Zero-day: alles over zero-day-exploits en aanvallen

De term ‘zero-day’ kan naar twee verschillende concepten verwijzen: zero-day-beveiligingslekken of kwetsbaarheden en zero-day-exploits. Laten we met de eerste beginnen.

Een zero-day-beveiligingslek is een fout in software of hardware die nog niet door de ontwikkelaar is ontdekt. Dit betekent dat er op het moment van ontdekking nog geen manier is om het gat in de beveiliging te dichten. Een zero-day kan elke kwetsbaarheid omvatten – een bug, gebrek aan encryptie, of ontbrekende autorisaties, om maar een paar voorbeelden te noemen.

De ‘zero’ in zero-day verwijst naar de tijd – nul dagen – dat de softwareonwikkelaar van het probleem op de hoogte is.

In het beste geval meldt degene die een zero-day-beveiligingslek ontdekt dit aan de softwareontwikkelaar, zodat deze het lek kan patchen voordat er misbruik van kan worden gemaakt. Er bestaan databanken waarin de cybersecuritygemeenschap hun kennis bundelt om deze bedreigingen samen te bestrijden. Maar helaas zijn hackers er soms als eerste bij.

Dit brengt ons bij zero-day-exploits en aanvallen. Een zero-day-exploit is de code die criminelen gebruiken om de zero-day-kwetsbaarheid voor hun eigen doeleinden te misbruiken. Dankzij het beveiligingslek in de software kunnen ze zero-day-aanval uitvoeren. Dit doen ze door backdoors te installeren, malware te injecteren of gevoelige informatie te stelen.

Omdat zero-day-aanvallen vaak onopgemerkt kunnen worden uitgevoerd, zijn deze kwetsbaarheden in de beveiliging ongelooflijk waardevol. Het zijn niet alleen hackers die van kwetsbaarheden in de cyberbeveiliging in grote organisaties profiteren – ook inlichtingendiensten kunnen zero-day-exploits uitvoeren.

Wanneer wordt de aanval uitgevoerd

Zero-day-aanvallen kunnen worden uitgevoerd tijdens het kwetsbare moment dat bestaat tussen de tijd van de eerste aanval en uitbuiting van de kwetsbaarheid tot het moment dat de softwareontwikkelaars een patch uitbrengen om het lek te dichten. Dit staat in het Engels bekend als het ‘window of vulnerability’.

De doelen van zero-day-aanvallen zijn divers. Cybercriminelen voeren zero-day-exploits uit om besturingssystemen, browsers, toepassingen, hardware, firmware en smart home-apparaten aan te vallen.

Al deze systemen en apparaten zijn zowel bij bedrijven als bij consumenten thuis te vinden, dus het bereik van potentiële zero-day-slachtoffers is groot:

• Grote bedrijven en organisaties
• Overheidsinstellingen, politici of andere nationale organisaties
• Smart home-apparaten, hardware en firmware
• Personen die toegang hebben tot belangrijke bedrijfsinformatie
• Iedereen die een browser of besturingssysteem gebruikt

Een zero-day-beveiligingslek kan op verschillende manieren voorkomen, bijvoorbeeld in de vorm van een bug, ontbrekende encryptie, foutieve algoritmes, enzovoort. Hierdoor zijn ze ook zo moeilijk op te sporen en komen de details vaak pas na een aanval aan het licht.

Er zijn een paar manieren om zero-day-beveiligingslekken te detecteren:

• Kwetsbaarheidsscans. Kwetsbaarheidsscans kunnen sommige zero-day-lekken aan het licht brengen. Bepaalde software kan aanvallen op softwarecode simuleren, codescans uitvoeren en proberen nieuwe kwetsbaarheden te vinden.
• Beheer van patches. Patches moeten zo snel mogelijk worden geïmplementeerd voor ontdekte kwetsbaarheden. Hoewel dit zero-day-aanvallen niet kan voorkomen, kan het snel toepassen van patches en software-upgrades de kans op een aanval aanzienlijk verkleinen.
• Gebruik van een web application firewall (WAF). Dit is een van de meest effectieve manieren om zero-day-aanvallen te voorkomen. Een WAF inspecteert al het inkomende verkeer en filtert kwaadaardige input die gericht kan zijn op kwetsbaarheden.
• Inputvalidatie en zuivering. Inputvalidatie lost veel van de problemen op die zich voordoen bij het scannen van kwetsbaarheden en patchbeheer. Het laat bedrijven niet onbeschermd terwijl zij hun systemen patchen of hun code opschonen – processen die veel tijd in beslag kunnen nemen.

Maar wat gebeurt er als hackers een zero-day-beveiligingslek vinden voordat de softwareontwikkelaars dat doen?

Er zijn veel voorbeelden van zero-day-aanvallen in onze moderne internetgeschiedenis. Dit zijn enkele van de meest beruchte incidenten:

Zero-day Stuxnet

De Stuxnet-computerworm gebruikte verschillende zero-day-kwetsbaarheden van Windows om SCADA-systemen (toezichtsystemen van machines in grote, industriële systemen) aan te vallen. De worm veroorzaakte enorme schade aan het nucleaire programma van Iran door bijna een vijfde van de Iraanse nucleaire centrifuges plat te leggen en 200.000 computers te infecteren.

Log4j zero-day

Hackers gebruikten het Log4j zero-day-beveiligingslek van Apache om meer dan 40% van de bedrijfsnetwerken wereldwijd aan te vallen.

Dridex

In 2017 vonden hackers een kwetsbaarheid in Microsoft Word en ontwikkelden ze Dridex-malware die ze in MS Word-bijlagen verstopten. Wie het bestand downloadde, activeerde de Dridex Trojan, een vorm van malware gespecialiseerd in het stelen van bankgegevens.

Zero-day-beveiligingslek Firefox

In 2020 ontdekten hackers een zero-day-beveiligingslek in Firefox waardoor ze code in het geheugen van Firefox konden plaatsen en uitvoeren. Hierdoor konden ze kwaadaardige code op alle apparaten van Firefox-gebruikers uitvoeren, tot er een patch werd uitgebracht.

Zero-day-beveiligingslek Chrome

2021 was geen goed jaar voor Chrome zero-day-exploits. De browser moest dit jaar drie noodpatches voor zero-day-beveiligingslekken uitbrengen. Via het laatste lek konden hackers code op afstand executeren en DDoS-aanvallen op de getroffen systemen uitvoeren.

Het ontdekken, kopen en verkopen van zero-day-beveiligingslekken is inmiddels een hele industrie geworden.

• Zwarte markten verkopen informatie over zero-day-kwetsbaarheden, waardoor criminelen informatie kunnen verhandelen over hoe ze beveiligingslekken kunnen misbruiken.
• Grijze markten richten zich op cybersecuritybedrijven en stellen onderzoekers in staat informatie te verkopen aan militairen, inlichtingendiensten en andere autoriteiten.
• Witte markten zijn meer zoals de CVE- of bug bounty-programma’s, waar onderzoekers informatie vrijgeven aan ontwikkelaars van bugs in software.

Je weet niet of bepaalde software een beveiligingslek bevat, voordat het wordt gevonden. Wat betekent dit voor bedrijven? Eén fout in softwarecode is genoeg om een achterdeur in de systemen van je organisatie te creëren.

De meeste organisaties hebben een reactionair beleid en pakken alleen bekende dreigingen aan. Het probleem met zero-days-beveiligingslekken is echter dat het tegen de tijd dat je ervan op de hoogte bent al te laat is.

De sleutel tot zero-day-bescherming is daarom een proactieve aanpak. Detectie, analyse en beveiliging van gegevens en activiteiten zijn goede eerste stappen om je cybersecurity te verbeteren en zero-day-aanvallen te voorkomen.

Hoe bescherm je jezelf tegen een bedreiging waar je geen weet van hebt? Soms gebruiken hackers zero-day-kwetsbaarheden in combinatie met andere aanvalsmethoden. Hier lees je hoe je het risico kunt verkleinen om slachtoffer van een aanval te worden:

• Werk je software altijd op tijd bij. Software-updates bevatten vaak patches voor kritieke kwetsbaarheden.
• Blijf op de hoogte. Databases met beveiligingslekken en bug bounty-programma’s zijn van essentieel belang bij het opsporen van kwetsbaarheden in je software.
• Val niet voor phishing-scams. Sommige zero-day-aanvallen werken alleen in combinatie met phishing of social-engineering-aanvallen. Klik niet op onbekende links en open geen bijlagen in e-mails die je niet vertrouwt, omdat je op deze manier gevoelige gegevens aan criminelen kunt verstrekken.

De Threat Protection-functie van NordVPN biedt een extra beschermingslaag tegen phishing door je voor het openen van schadelijke links en websites te waarschuwen.