Een zero-day kwetsbaarheid is een beveiligingsfout in software, hardware of firmware waarvan de verantwoordelijke partijen (software- of hardwareleveranciers) zich nog niet bewust zijn, totdat de fout rechtstreeks aan hen of aan het grote publiek wordt bekendgemaakt. In sommige gevallen is de leverancier niet op de hoogte van de fout voordat deze bekend wordt gemaakt of heeft hij niet genoeg tijd gehad om een oplossing te maken, zodat er geen officiële oplossing of patch beschikbaar is om de kwetsbaarheid af te schermen tegen misbruik. Deze kwetsbaarheden zijn extra gevaarlijk omdat ze langere tijd onopgemerkt kunnen blijven, soms meerdere dagen, maanden of zelfs jaren.

 

De aanduiding "zero-day" verwijst naar het feit dat er nog geen tijd is verstreken na de bekendwording (en dus de mogelijke exploitatie) van de kwetsbaarheid. Zero-day kwetsbaarheden zijn aantrekkelijke doelen voor cybercriminelen, die proberen ze te exploiteren voordat ze worden herkend, of zo snel mogelijk nadat ze bekend zijn geworden. Technisch gezien wordt een kwetsbaarheid na bekendwording ervan niet meer beschouwd als een zero-day kwetsbaarheid, maar als een one-day of n-day kwetsbaarheid.

Wat is een zero-day exploit?

Een zero-day exploit is een specifieke methode of techniek die aanvallers gebruiken om te profiteren van een zero-day kwetsbaarheid. Dit is een stukje code of een reeks opdrachten waarmee een kwetsbaarheid wordt geëxploiteerd om een gewenst resultaat voor de aanvaller te bereiken. Als cybercriminelen zulke exploits eerder ontdekken dan de betreffende software- of hardwareleverancier, krijgen ze een voorsprong bij het bedenken en implementeren van aanvallen.  Zero-day exploitkits worden soms voor aanzienlijke bedragen verkocht via het Dark Web, wat een extra financiële prikkel voor de aanvallers oplevert.

Wat is een zero-day aanval?

Er is sprake van een zero-day aanval wanneer een aanvaller een zero-day exploit gebruikt om een systeem binnen te dringen door middel van een nog onopgemerkte kwetsbaarheid. Zulke aanvallen kunnen verschillende vormen aannemen, variërend van gegevensdiefstal tot het installeren van kwaadaardige software. Zero-day aanvallen zijn bijzonder bedreigend, omdat de aanvallers zelf vaak als enige op de hoogte zijn van de aanval. In veel gevallen wordt de zero-day exploit via geavanceerde methoden zoals social engineering of phishing-mails bij het systeem afgeleverd om de aanval op gang te brengen.

Hoe het werkt?

wat is een zero-day exploit

Zero-day kwetsbaarheden zijn een grote zorg, hackers hiermee beveiligingsfouten kunnen exploiteren voordat de doelwitten zich zelfs maar realiseren dat zo'n fout bestaat. Dit betekent dat aanvallers onopgemerkt een systeem kunnen binnendringen, zodat ze alle tijd hebben om schade aan te richten. Nadat een dergelijke kwetsbaarheid wordt ontdekt, kan het de leveranciers nog de nodige tijd kosten om een patch te publiceren. In de tussentijd blijven organisaties een hoog risico lopen.

Wat het ingewikkelder maakt, is dat de architectuur van moderne netwerken steeds complexer wordt. Organisaties integreren tegenwoordig vaak een mix van cloudgebaseerde en on-premise applicaties, verschillende soorten apparaten en zelfs IoT-technologie (Internet of Things), waardoor het aanvalsoppervlak sterk wordt verbreed.

Meer info

 

 

De personen die zero-day aanvallen lanceren, vormen geen uniforme groep. Deze personen en groepen hebben verschillende motieven en behoren tot verschillende categorieën. Het zijn niet alleen opportunistische hackers die het probleem zijn; er is ook een bloeiende zwarte markt waar zero-day kwetsbaarheden en exploits worden verhandeld voor grote sommen geld. Ook staatsactoren (hackers van bepaalde overheden) zijn op zoek naar zulke kwetsbaarheden. In plaats van ze bekend te maken, bewaren ze de kwetsbaarheden vaak om gespecialiseerde zero-day exploits te ontwikkelen voor gebruik tegen aanvallers. Hier is veel kritiek op, omdat onschuldige organisaties ook in gevaar worden gebracht.

 

Cybercriminelen zijn meestal uit op financieel gewin en proberen gevoelige informatie in handen te krijgen en/of informatie te versleutelen om er losgeld voor te kunnen vragen (ransomware). Staatsactoren en hacktivisten gebruiken zero-day kwetsbaarheden om sociale of politieke doelen te bevorderen, vaak met als doel gevoelige gegevens te verzamelen of hun missie bekendheid te geven. Bedrijfsspionage is een andere drijfveer, waarbij bedrijven exploits kunnen gebruiken om een concurrentievoordeel te behalen door toegang te krijgen tot vertrouwelijke informatie van rivalen. Ten slotte kunnen deze aanvallen ook wapens zijn in een cyberoorlog, georkestreerd door natiestaten die zich op de digitale infrastructuur van een ander land richten via kort- of langlopende ontwrichtende aanvallen tegen nutsbedrijven, economische instellingen, strategische investeringen en intellectuele eigendommen, met inbegrip van staatsgeheimen.

 

Zero-day exploits kunnen gericht zijn op zeer verschillende doelwitten, uiteenlopend van besturingssystemen en webbrowsers tot hardware en IoT-apparaten. Dit brede spectrum van doelwitten wordt gebruikt door verschillende soorten slachtoffers, waaronder:

· Dagelijkse gebruikers van een kwetsbaar systeem zoals een verouderde browser.

· Eigenaren van waardevolle bedrijfsgegevens of intellectuele eigendommen.

· Grote ondernemingen en organisaties die aanzienlijke hoeveelheden gevoelige gegevens beheren.

· Overheidsinstanties die beschikken over kritieke informatie op het gebied van nationale veiligheid.

 

Doelwitten kunnen heel specifiek of juist heel breed zijn. Gerichte zero-day aanvallen zijn gericht op hoogwaardige doelen zoals overheidsinstanties of grote bedrijven, terwijl niet-gerichte aanvallen zich richten op het exploiteren van elk kwetsbaar systeem dat ze kunnen vinden. In het laatste geval is het doel vaak om zoveel mogelijk gebruikers in gevaar te brengen, waardoor niemand echt veilig is voor mogelijke schade.

 

De ruggengraat van een zero-day aanval berust op verschillende factoren, waaronder:

· Er wordt een softwarekwetsbaarheid gevonden, bijvoorbeeld een fout in de uitvoering van een applicatie.

· De kwetsbaarheid wordt niet openbaar gemaakt.

· Er wordt in korte tijd een exploit voor de kwetsbaarheid ontwikkeld.

 

Deze factoren zijn noodzakelijk voor verschillende soorten schadelijke activiteiten, maar de exploitcode moet nog wel worden afgeleverd om een aanval mogelijk te maken. Het afleveren van een exploit kan via verschillende kanalen gebeuren:

· Social engineering: aanvallers gebruiken verschillende geraffineerde technieken, zoals op maat gemaakte e-mail-, social media- en andere berichten. Hiervoor worden speciale profielen van de doelwitten opgebouwd, zodat ze hun vertrouwen kunnen winnen

· Phishing: aanvallers gebruiken deze methode om gebruikers te misleiden om kwaadaardige bestanden of links te openen via een e-mail die legitiem lijkt, maar eigenlijk van de aanvaller afkomstig is.

· Drive-by download: in dit scenario integreren hackers hun exploitcode als een verborgen element in een gecompromitteerde maar schijnbaar legitieme website. Wanneer bezoekers naar de geïnfecteerde site navigeren, wordt de exploit automatisch gedownload en op hun systemen uitgevoerd zonder dat het slachtoffer iets hoeft te doen of iets merkt. Deze techniek wordt vaak gebruikt om zero-day aanvallen uit te voeren en gebruik te maken van zero-day kwetsbaarheden voor discrete infiltratie in systemen.

· Malvertising: bij deze strategie worden schadelijke advertenties verspreid via vertrouwde advertentienetwerken. Alleen al door op deze advertenties te klikken of met de muis eroverheen te bewegen, wordt de exploitcode geactiveerd. Aangezien gebruikers de neiging hebben om bekende websites te vertrouwen, is dit een sluwe manier om zero-day aanvallen uit te voeren.

· Spear-phishing: deze techniek stuurt sterk gepersonaliseerde berichten via e-mail, sms of andere platforms doelgericht naar specifieke eindgebruikers. Als een aanvaller toegang weet te krijgen tot een account met veel privileges, dan krijgt de exploit sneller vrij spel binnen de infrastructuur van het doelsysteem. Dit kan het bereik van de aanval ook buiten de organisatie uitbreiden tot partners en andere gelieerde bedrijven.

 

Exploits kunnen worden gebundeld in een "exploit pack", dat het systeem scant op meerdere kwetsbaarheden en de exploit aflevert waar deze het meest effectief zal zijn. Nadat de programmacode van de exploit is uitgevoerd, kan deze op verschillende manieren schade aanrichten, van gegevensdiefstal tot het onbruikbaar maken van het systeem. Gezien de heimelijke en geavanceerde aard van deze aanvallen zijn ze vaak moeilijk te detecteren en te voorkomen. Daarom zijn geavanceerde strategieën voor de preventie van zero-day aanvallen een must.

9 Praktijkvoorbeelden van zero-day exploits

 

De wereld is in de loop van de jaren meermaals getroffen door ernstige exploits. Sommigen van hen haalden zelfs het gewone nieuws, waardoor wijdverspreide paniek onder gebruikers ontstond. Hieronder noemen we enkele belangrijke gevallen die onze kennis van deze cyberdreiging hebben gevormd.

 

1. EternalBlue - Deze exploit, ontwikkeld door de Amerikaanse National Security Agency (NSA), richtte zich op een kwetsbaarheid in het SMB-protocol (Server Message Block) van Microsoft Windows. De exploit werd gebruikt bij grote cyberaanvallen, onder andere met WannaCry-ransomware, die wereldwijd grote gevolgen had voor computers. EternalBlue maakte gebruik van een kwetsbaarheid in oudere Windows-systemen, waardoor aanvallers op afstand code konden uitvoeren en de getroffen systemen konden overnemen.

2. Log4Shell - De Log4Shell-kwetsbaarheid in de Log4J Java-bibliotheek stelde een groot aantal apparaten bloot aan mogelijke inbreuken. Met name prominente applicaties zoals Apple iCloud en Minecraft waren kwetsbaar. Ondanks het bestaan van deze kwetsbaarheid sinds 2013 werd het pas in 2021 een populair doelwit voor hackers. Na de ontdekking probeerden beveiligingsteams in een race tegen de klok een oplossing te vingen, omdat er op het hoogtepunt meer dan 100 Log4Shell-aanvalspogingen per minuut werden gedetecteerd.

3. Chrome Zero-day - De Chrome-browser van Google werd in 2021 geconfronteerd met een reeks zero-day dreigingen. Een fout in de V8 JavaScript-engine dwong Google om urgente updates uit te brengen.

4. Zoom - De wereldwijde verschuiving naar virtuele communicatie leidde tot een enorme opleving van Zoom. Hackers ontdekten echter een kwetsbaarheid voor mensen die verouderde Windows-versies gebruikten, waardoor ze op afstand de controle over de computers van gebruikers konden overnemen. Als het gecompromitteerde account beheerdersrechten had, kreeg de hacker volledige controle over de machine.

5. Apple iOS - Hoewel Apple's iOS bekend staat om zijn robuuste beveiliging, werd ook dit besturingssysteem een doelwit voor aanvallers. In 2020 verschenen twee sets zero-day kwetsbaarheden voor iOS. Een van deze kwetsbaarheden stelde aanvallers in staat om van afstand in te breken op iPhones.

6. Microsoft Windows in Oost-Europa - Overheidsinstellingen in Oost-Europa werden het doelwit van een aanval waarbij gebruik werd gemaakt van een lokaal beveiligingslek in Microsoft Windows. In 2019 stelde de zero-day exploit kwaadwillenden in staat om willekeurige code te manipuleren, gegevens te wijzigen en applicaties te installeren op gecompromitteerde systemen.

7. Microsoft Word - In 2017 werd een zero-day exploit gebruikt om in te breken op persoonlijke bankrekeningen van Microsoft Word-gebruikers. Nietsvermoedende personen die een bepaald Word-document openden, kregen een popup te zien, waardoor ze werden misleid om aan hackers toegang op afstand te verlenen. Als iemand in deze truc trapte, werd malware geïnstalleerd die vervolgens de inloggegevens van banken registreerde.

8. Stuxnet - Stuxnet was een monumentale zero-day aanval, met als belangrijkste doelwit de Iraanse faciliteiten voor uraniumverrijking. Deze worm, voor het eerst ontdekt in 2010, maakte gebruik van kwetsbaarheden in de Siemens Step7-software om de werking van PLC's te manipuleren. De gevolgen waren ingrijpend: machines op de assemblagelijnen werden getroffen en de nucleaire programma's van Iran werden opgehouden. De gebeurtenissen werden een inspiratie voor een documentaire met de titel 'Zero Days'.

9. Google Chrome - Begin 2022 hebben Noord-Koreaanse hackers misbruik gemaakt van een zero-day kwetsbaarheid in Google Chrome. Met behulp van phishing e-mails werden de slachtoffers naar nagemaakte websites geleid. Door gebruik te maken van de fout in Chrome konden de hackers spyware en malware voor toegang op afstand installeren.

Manieren om zero-day aanvallen te detecteren en te voorkomen

 

Wat het verslaan van een zero-day dreiging zo moeilijk maakt, is precies de definitie ervan: deze kwetsbaarheden blijven onbekend totdat er misbruik van wordt gemaakt. Daarom bevatten de meest effectieve strategieën gelaagde verdedigingsmechanismen met meerdere elementen, zoals data-analyse en machine learning.

Machine learning wordt getraind aan de hand van historische data over eerdere kwetsbaarheden. Hierdoor kan het systeem ook kwaadaardig gedrag detecteren dat wordt vertoond door een nieuwe exploit van een nieuwe kwetsbaarheid. 

Op het gebied van cyberbeveiliging is variantendetectie op basis van handtekeningen een bekende methode voor het identificeren van dreigingen. Deze techniek maakt gebruik van digitale handtekeningen om bekende exploits en varianten van eerder geïdentificeerde aanvallen onmiddellijk te identificeren. Bij gedragsgebaseerde monitoring zoeken verdedigingssystemen naar veel voorkomende malwaretactieken. Dit is een vrij handmatige aanpak.

Ook gebruikersgedragsanalyse speelt een cruciale rol. In een netwerk vertonen geautoriseerde gebruikers voorspelbare gebruikspatronen. Inconsistente gedragspatronen van gebruikers, vooral wanneer deze in veel opzichten afwijken van de norm, kunnen wijzen op een zero-day aanval. Als een webserver bijvoorbeeld onverwacht uitgaande verbindingen begint te maken, kan dit wijzen op een exploit.

Bij hybride detectie worden al deze methoden gecombineerd om de identificatie van zero-day dreigingen te verbeteren. Een dergelijke aanpak maakt gebruik van databases met malwaregedrag, die voortdurend worden uitgebreid met behulp van machine learning en gedragsanalyses om vast te stellen wat 'normaal' gedrag is, zodat afwijkingen kunnen worden opgespoord. Hoewel traditionele op handtekeningen gebaseerde antimalware op zichzelf misschien tekortschiet, biedt een gecombineerde strategie wel een robuuste verdediging tegen zero-day dreigingen.

Het is belangrijk te begrijpen dat zero-day aanvallen vrijwel nooit helemaal te voorkomen zijn. Maar de impact kan aanzienlijk worden beperkt met behulp van robuuste en proactieve cyberbeveiligingsmaatregelen.

Naarmate de technologie vordert en nieuwe mogelijkheden biedt, neemt de complexiteit van applicaties en platforms toe. Dit vergroot het potentiële aanvalsoppervlak voor cybercriminelen, vooral bij systeemconfiguraties en identiteits- en toegangsbeheer, waardoor zero-day aanvallen vaker zullen voorkomen en moeilijker te bestrijden worden. Omdat traditionele fixes niet onmiddellijk beschikbaar zijn, is een veelzijdige beveiligingsstrategie noodzakelijk, vooral in omgevingen met multi-cloud- of hybride cloud-systemen. Hoewel het onmogelijk is om zero-day aanvallen volledig te voorkomen, moet het doel zijn om de impact ervan aanzienlijk te verminderen en de mogelijke respons te verbeteren.

Beveiligingsoplossingen moeten kwetsbaarheden vanuit meerdere invalshoeken aanpakken, in plaats van te vertrouwen op afzonderlijke benaderingen, en er tegelijkertijd voor zorgen dat het beveiligingsbeleid consistent wordt toegepast, óók in multi-cloud- en hybride cloud-omgevingen. 

De beste manieren voor bescherming tegen zero-day aanvallen

 

Software en systemen up-to-date houden: zero-day exploits zijn ervan afhankelijk dat software en systemen niet worden gepatcht. Dit kan te wijten zijn aan het feit dat er nog geen patch is of omdat de patch nog niet is toegepast. Om te kunnen profiteren van de ontwikkeling van patches voor kwetsbaarheden, zijn tijdige en regelmatige updates van al uw software- en besturingssystemen essentieel. Softwareleveranciers brengen vaak beveiligingspatches uit die nieuw ontdekte kwetsbaarheden blokkeren, maar het is vaak uw eigen verantwoordelijkheid om deze patches toe te passen.

 

Softwaregebruik analyseren: door het aantal geïnstalleerde applicaties te verminderen, kunnen organisaties het aantal potentiële kwetsbaarheden minimaliseren. Een van de tools die wordt gebruikt in het besluitvormingsproces is Software Composition Analysis (SCA). Deze tool helpt bij het identificeren en evalueren van de componenten van software, zowel commerciële als open-source elementen. Deze analyse kan verborgen kwetsbaarheden in de software aan het licht brengen, wat helpt bij het vinden van het juiste evenwicht tussen de softwarevoorkeuren en de beveiliging.

 

Eindgebruikers voorlichten: menselijke fouten vormen een groot risico voor zero-day exploits. Regelmatige trainingen over cyberhygiëne kunnen dit risico aanzienlijk verminderen. Geef onder andere trainingen over veilige wachtwoordpraktijken, het herkennen van phishing-pogingen en veilige surfgewoonten op het internet.

 

Het principe van het minste privilege (zero trust) toepassen:

· Implementeer beveiligingsmaatregelen voor netwerken en systemen, waaronder firewalls en inbraakdetectiesystemen.

· Wijs gebruikersrechten toe op basis van rollen en functies en gebruik multi-factor authenticatie (MFA).

· Verhard het systeem door potentiële aanvalspunten te minimaliseren. Dit omvat het uitschakelen van onnodige services, het sluiten van open poorten en het verwijderen van redundante software. Gebruik eindpuntbeveiligingsoplossingen voor het detecteren en mitigeren van dreigingen op apparaatniveau.

 

Maak een plan:

· Wees proactief met ASM-tools (Attack Surface Management) om kwetsbaarheden te identificeren en te verhelpen voordat ze worden uitgebuit.

· Regelmatige gegevensbackups en efficiënte plannen voor incidentrespons zijn van cruciaal belang. Monitoring van systeemlogboeken kan vroegtijdig waarschuwingen geven voor mogelijke inbreuken. U dient uw incidentresponsplannen regelmatig te testen om te zorgen dat u optimaal bent voorbereid op daadwerkelijke aanvallen.

Bitdefender-oplossingen voor zero-day kwetsbaarheden

 

De hierboven beschreven tips en maatregelen zijn op zichzelf vaak niet afdoende. Daarom adviseren experts zowel thuis- als zakelijke gebruikers om ook geavanceerde zakelijke beveiligingsoplossingen te implementeren. Bitdefender levert bekroonde, door onafhankelijke testbureaus als beste geteste producten op maat voor zowel individuele als zakelijke behoeften.

In het zakelijke landschap bieden de Bitdefender GravityZone-producten schaalbare oplossingen voor ondernemingen van elke omvang. Deze oplossingen omvatten geavanceerde preventiemechanismen, waaronder Endpoint Detection & Response (EDR), gelaagde beschermingstechnologieën tegen phishing, ransomware en bestandsloze aanvallen, en geavanceerde preventie met dreigingscontext en rapportage.

 

Door de beveiligingsoplossingen van Bitdefender in uw netwerk te integreren, vergroot u de effectiviteit van bestaande beveiligingen zoals firewalls en inbraakpreventiesystemen. Dit resulteert in een holistische en robuuste verdediging tegen malwaredreigingen, waardoor het voor aanvallers een stuk moeilijker wordt om uw systemen binnen te dringen.

Zijn er overheidsvoorschriften met betrekking tot zero-day exploits?

De manier waarop overheden omgaan met zero-day exploits is een complex onderwerp dat per land verschilt, maar er zijn enkele gemeenschappelijke kenmerken van de betreffende wet- en regelgeving.

Met betrekking tot het openbaarmakingsbeleid kunnen we bijvoorbeeld opmerken dat overheden onderzoekers vaak aanmoedigen om softwareleveranciers op de hoogte te stellen van kwetsbaarheden vóórdat deze openbaar worden gemaakt, zodat ze patches kunnen ontwikkelen en publiceren.

Er wordt speciale aandacht besteed aan regelgeving voor kritieke infrastructuur, gericht op het beschermen van vitale diensten zoals elektriciteitsnetten tegen zero-day aanvallen. De betrokkenheid van overheden bij zero-day kwetsbaarheden is tweeledig. De meeste technologisch geavanceerde landen stellen het misbruiken van zero-day kwetsbaarheden strafbaar met boetes of gevangenisstraffen. Tegelijkertijd houden sommige overheden zero-day kwetsbaarheden op voorraad voor inlichtingendoeleinden.

Er zijn gevallen van economische exportbeperkingen om de proliferatie van cyberwapens tegen te gaan. In veel landen zien we ook dat overheden samenwerken met particuliere bedrijven om informatie over dreigingen te verzamelen.

Wat is het verschil tussen een zero-day aanval en een zero-day exploit?

Hoewel ze vaak door elkaar worden gebruikt, is er taalkundig gezien een verschil in betekenis. Een zero-day exploit is de techniek die wordt gebruikt om te profiteren van een kwetsbaarheid in software of hardware die nog onbekend is bij de leverancier.

Een zero-day aanval is de daadwerkelijke implementatie van een dergelijke exploit in de echte wereld. Simpel gezegd: als de exploit het 'recept' is, dan is de aanval het 'bereiden' of uitvoeren van dat recept.

Als er zero-day kwetsbaarheden aanwezig zijn in nieuwe software, is het dan veiliger om het installeren van updates uit te stellen?

Zero-day kwetsbaarheden kunnen aanwezig zijn in zowel nieuwe als oude software. Door updates uit te stellen kunt u mogelijk nieuwe kwetsbaarheden voorkómen, maar blijft u kwetsbaar voor bekende problemen die in de update zijn opgelost. Overweeg in plaats daarvan deze stappen:

·       Doe onderzoek naar feedback over de update.

·       Wacht na een nieuwe release korte tijd op snelle oplossingen.

·       Maak gebruik van goede cyberbeveiligingspraktijken, zoals het gebruik van betrouwbare beveiligingssoftware en het maken van backups van gegevens.

·       Blijf op de hoogte van belangrijke kwetsbaarheden en de bijbehorende patches. Geef altijd prioriteit aan veiligheid, maar onthoud dat updates vaak ook een verbeterde beveiliging met zich meebrengen.