinstitutioner og universiteter.
• Højt profilerede personer, især dem, der er i besiddelse af værdifulde, følsomme oplysninger, eller som har adgang til sårbare systemer.
• Politiske mål og nationale sikkerhedstrusler.

Du kan også kategorisere mål for zero-day-angreb ud fra, om zero-day-angrebet er målrettet eller ej:

• Målrettede zero-day-angreb fokuserer på potentielt værdifulde mål, som f.eks. store virksomheder, højt profilerede personer og regeringsorganer.
• Ikke-målrettede zero-day-angreb bruges ofte mod brugere af sårbare systemer, f.eks. browsere eller operativsystemer.

Eksempler på zero-day angreb

Der har været mange berygtede tilfælde af zero-day-angreb i nyere tid. Vi ser på nogle af de mest berygtede her:

Stuxnet

Stuxnet var en computerorm, der brugte forskellige Windows zero-day-sårbarheder til at ramme SCADA-systemer (supervisory control and data acquisition).

Ormen forårsagede enorm skade på Irans atomprogram. Den ødelagde næsten en femtedel af Irans atomcentrifuger og inficerede svimlende 200.000 computere. Den beskrives ofte som et af de første cybervåben, fordi gerningsmændene bag ormen menes at være USA og Israel.

Sony-hacket

Sony-hacket i 2014 topper også listen som et af de mest berømte zero-day exploits. Under Sony Pictures-hacket udnyttede kriminelle en zero-day-sårbarhed til at bryde ind i virksomhedens netværk og stjæle data.

Hackere frigav senere de utroligt følsomme oplysninger, herunder kopier af kommende film, virksomhedens planer for fremtiden, forretningsaftaler og e-mails fra Sonys topledelse. Hvilken specifik udnyttelse hackerne brugte, er stadig et mysterium den dag i dag.

Dridex

Tilbage i 2017 fandt hackere en sårbarhed i Microsoft Word og udviklede malwaren Dridex, som de derefter skjulte i vedhæftede filer til MS Word. De, der downloadede disse inficerede filer, aktiverede Dridex-trojaneren. Denne farlige banksvindel-malware spredte sig til millioner af brugere verden over. Word var ikke det eneste Microsoft-produkt, der blev angrebet - virksomheden blev ramt af en zero-day-sårbarhed i Microsoft Exchange i 2021.

Firefox zero-day

I 2020 havde Firefox en sårbarhed, der gjorde det muligt for hackere at placere og afvikle kode i Firefox' hukommelse. Det gjorde det muligt for kriminelle at køre ondsindet kode på alle deres ofres enheder. Udviklerne udgav en nødopdatering, men ikke før det lykkedes nogle hackere at udnytte den.

Zoom zero-day trusler

I 2020 stod Zoom over for to alvorlige zero-day-sårbarheder. Den ene tillod potentielt tyveri af legitimationsoplysninger via et ondsindet link i Zoom-chat på Windows. Den anden påvirkede Macs - sårbarheden gjorde det muligt for angribere at få root-adgang og kontrol over brugerens mikrofon og kamera. Zoom zero-day exploits blev hurtigt rettet ved at frigive relevante patches.

Google Chrome zero-day sårbarheder

2021 var ikke et godt år for Chrome med hensyn til zero-day exploits. Browseren måtte udsende tre nødrettelser til zero-day-sårbarheder det år. En af fejlene kunne muliggøre fjernudførelse af kode og DDoS-angreb på berørte systemer. I 2022 var der endnu en bølge af zero-day-angreb på Google Chrome, men sårbarhederne er blevet lappet siden.

Kaseya

I 2021 blev den amerikanske softwareudbyder Kaseya udsat for et zero-day-cyberangreb, der var rettet mod deres VSA-software. Angriberne udnyttede en zero-day-sårbarhed i VSA-softwaren til at distribuere ransomware til adskillige managed service providers (MSP'er) og deres kunder. Angrebet resulterede i omfattende forstyrrelser, hvor tusindvis af organisationer blev ramt på verdensplan. 

Log4Shell

Log4Shell zero-day-sårbarheden var en kritisk sikkerhedsfejl, der blev fundet i 2021 i logningsbiblioteket Apache Log4j, som er hyppigt benyttet i Java-baserede applikationer. Den gjorde det muligt for fjernangribere at udføre vilkårlig kode på sårbare Java-servere. På grund af den udbredte brug af Log4j udgjorde sårbarheden en betydelig trussel mod et stort antal webapplikationer og -tjenester på verdensplan, hvilket førte til forskellige sikkerhedsrisici, herunder databrud, serverkapring og uautoriseret adgang til følsomme oplysninger.

Shellshock

Shellshock var en kritisk zero-day-sårbarhed, der blev opdaget i september 2014. Den påvirkede Bash-shell, en meget brugt kommandolinjefortolker i Unix-baserede operativsystemer (såsom Linux og MacOS). Sårbarheden gjorde det muligt for angribere at udføre vilkårlige kommandoer på sårbare systemer via netværkstjenester som f.eks. webservere og DHCP-klienter. Den udbredte brug af Unix-baserede systemer gjorde Shellshock til en betydelig trussel, hvilket førte til en omfattende indsats fra systemadministratorer og softwareleverandører for at lappe og afbøde sårbarheden.

Petya og NotPetya

Petya og NotPetya blev opdaget i henholdsvis 2016 og 2017 og udnyttede sårbarheder i Windows-operativsystemet. Begge zero-day exploits brugte flere metoder til distribution, herunder phishing-e-mails og malware-kits, og gjorde systemet ubrugeligt, indtil der blev betalt en løsesum.

Selvom den lignede sin forgænger, syntes NotPetyas hovedformål at være at skabe forstyrrelser snarere end at generere betaling af løsepenge. Udnyttelsen resulterede i omfattende skader på organisationer verden over og påvirkede kritisk infrastruktur, virksomheder og offentlige myndigheder.

WannaCry

WannaCry var et ransomware-angreb, der fandt sted i maj 2017. Det var rettet mod computere med Microsoft Windows-operativsystemet ved at udnytte en sårbarhed i Server Message Block (SMB)-protokollen.

Udnyttelsen, også kendt som EternalBlue, blev angiveligt udviklet af USA's National Security Agency (NSA), men blev lækket af en gruppe kaldet Shadow Brokers. Den inficerede tusindvis af computere i over 150 lande i løbet af få timer, krypterede filer og gjorde det muligt for angriberne at kræve en løsesum i Bitcoin for at frigive dem.

Sådan ved du, om du har været offer for et zero-day-angreb

Udtrykket zero-day-angreb antyder, at der ikke er nogen måde at vide, at man bliver angrebet, før det er for sent. Men du kan afbøde potentielle skader, hvis du holder øje med og reagerer på følgende advarselstegn:

• Usædvanlig adfærd. Uventede systemnedbrud eller opbremsninger kan være tegn på et potentielt cyberangreb.
• Uforklarlig netværksaktivitet. Hvis du opdager mistænkelige forbindelser eller domæner i dine netværkslogfiler, kan det betyde, at dit system har ubudne gæster.
• Sikkerhedsalarmer. Alarmer fra antivirussoftware og indbrudsdetekteringssystemer kan være en indikation på, at et cyberangreb er under opsejling eller faktisk har fundet sted.
• Uforklarlige filændringer. Overraskende ændringer af filer eller mapper på dit system, som f.eks. filer, der krypteres eller ændres uden din tilladelse, er et andet rødt flag for potentielle cyberangreb.
• Uforklarlig kontoaktivitet. Logins fra ukendte steder eller ændringer af kontoindstillinger er en stærk indikation på brud på sikkerheden.
• Uforklarligt tab af data. Manglende data og ødelagte filer (især hvis du ikke kan gendanne dem) kan være resultatet af et cyberangreb.

Sådan beskytter du dig mod zero-day-angreb og exploits

Hvordan beskytter du dig egentlig mod en trussel, du ikke kender til? Nogle gange bruger hackere zero-day-sårbarheder sammen med andre angrebsmetoder, f.eks. social engineering-angreb. Her kan du se, hvordan du mindsker risikoen for at blive offer for et zero-day-angreb:

• Opdater din software så hurtigt som muligt. Softwareopdateringer indeholder ofte rettelser til kritiske sårbarheder.
• Hold dig informeret. Sårbarhedsdatabaser og bug bounty-programmer er afgørende for at opdage fejl i din software.
• Vær på vagt over for phishing-svindel. Nogle zero-day-angreb virker kun, når de kombineres med andre angreb. Klik ikke på ukendte links eller vedhæftede filer - du kan ende med at udlevere følsomme data til kriminelle.

Sørg for, at du bruger en VPN og antivirussoftware til at beskytte din enhed mod potentielle cybertrusler som f.eks. malware, der kan åbne en bagdør til dit system. En VPN hjælper med at beskytte din virksomheds netværk og blokerer endda potentielle phishing-sider. Se her, hvordan du gør:

• En VPN beskytter din virksomheds netværk. En VPN krypterer al onlinetrafik for alle enheder, der er forbundet til dit netværk. Hvis dine medarbejdere bruger deres egne ukrypterede apps til at sende følsomme oplysninger, kan de nemt blive opsnappet og stjålet af kriminelle. Sørg for, at dine medarbejdere er opmærksomme på sikkerhedsrisici ved split tunneling for at afholde dem fra at lade apps få direkte adgang til internettet på arbejdsenheder.
• En VPN blokerer phishing-sider. NordVPN inkluderer Threat Protection Pro™-funktionen, som blokerer ondsindede malware-sider. Den arbejder også på at stoppe pop-op-reklamer, som er berygtede for at sprede spyware og anden filstjælende malware. Threat Protection Pro scanner de filer, du downloader, og identificerer dem, der er fyldt med malware.

De fleste organisationers svar på cybersikkerhedshændelser har en tendens til at være reaktionære - at reagere på tidligere kendte trusler. Problemet med zero-day-sårbarheder er, at skaden allerede er sket, når man opdager problemet. Det er med andre ord allerede for sent at reagere på det tidspunkt.

Nøglen til zero-day-beskyttelse er en proaktiv tilgang. Detektion, data- og aktivitetsovervågning er nogle af de første skridt til at undgå zero-day-angreb.