Zero-day-exploits en aanvallen: uitleg en definitie

‘Zero day’ verwijst naar een kwetsbaarheid in software die door aanvallers wordt uitgebuit voordat de softwareontwikkelaars zich hiervan bewust zijn. De ‘zero’ in zero-day verwijst naar het feit dat de ontwikkelaar nul dagen heeft om het probleem op te lossen, omdat er nog geen patch of fix beschikbaar is op de eerste dag dat de kwetsbaarheid wordt uitgebuit.

Je kunt het vergelijken met het vinden van een verborgen ingang naar een gebouw waar niemand anders vanaf weet. Als jij deze ingang ontdekt voordat de beveiliging van het gebouw dat doet, heb je vrije toegang om naar binnen te gaan.

De termen zero-day-kwetsbaarheid, zero-day-exploit en zero-day-aanval worden op het internet vaak door elkaar gebruikt, maar betekenen niet hetzelfde. Voor de duidelijkheid:

• Zero-day-kwetsbaarheid. Een zwakke plek in software die nog onbekend is bij de ontwikkelaars van de software. Het wordt ‘zero day’ genoemd omdat er op de eerste dag nog geen bescherming (patch of fix) beschikbaar is.
• Zero-day-exploit. Een specifieke code of techniek die gebruikmaakt van een zero-day-kwetsbaarheid om toegang te krijgen tot een systeem of software. Het is als het ware de aanvalsmethode die profiteert van de nog niet gepatchte zwakke plek.
• Zero-day-aanval. Een cyberaanval waarbij een hacker een zero-day-exploit inzet om misbruik te maken van een zero-day-kwetsbaarheid. Dit type aanval vindt plaats voordat er beschermende maatregelen kunnen worden genomen.

Zero-day-exploits zijn een van de gevaarlijkste cyberdreigingen, omdat ze door hackers kunnen worden gebruikt om aanvallen op systemen of software uit te voeren voordat iemand de kans heeft zich ertegen te verdedigen.

Wanneer wordt een zero-day-aanval uitgevoerd?

Zero-day-aanvallen worden uitgevoerd tussen de tijd waarop de kwetsbaarheid voor het eerst wordt uitgebuit tot het moment dat de softwareontwikkelaars een patch uitbrengen om het lek te dichten. Dit staat in het Engels bekend als het ‘window of vulnerability’.

Dit is hoe een zero-day-aanval stapsgewijs werkt:

• Ontdekking van de kwetsbaarheid. Een hacker ontdekt een beveiligingslek in een softwareproduct. Dit kan gebeuren door onderzoek, reverse engineering van software, of zelfs door het kopen van informatie op de zwarte markt.
• Ontwikkeling van exploit. De hacker ontwikkelt een exploit – een stuk code dat specifiek wordt ontworpen om de kwetsbaarheid te misbruiken en de software te manipuleren. Deze code kan de software bijvoorbeeld dwingen om schadelijke acties uit te voeren.
• Uitvoeren van aanval. Om de cyberaanval uit te voeren, moet de code in het systeem terechtkomen. Hackers verpakken de exploitcode vaak in een onschuldig lijkende bijlage en maken gebruik van social engineering en phishing om gebruikers over te halen deze te downloaden. Als dit is gelukt, kan de code haar werk doen.

Een van de doelen van een zero-day-aanval is om onopgemerkt te blijven. Dit betekent dat de aanvaller probeert de aanval uit te voeren zonder dat de ontwikkelaars van de software dit (snel) opmerken. Hoe langer de aanvaller zijn gang kan gaan, hoe meer schade hij kan aanrichten.

Aanvallers houden hun identiteit vaak goed verborgen, maar onderstaande groepen zijn vaak bij zero-day-aanvallen betrokken:

• Cybercriminelen. Criminelen kunnen zero-day-exploits gebruiken om geld te verdienen, bijvoorbeeld door gevoelige informatie te stelen, losgeld te eisen of financiële systemen aan te vallen.
• Overheden en inlichtingendiensten. Sommige zero-day-aanvallen worden uitgevoerd door overheden of inlichtingendiensten als onderdeel van cyberoorlogsvoering of spionage.
• Hacktivisten. Groepen met politieke of sociale motieven kunnen zero-day-aanvallen uitvoeren om aandacht te vragen voor bepaalde kwesties of om een politieke boodschap uit te dragen.
• Ethische hackers. Sommige beveiligingsonderzoekers en ethische hackers ontdekken kwetsbaarheden en melden deze aan de softwareleveranciers om te helpen bij het verbeteren van de beveiliging. In dit geval wordt er geen aanval uitgevoerd.

Zero-day exploits en aanvallen zijn zo gevaarlijk omdat de aanvallers als enige op de hoogte zijn van de kwetsbaarheid. Als de ontwikkelaars zich niet bewust zijn van de kwetsbaarheid, hebben ze geen enkele verdediging tegen de aanval, waardoor veel zero-day-aanvallen heel effectief zijn.

Het zijn niet alleen hackers die willen profiteren van de zwakke cyberbeveiliging van grote organisaties. Hacktivisten voeren aanvallen uit om de aandacht te vestigen op politieke en sociale kwesties, terwijl inlichtingendiensten over de hele wereld ook zero day-exploits kunnen initiëren.

Cybercriminelen voeren zero-day-aanvallen uit op besturingssystemen, webbrowsers, kantoorapplicaties, hardware, firmware en zelfs Internet of Things (IoT)-systemen. Het brede scala aan doelwitten zorgt ervoor dat de lijst met slachtoffers lang is:

• Grote bedrijven en organisaties
• Overheidsinstellingen.
• Belangrijke infrastructuur
• Onderzoeksinstellingen en universiteiten
• High-profile individuen die over waardevolle, gevoelige informatie beschikken of toegang hebben tot kwetsbare systemen.

Bedrijven die het doelwit zijn van een zero-day-aanval kunnen onverwachte veranderingen in netwerkverkeer of verdachte scanactiviteiten opmerken, afkomstig van een gebruiker of dienst.

Helaas komen veel zero-day-aanvallen pas aan het licht wanneer het te laat is en er belangrijke gegevens gestolen zijn of een systeem succesvol gecompromitteerd is.

Om deze reden is het belangrijk er alles aan te doen om zero-day-aanvallen te voorkomen en hackers niet de kans te geven een zero-day-exploit uit te buiten.

Bedrijven kunnen de volgende maatregelen nemen om zich tegen zero-day-aanvallen te beschermen:

• Kwetsbaarheidsscans. Het uitvoeren van een vulnerability scan kan sommige zero-day-kwetsbaarheden aan het licht brengen. Bepaalde software kan aanvallen op softwarecode simuleren, codescans uitvoeren en zo mogelijk kwetsbaarheden vinden.
• Beheer van patches. Patches moeten zo snel mogelijk worden geïmplementeerd voor ontdekte kwetsbaarheden. Hoewel dit zero-day-aanvallen niet kan voorkomen, kan het snel toepassen van patches en software-upgrades de kans op een aanval aanzienlijk verkleinen.
• Gebruik van een web application firewall (WAF). Dit is een van de meest effectieve manieren om zero-day-aanvallen te voorkomen. Een WAF inspecteert al het inkomende verkeer en filtert kwaadaardige input die gericht kan zijn op kwetsbaarheden.
• Inputvalidatie en zuivering. Inputvalidatie lost veel van de problemen op die zich voordoen bij het scannen van kwetsbaarheden en patchbeheer. Het laat bedrijven niet onbeschermd terwijl zij hun systemen patchen of hun code opschonen – processen die veel tijd in beslag kunnen nemen.

Maar wat gebeurt er als hackers een zero-day-beveiligingslek vinden voordat de softwareontwikkelaars dat doen?

Er zijn veel voorbeelden van zero-day-aanvallen in onze moderne internetgeschiedenis. Dit zijn enkele van de meest beruchte incidenten:

Windows (Stuxnet)

Stuxnet was een geavanceerde computerworm die misbruik maakte van vier verschillende zero-day-softwarekwetsbaarheden in Microsoft Windows-besturingssystemen. In 2010 werd Stuxnet gebruikt bij een reeks aanvallen op nucleaire installaties in Iran. De worm veroorzaakte enorme schade aan het nucleaire programma van Iran door bijna een vijfde van de Iraanse nucleaire centrifuges plat te leggen en 200.000 computers te infecteren.

Apple iOS

Ook Apple, dat bekendstaat als een van de veiligste besturingssystemen, ontkomt niet aan zero-day-aanvallen. Eind 2023 bracht Apple een belangrijke beveiligingsupdate uit om twee zero-day-kwetsbaarheden op te lossen die bij aanvallen op iPhone-, iPad- en Mac-apparaten zijn uitgebuit. De twee bugs werden gevonden in de WebKit-browserengine, waardoor aanvallers toegang konden krijgen tot gevoelige informatie via vals opgezette webpagina’s.

Sony Pictures hack

Ook de Sony-hack uit 2014 staat bovenaan de lijst als een van de bekendste zero day-exploits. Tijdens de Sony Pictures-hack maakten criminelen gebruik van een zero-day-kwetsbaarheid om in te breken in het netwerk van het bedrijf en gegevens te stelen.

Hackers gaven later alle gevoelige informatie vrij, waaronder kopieën van aankomende films, de plannen van het bedrijf voor de toekomst, zakelijke deals en e-mails van het topmanagement van Sony. Welke specifieke exploit de hackers gebruikten, blijft tot op de dag van vandaag een mysterie.

Zoom zero-day

In 2020 werd Zoom geconfronteerd met twee ernstige zero-day-kwetsbaarheden. Eén daarvan stond mogelijke diefstal van inloggegevens toe via een kwaadaardige link in Zoom-chat op Windows. De andere trof Mac-computers: door de kwetsbaarheid konden aanvallers root-toegang en controle krijgen over de microfoon en camera van de gebruiker. Zoom reageerde snel door patches vrij te geven.

Apache (Log4j)

Op 9 december 2021 ontdekten cybersecurity-experts een fout in de code van de Log4j softwarebibliotheek, die is gebouwd op de populaire codeertaal Java van Apache. Hackers hebben de Log4j-fout gebruikt om meer dan 40% van de bedrijfsnetwerken wereldwijd aan te vallen. Sinds de kwetsbaarheid voor het eerst werd gemeld, werd bijna een derde van alle webservers wereldwijd gecompromitteerd.

Microsoft Word (Dridex)

In 2017 vonden hackers een kwetsbaarheid in Microsoft Word en ontwikkelden ze Dridex-malware die ze in MS Word-bijlagen verstopten. Wie het bestand downloadde, activeerde de Dridex Trojan, een vorm van malware gespecialiseerd in het stelen van bankgegevens.

Firefox zero-day-exploit

In 2020 ontdekten hackers een zero-day-beveiligingslek in Firefox waardoor ze code in het geheugen van Firefox konden plaatsen en uitvoeren. Hierdoor konden ze kwaadaardige code uitvoeren op alle apparaten van Firefox-gebruikers uitvoeren, tot er een patch werd uitgebracht.

Chrome zero-day-lek

2021 was geen goed jaar voor Chrome zero-day-exploits. De browser moest dit jaar drie noodpatches voor zero-day-beveiligingslekken uitbrengen. Via het laatste lek konden hackers code op afstand executeren en DDoS-aanvallen op de getroffen systemen uitvoeren.

Zoals je ziet zijn zelfs grote bedrijven die veel geld aan netwerkbeveiliging kunnen spenderen niet immuun voor zero-day-exploits, integendeel. Het is simpelweg niet bekend of bepaalde software een beveiligingslek bevat, voordat het wordt gevonden. Wat betekent dit voor bedrijven? Eén fout in softwarecode is genoeg om een achterdeur in de systemen van je organisatie te creëren.

De meeste organisaties hebben een reactionair beleid en pakken alleen bekende dreigingen aan. Het probleem met zero-days-beveiligingslekken is echter dat het tegen de tijd dat je ervan op de hoogte bent al te laat is.

De sleutel tot zero-day-bescherming is daarom een proactieve aanpak. Detectie, analyse en beveiliging van gegevens en activiteiten zijn goede eerste stappen om je cybersecurity te verbeteren en zero-day-aanvallen te voorkomen.

Hoe bescherm je jezelf tegen een bedreiging waar je geen weet van hebt? Soms gebruiken hackers zero-day-kwetsbaarheden in combinatie met andere aanvalsmethoden. Hier lees je hoe je het risico kunt verkleinen om slachtoffer van een aanval te worden:

• Werk je software altijd op tijd bij. Software-updates bevatten vaak patches voor kritieke kwetsbaarheden.
• Houd je kennis up-to-date. Houd nieuwe informatie over cyberdreigingen in de gaten en maak gebruik van vulnerability databases – deze zijn van essentieel belang bij het opsporen van kwetsbaarheden in software.
• Val niet voor phishing-scams. Sommige zero-day-aanvallen werken alleen in combinatie met phishing of social-engineering-aanvallen. Klik niet op onbekende links en open geen bijlagen in e-mails die je niet vertrouwt, omdat je op deze manier gevoelige gegevens aan criminelen kunt verstrekken.

De Threat Protection-functie van NordVPN biedt een extra beschermingslaag tegen phishing door je voor het openen van schadelijke links en websites te waarschuwen.